Имею в наличие DFL-210 прочитал наверное уже половину всех тем про эту серию, все FAQ которые есть так что сразу говорю не надо отвечать меня читать FAQ или инструкцию на английском языке ибо посылающие туда могут пойти сами. Все FAQ и большинство ответов на форуме имею формат сделай так сделай так а для чего походу дела не знает даже сам рекомендующий притом даже специалисты поддержки. Возникает ситуация как из библии накорми человека сегодня завтра он придет снова, а научи его добывать протирание самого........ Дык вот я хочу понять принцип работы это серии фаерволов, потому что без понимание принципов, и структуры этой системы толку от всех советов мало учитывая то что советующие сами не особо понимаю как это работает.
НУ теперь ближе к делу меня назрели такие вопросы:
1) Как устроены, Правила маршрутизации:
• что значит Таблица прямой маршрутизации, Таблица обратной маршрутизации
• Когда активируются правила, или они действуют постоянно(в чем я сильно сомневаюсь)?!
• Как правила маршрутизации взаимодействую, с правилами IP.
• Дополнительны, таблицы маршрутизации вызываются только из правил маршрутизации!?
2) Что значит функция: Удалить IP-маршруты интерфейсов (Межсетевой экран полностью прозрачен)
3) Порядок маршрутов в таблице маршрутизации имеет значение?! Или имеет значение только в тех случаях кода существуют равнозначные интерфейсы с одинаковыми метриками?!
4) Порядок выполнение правил (IP и правил маршрутизации) идет по порядку включая под папки!? Как быть когда есть два правила на два сервиса разных но один сервис включает порты Другова сервиса, то есть если сервис с включающий порты Другова сервиса будет впереди то все пойдет через него!?
Это животрепещущие вопросы ответы на которые необходимы сегодня, так вопросов гораздо больше. Предлагаю все желающим писать вопросы формата (Как это работает) вопросы как это сделать просьба сюда не задавать. Еще интересно есть, блок схема того как проходят пакеты через эту железяку думаю она помогла бы многим новичкам в этом вопросе. Если найдутся специалисты которые смогут ответить намой вопросы может такую схему нарисую сам.

Вы не учитываете того факта, что все написано в мануале, очень очень подробно. Переводить вам его на русский язык - как минимум трата времени вникуда.

Теперь по вашим вопросам.
1) правила маршрутизации (policy based routing) - специальные правила, на основании которых определяется для каждого пакета, какая таблица маршрутизации будет использоваться.
• Прямая таблица маршрутизации - для исходящих пакетов, обратная - для входящих.
На практике надо использовать (forward/return) - для исходящих пакетов main/alt, для входящих alt/main.
• К каждому пакету производится подбор правила, на основании которого выбирается таблица маршрутизации. Если ничего не подошло, то будет использоваться таблица main.
• Правила маршрутизации никак не взаимодейтсвуют с IP правилами. На основании первых выбирается направление трафика, вторые разрешают/запрещают/модифицируют трафик.
• Да.
2) Наверное, вы говорите о transparent mode. Как написано, так и есть - устройство не производит NAT, а ставится "вразрез" сети, не разделяя ее и прозрачно управляет трафиком.
3) Имеет значение порядок маршрутов на основании метрик. Избегайте ситуаций, когда не будет определенности в выборе метрики, хотя в таких ситуациях будет (я думаю) выбрана самая верхняя из альтернатив.
4) Порядок выполнения правил IP - сверху вниз, пока не будет найдено подходящее правило. Если вы делаете 2 правила и более высокое является частью следующего, то оно "вырвет" из него "свои" пакеты.
Если на примере:
NAT lan/client wan/all-nets http-all
Drop lan/client wan/all-nets all_services
NAT lan/lannet wan/all-nets all_services
В результате вся сеть будет иметь полный NAT в интернет, а для компьютера client интернет будет ограничен только НТТР.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

4 понятно
3 можно на примере двух wan с одним резервным показать как в п 4
2 Непонятно. Ставиться на интерфейс сие чудо - куда оно что на интерфейсе транспарент? можно с примером

2) Transparent, к сожалению, я сам пока не использую, поэтому примеров нет.
3) Достаточно жизнеспособный пример есть в FAQ - http://dlink.ru/ru/faq/85/576.html - первая половина.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

3 Если стоит на роуте мониторинг то при провале мониторинга выключается роут. И оно отправляет роут по следующему под который попадает трафик.
Выполняет и правда верхний (первый в таблице).

