В настоящее время такая структура сети:
9 разных подсетей, находящихся по области соединены с помощью TWN радиоканала с головным офисом, в офисе находится 2 сервера, один а 2003 windows, другой с Linux, на котором установлено ПО Fit Gestori, на шлюзах радиоточек просипасны маршруты:
с головного офиса ко всем подсетям, с подразделений - к головному офису.
подсеть головоного офиса 192.168.104.0/24, подразделений, 192.168.0.0, 192.168.101.0, 192.168.102.0, 192.168.103.0,
192.168.105.0, 192.168.106.0, 192.168.107.0, 192.168.108.0.
В головном офисе провайдер TWN дал один IP для выхода в интернет 192.168.104.112, при чем на конце провайдера белый IP, и идет переброс на приватный адрес подсетки.
Задача следующая - поставить dlink DFL-210 с wan IP 192.168.104.112, который будет выступать шлюзом по умолчанию для
всех сетевых устройств головного офиса, чтобы интернет шел через него, а также сохранить все маршруты, причем из подразделений
должен остаться доступ к серверам по старым адресам (т.е. 192.168.104.1, 192.168.104.5), также требуется фаерволить интернет канал, но оставить открытыми подсети между собой.
Схема сети получившияся после этого будет выглядить так:

Для реализации данной идеи (пока без затрагивания вопроса фаерволинга интернет канала) были сделаны следующие настройки:
1.

2.

3.


Соответственно в Sat правилах новым IP выступают local адреса.

Доступ из вне к серверам на уровне файлового обмена прошел без вопросов, также без проблем прошел доступ к портам SSH, telnet, RDP, и т.д.,
с windows сервером все нормально, linux же сервер для работы с Gestori осуществляет обмен с клиентами не только по 23-му порту,
но и использует для печати RSHD, и какие-то свои порты, и вот с подсистемой печати и вышла проблема - печать не идет, в журнале - фаервол
рубит пакеты по default_rules.

Что еще нужно донастроить, чтобы данная схема заработала? может дописать какие-то маршруты и правила?
Правила пробывал создавать как и NAT, так и Allow, резултат один..

Очень нужна помощь.

Извиняюсь за крупные скрины, пробывал мелче - ничего не видно. Ну и первый раз схему забыл поместить. Так может кто-нибуть помочь?

Вопрос все еще актуален, не ужели ни у кого нет ни каких мыслей по данному поводу?

Немного подправил конфиг, теперь стало вот так:












Проблема, все же осталась.

Поясню суть проблемы подробней - по telnet клиент, к примеру с точки 192.168.101.1 связывается со 192.168.104.5 (которое в свою очередь по правилу SAT уходит на 192.168.110.5), у этого же клиента запущена программа RSHD. При выборе функции "печать" в этом телнет клиенте сервер (192.168.110.5) должен послать команду вызвашему по телнет клиенту на RSHD, и вот это то и не работает, пояляется в журнале что TCP со 192.168.110.5 на 192.168.110.254 пакет drop по правилу default rules.

Для начала приведите в порядок правила. В SAT надо жестко указывать интерфейс-источник. И вообще, избавьтесь от any правил - указывайте конкретные интерфейсы.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

В папке lan_remote_remote-lan можно обойтись всего двумя правилами, если все указанные там подсети сгруппировать и создать правило для этой группы.

Давно пора

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Поправил правила:








Все равно результат тот же...
Такое ощущение, что сервер думает что, соединение с терминалом идет не с инициатора - к примеру 192.168.101.1, а с DFL, т.к. непонятно откуда берется пакет со 192.168.110.5 на 192.168.110.254, а не на 192.168.101.1
Знать бы как это все проверить и уточнить проблему

Раз у вас все сделано через пару правил SAT-NAT, то обращения, конечно, идут от имени DFL. Надо использовать SAT-Allow. Или может просто обойтись правилами Allow?

Проброс портов SAT-Allow(SAT-NAT) используется для случая проброса обращений из инета по белому адресу во внутренюю серую сеть.

Так как у вас здесь все известные вам сети, то используйте везде простую маршрутизацию и правила Allow для разрешения доступа. Чем это плохо?

Кроме того, у вас в паре папок проброшены все сервисы большой кучей, что в результате дает полный доступ. Так не проще ли просто дать доступ по all_services?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Правила кучей, где даю полный доступ лишь потому, что мне посоветовали, что all tcp/udp, к примеру не всегда работают, а all tcp отдельно и all udp, - всегда, решил перестраховаться, но может "советчик" был не прав. Создавать правило SAT-ALLOW пробывал - опять же результат тот же, что SAT-NAT, что SAT-allow, одинаковый результат, ни какой разницы, нашел просто пример на форуме где был SAT-NAT, решил использовать также.

SAT приходится использовать как раз потому, что сеть 192.168.101.1, к примеру и вообще все romete lan не знают, что такое сеть 192.168.110.0/24 и указать им эту сеть возможности нет, TWN предоставляет нам провайдер, какие у него маршруты есть, теми и приходится обходится, потому не знаю другого способа как указать для сети 192.168.101.0/24... 192.168.108.0/24 сервер, имеющий IP 192.168.110.5, если эти сети знают только 104.0/24 сеть.
Или правило allow как раз это и дает?

или может подскажете как маршрут в таком случае прописать, чтобы стучась на 104.5 клиенты попадали на 110.5, а на 104.1 - на 110.1, и чтобы запрос на сервер при этом (104.5) проходил от инициатора соединения с ssh сервером, т.е. чтобы сервер видел что соединен он именно со 192.168.101.1, к примеру, и обратно тогда слал RPC команды для RSHD, а не на шлюз.