Подскажите пожалуйста, не работает доступ к хосту в DMZ снаружи при такой схеме:
(Int-host) 10.1.1.2 <--> 10.1.1.1(LAN) (DL-804HV) (WAN)192.168.1.100 <--> 192.168.1.11 (Ext-host)
Настройки:
DL-804HV: DMZ Enabled, IP Address 10.1.1.2
Int-host: (route) default 10.1.1.1
Ext-host: (route) 10.1.1.0/24 192.168.1.100

или по другому, для доступа только к telnet Int-host снаружи(тоже не работает)
DL-804HV: Virtual server - Virtual Server Telnet - Private IP 10.1.1.2 - Protocol TCP 23/23 - Schedule always - Enabled - Apply

В враианте 1 на интерфейсе Int-host пакетов, направленых к нему от Ext-host (ping, tcp:23) tcpdump не видит. В враианте 2 интерфейсе Int-host tcp:23 пакетов с Ext-host тоже не вижу.

Существует мнение что на DL-804HV доступ к хостам/службам внутр. сети вообще невозможен, это правда?
В существующих топиках нашел только мнения не-сотрудников DLink на эту тему, не подтвержденные.

Подобная запись не имеет смысла, 10.1.1.0/24 все равно находиться за NAT.
Виртуальные сервера или DMZ в DI-804HV работают.

В принципе все настроено правильно, при обращении к 192.168.1.100 по 23 порту DI-804HV пробросит пакет к 10.1.1.2

Для Virtual server в Firewall обратное правило создайте и всё заработает.

_________________
С уважением,
Бигаров Руслан.

Спасибо, добавил в Firewall обратное правило и заработало.
хотя он все равно ведет себя как-то неадекватно, правило Allow *.*->*.* не спасало, пришлось добавлять правило для кокретного порта

Это у Вас получился не DMZ, а "проброс" по порту, виртуальный сервер.

Как я понимаю, DMZ-порт должен быть полностью ВИДЕН со стороны WAN (и LAN должен быть защищен от него также, как и от WAN). Но для этого надо иметь еще один WAN адрес для него. В принципе, не обязательно из подсетки WAN интерфейса (если на WAN'новском ethernet'е крутятся несколько IP-сетей). Вот тогда при обращении на WAN-интерфейс, но по IP-адресу DMZ роутер должен полностью (или с отдельными правилами) "показывать" DMZ-машину. Кстати, в случае подключения к роутеру провайдера с выделенным IP и с подсеткой из 4 адресов для DMZ адреса не остается, а адреса иных сетей смысла не имеют.

В DI-804HV же реализовано объявление одного из адресов LAN как DMZ. Я понимаю это так (не экспериментировал, нужды не было), что для этого адреса не будут работать никакие правила при ЕГО общении с инетом ("allow that computer to have unrestricted Internet access" - из хелпа), но не вижу способа обращения к этой машине из WAN, К ЛЮБОМУ ЕЕ ПОРТУ (не взирая на фразу "DMZ is used to allow a single computer on the LAN to be exposed to the Internet" - со страницы установки). По идее, кстати, в этом случае в настройках firewall все относящееся к WAN должно относиться и к DMZ IP, но этого я также не проверял по той же причине, у DLink'а может быть всяко...

2Kefi:
Как оказалось, к ней редиректятся все пакеты, идущие на адрес WAN порта ДЛинк, которые не относятся к открытым самим ДЛинком службам
2Bigarov Ruslan: попытка повторить настройку после сброса (так как очень много и долго пробовалось для получения результата, да и проходили соединения не по всем портам - например 22 и 500 да, а 23 и 1723 нет) не удалась :( В службе поддержки ДЛинк Украина добавили, что функции DMZ и Virt Hosts взаимоисключающие, одновременно может работать только одна из них, но проблему мы вместе не решили.
К сотрудникам ДЛинк: нарисовывается довольно неосвещенная тема, нет ли ссылок на имеющиеся ресурсы по ней? Заранее благодарен.[/quote]

Посмотрите внимательно у нас в ответах на часто задаваемые вопросы http://www.dlink.ru/technical/faq_internet.php , вопросы настройки dmz и virtual server там есть.

похоже, что в DMZ просто не транслируются порты завиртуаленные и порты поднятых на девайсе сервисов?а тогда оно и понятно.

Кстати, покрутил тут еще и DFL-600, там есть выделенный DMZ-порт, ему назначается свой ip (и маска). Так девайс не разрешает этому ip быть из подсети WAN (противу моих прежних предположений), ни и, разумеется, LAN. Т.е. к DMZ порту можно подключить целую подсеть и там, очевидно, разнести разные сервисы на разные машины. Получается, девайс "обслуживает" все-таки всегда ТОЛЬКО ОДИН IP в WAN: часть tcp/udp портов обслуживают назначенные виртуалы и сам девайс, остальные, выходит, сливаются в DMZ.

А для коннекта НЕЗАВИСИМО, КО ВСЕМ ПОРТАМ у такой машины в WAN должен быть в любом случае свой отдельный адрес, и даже имея такой адрес делается это, выходит, не DMZ-ом, а, например, 3(+)-портовым свитчом между девайсом и WAN

В DFL-600 к порту DMZ подключается целая подсеть. И Возможны два варианта работы. Первый, когда весь трафик приходящий на WAN ip пробрасывается на одну машину в DMZ (Single DMZ Setting - Enable). Второй, когда с определенного адреса из подсети WAN пробрасывается на определенный компьютер в DMZ сети (тут на WAN необходима подсеть, а не один адрес).

О! Действительно, если в DMZ Host отключить Single DMZ Setting, девайс дает возможность по крайней мере ввести другой WAN адрес, но только из подсетки WAN (не сечет, правда, если задаешь адрес сетки или broadcast'а ).

А при Single DMZ Setting=Enable аппарат как NAT для LAN уже не будет работать? А собственные сервисы будут работать - удаленный admin, сервера L2TP и проч., или пробрасывается все? (извиняюсь, не всегда могу попробовать, доступ к девайсу чаще только удаленный, а поддерживать надо. Также извиняюсь, что увел беседу к DFL)

Rgr,
Kerfi

NAT и все остальное будет работать.