Здравствуйте, мне необходимо сделать простейшую схему, просто развести внутреннюю сеть и почтовый сервер. Решил для этого использовать DFL-210. Необходимо подключить Инет на wan, на dmz повесить почтовик(так чтобы из внутренней сетки и внешней он был открыт!), а на lan должны быть открыты основные порты (на lan будет висеть WinRoute). Из внутренней сетки должен быть выход в инет и на почтовик, а снаружи отдельно на почтовик и отдельно по одному порту на Kerio(VPN). Смотрел help на D-Link, очень мудрено и не всё есть. Настройка по идее простейшая.
Доп вопросы:
1. Будут ли пользователи изнутри по умолчанию видеть почтовик или для этого необходимо отдельное правило.
2. Каким образом можно перенаправить основной трафик на WinRoute без использования NAT ? (чтобы Winroute был не суб прокси сервером, а основным для внутренней сети)
Заранее прошу извинить за некоторую не грамотность

Ваша схема далеко не простейшая и оптимальная.

Но сначала по вопросам
1. Для доступа между интерфейсами необходимы отдельные NAT/allow (смотря как хотите организовать) правила в IP Rules.
2. Зависит от того как вы включите KWF - если "в разрыв" между сетью и DFL, то будет обычный NAT. Если хотите поставить "рядом" - то надо будет настраивать прозрачное проксирование с DFL (как минимум).

А вообще - KWF мне кажется избыточным. Настраивайте все средствами DFL, он умеет 99% того что умеет KWF. А если почтовый сервер планируется с "серым" адресом, то и вообще ставьте его со стороны LAN и настраивайте только доступ из внешней сети, в внутри сети обращайтесь по локальному адресу. Хотя вынести в DMZ конечно правильнее и красивее.

VPN, кстати, тоже средствами DFL вполне так делается.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну начну с того, что не уверен что DFL умеет 99 процентов от того что и KWF так как мне необходима внутри сети подробная статистика по пользователям, отдельные правила для некоторых пользователей и такие вещи как блокировка страницы, если на ней обнаружены запрещёные слова....ну и туда же проверка трафика на вирусы...
Далее..не совсем понял что значит "в разрыв" и "рядом"... Мне кажется что "в разрыв", так как хочу назначить разные группы ip адресов... То есть внутри сети например 192.168.0.0 а на DFL 192.168.1.0 и на почтовике например 192.168.2.0.
Ну и немного не понял насчет того, что значит почтовый сервер с СЕРЫМ адресом ? Почтовый сервер будет стоять с доменным именем(не в домене, в отличае от компов внутри сети) основной компании... Им будут пользоваться сотрудники компании... А на DMZ хочу его повесить для того чтобы не было открытых портов на KWF снаружи! На KWF снаружи будет всё закрыто, кроме KerioVPN.
Ну и вопрос только один Будет ли всё это работать в связке с DFL ? Будут ли пользователи внутри сети видеть при такой схеме почтовик, и пользователи снаружи по какому правилу найдут тот же почтовик ... или например подключатся на KerioVPN? Понимаю что нужны правила типа PortMapping, если запрос на такой-то порт, то его на такой-то ip, если на другой, то соответственно на другой... Буду ждать ответа, спасибо!