Первоначально маршрутизатор был настроен в соответствии с документацией на доступ к Инету нескольким группам пользователей.
Далее понадобилось ограничить доступ к нескольким сайтам одну из групп, для чего были продублированы правила доступа к Инету с той лишь разницей, что был создан черный список (также в соответствии с документацией).
Имею следующее, группа без ограничений как работала так и работает без проблем, у второй наблюдается следующая картина, 1 -заходит на сайт и при щелчке по изображению вместо открытия второго окна с увеличенным изображением, пропадают изображения на основной странице( правой клавишей открыть изображение приводит к тому же), 2- на сайтах, где при заполнении форм есть ниспадающие менюшки, данные менюшки отображаются пустыми, 3- перестал работать Skype, при регистрации пишет что не удалось найти сервер.
Подскажите пожалуйста как быть, в чем проблема. Ксати от броузера зависимости нет. Заранее спасибо.

Без ваших правил (того, как у вас настроено) разобраться с проблемой будет невозможно

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В каком виде выложить правила?
Принт-скрин?

Желательно сниншоты.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Я так понял что прикреплять файлы на форуме нельзя, может по почте послать?

Да кстати все начинает работать нормально когда я убираю в службах правило ALG http-outbound.

Можно выложить скриншоты на сайты вроде ipicture.ru и потом прицепить сюда миниатюры.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за наводку вот ссылки:
http://pic.ipicture.ru/uploads/090731/mrUBidExdd.png
http://pic.ipicture.ru/uploads/090731/0q1rw8M62f.png
http://pic.ipicture.ru/uploads/090731/VKW35Trk3K.png

LLex, обращаю внимание, что для блокирования доступа к сайту и всем его поддоменам, необходимо заносить так:

*.odnoklassniki.ru/*
а у вас
*odnoklassniki.ru/*

Получается, что DFL заблокирует также сайт, допустим, www.our_company_odnoklassniki.ru. Поставьте точки, наверняка Вы хотели ограничить именно известные ресурсы по социальным сетям.
Что касается Вашей проблемы, Вы не привели скриншот настроек http ALG. Наверняка там стоят галочки на блокировании Явы, АктивХ и прочее. Ничего этого не блокируйте. Ведь нужно просто ограничить досутп к сайтам, верно? А в современном Интернете сложно найти сайт без использования подобных технологий.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо за ответ, вот ссылка на настройки http-alg:
http://pic.ipicture.ru/uploads/090803/1fyNRJuCDl.png
галочки на яву и пр. скинул, картинки стали отображаться. Еще раз спасибо.
А вот скайп по прежнему не хочет авторизоваться (не удалось установить сетевое соединение), при этом я захожу на сайт, просматриваю все разделы кроме "Помощь" (www.skype.com/go/help), тут тоже пишет сервер не найден. То есть список фильтров в http ALG тут ни причем. Порты как видно из настроек открыты все. Убираю http-alg начинает работать. Как быть? Что посоветуете?
По поводу маски, я пробовал разные комбинации и именно в таком варианте срабатывал запрет на доступ указанных сайтов.

LLex, у Вас старая прошивка. Попробуйте для начала обновиться - ftp://ftp.dlink.ru/pub/FireWall/DFL-210 ... pgrade.img

Во-вторых, у Вас правило HTTP ALG налагается на все порты, отсюда могут быть проблемы со Скайпом. Попробуйте сделать выше правила allow_standart еще одно правило для тех же source/dest и подсетей, где укажите только сервис http, к которому и будет применен требуемый HTTP ALG (не забудьте это указать в сервисе http). Текущее же правило оставить, но в сервисе all_tcp убрать ALG. Смысл всего этого заключается в примении запретов ALG только для тех пакетов, которые отправляются на удаленный порт TCP 80. Сами понимаете, что долбиться на одноклассники по нестандартному порту смысла нету. Потому и нет смысла накладывать блоки ALG на них.
Я тоже проверял маски и они корректно работают в соответствие с мануалом, т.е. так, как я написал. После прошивки проверьте.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Создал правило с привязкой ALG к http-outbound, и skype заработал, так что опять Огромное спасибо, не знаю сколько бы потратил времени на эксперименты.
Может поможете в еще одном вопросе? Как видно из правил, у меня есть дубляж правила all_tcpudp для двух групп пользователей, делал это как раз для ограничения сайтов. После создания вышеуказанного правила, необходимость в этом отпала. Я создал на вкладке интерфейсы подсеть lan_auth_all в которой указал обе группы, записал их через точку с запятой без пробелов (при сохранении конфигурации на синтаксис ругани не было), и указал его в all_tcpudp, второе правило отключил, но после этого доступ в инет стал только у одной группы, той которая в свойствах подсети записана первой. Пришлось вернуть второе правило и настроить каждое правило на свою группу.
P.S. прошивку пока не менял.

LLex, не там создали группу. Надо в адресной книге (Objects - Address Book) сделать группу и туда запихнуть обе подсети. И уже эту группу подставить в Src Net в правилах. А интерфейс оставить то, что был, т.е. lan. На группу пользователи не прописываются, т.к. это просто группа, внутри которой будут объекты (lan-auth и Lan-authM), каждый из которых с прописанными пользователями/группами.
И обязательно обновитесь. Все-таки я исхожу из работоспособности и функциональности своей прошивки, а у меня она новее. Дело минутное все-таки

p.s.Да, и почему точка с запятой? Должна быть просто запятая (Comma-separated list. Comma - запятая). Но это так, на будущее

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да действительно поставил запятую, отключил лишние правила все работает. Спасибо.
Кстати на заводской прошивке запятую нельзя было ставить, выдавалась ошибка при сохранении конфигурации, единственное что можно было поставить точку с запятой без пробела, но это соответственно ни к чему положительному не приводило.
А на счет создания группы в Adress Objekt, я так понимаю это необходимо для объединения двух разных подсетей, в моем случае одна подсеть две группы пользователей, перечислить в одной подсети у меня не получалось в виду выше указанный проблемы и я создал две одинаковые подсети в Интерфейсах, с двумя разными группами, но это уже история.
Еще раз благодарю за грамотные и оперативные советы, на этом вопросы исчерпаны. С уважением LLex.