Пример вкратце:
два wan, кроме стандартного роута на подсеть wan есть два роута в all.nets через шлюзы каждого. Так как трафик в интернет попадает под оба одному ставиться меньшая метрика и пакеты отправляются туда. Этому роуту с меньшей метрикой ставиться мониторинг и в случае провала мониторинга (интерфейс упал гетевэй или айпи какие) роут отключается и трафик топает по второму роуту т.к. деваться ему некуда.

Я вас уверяю, они сами туда ходили и поэтому могут отвечать на ваши вопросы.

И не надо подобных фантазий. Или обобщений... Как хотите.

Большинство настроек делается по FAQ и инструкциям. Даже опытными пользователями. И это работает.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вы путаете. Факю сделаны степ бай степ в основном - а до смысла нужно догадаться самим. В мануале смысл отдельных вещей описан порой, но в связке и в целом многое не ясно.
Объяснить как работает и объяснить как сделать это две разные вещи.
Тут вопрос о том как работает.

Конечно не спорю что это 100%, однако многие темы которые просмотрел именно такие, вам что надо привести ссылки когда человек ставит конкретную задачу, выдает все необходимые данные, и получает от тех поддержки, сделайте так, сделайте так, что не получилось странно, давайте еще так и еще так, что опять не получилось!? и это в большинстве своем без комментарий зачем надо сделать именно так!!! Про FAQ же могу сказать что они загнаны в жесткие рамки, и если ваша ситуация, задача хоть немного отличается от поставленной в FAQ то у вас нечего не ведет!!!
На счет инструкции, она на иностранном языке а мы живем в России здесь говорят по русский, не у всех есть знания языка и уж тем более если есть знание языка то у кого есть понимание технического языка еще меньше. Думаете почему инструкция до сих пор не переведена Да потому что бы перевести текст технический даже специалистами в это области надо уйму времени а как это должен делать простой пользователь?! Вообще если я не ошибаюсь то есть закон о том что сложное электронное оборудование должно иметь инструкцию на русском языке.

Хотелось бы больше конкретики, что, зачем, как.

1) Зачем нужны правила SAT!? почему нельзя указать конкретны адресс в строке (сеть) в колонке назначение или источник.

2) как я понял практический любой пакет проходит примерно такой путь
правило маршрутизация>таблица маршрутизация>IP правила.
тогда возникает вопрос почему не срабатывает правила маршрутизации, можно ли его как то про логировать!? Вообще у меня задача описана viewtopic.php?t=115274
Перепробовал много вариантов, создается ощущение что не срабатывает правило маршрутизации, по этому пакеты идут на основной интерфейс, где успешно дропаются по дефолту. Или даже что не срабатывают не правила маршрутизации и именно привязка правила к сервису, то есть по сути правила маршрутизации что делают анализ ИП пакета?! Как фаервол?! Я конечно не селен в сетевых технологиях но на каком сетевом уровне работают правила маршрутизации?! Такое ощущение, что они вообще толком не работают, во всех примерах в них указывается в качестве назначения ГРУППА интерфейсов, а дальше по сервисам в этой группе интерфейсов происходит разделение с помощью правил фаервола. Может конечно я заблуждаюсь. Тогда почему не срабатывает.
3) На счет таблиц маршрутизации почему надо указывать в качеств обратно таблице таблицу Майн могу ли я в свой таблице все необходимые маршруты прописать!? Если да то какие маршруты необходимы по минимуму что бы талица работала!?