SOHO офис, внутри офиса есть несколько сервисов, которые должны быть доступны извне.

из косметических соображений хочется разнести адрес, с которого пользователи лезут в интернет, с адресами сервисов, к которым из интернета обращаются посторонние пользователи.
===========
в упрощенном виде задача такая:
провайдер 1, выделил мне
5.5.5.0 сеть
255.255.255.248 соответственно маска сети.
5.5.5.1 - шлюз по умолчанию
5.5.5.2 - с него пользователи ходят
5.5.5.3 - я хочу чтобы по этому ipотвечал WEB сервер (в локальной сети он 10.10.10.12)
5.5.5.4 - я хочу чтобы по этому ip отвечал FTP сервер (в локальной сети он 10.10.10.204
5.5.5.5 - я хочу чтобы по этому ip отвечал jabber сервер (в локальной сети он 10.10.10.135)
5.5.5.6 - я еще не придумал.
===========
в усложненном виде есть еще один ip от этого же провайдера.
9.9.7.5 - шлюз по умолчанию
9.9.7.6 - мой ip
255.255.255.252 маска сети.
приходит от провайдера в том же проводе, и его тоже хочется использовать.
===========

ps. порт DMZ сконфигурирован в WAN2 к другому провайдеру.

_________________
DI-524 DI-524UP DWL-G510 DWL-G520 DWL-G630 DWL-2100AP DFL-210 DIR-320 DLB-620 и.т.д.

По поводу 5.5.5.х - действуйте очень просто.

Для начала добавьте по FAQ адреса

1. Objects > Address book > InterfaceAddresses
Добавьте объект wan_ipХ = ваш адрес, где Х - номер дополнительного адреса

2. Interfaces > ARP
Сделайте ARP publish на интерфейсе wan для wan_ipX

3. Routes > Route tables > main
Добавьте маршрут
core wan_ipX 0

Путкты 1-3 повторите для всех адресов

4. Делайте правила
Тут я вместо объектов буду указывать адреса для простоты

# выпускаем в интернет
NAT lan/lannet wan/all-nets all_services (NAT: new source = 5.5.5.2)
# web
SAT wan/all-nets core/5.5.5.3 http-in (SAT: new destination = 10.10.10.12)
Allow wan/all-nets core/5.5.5.3 http-in
# ftp
SAT wan/all-nets core/5.5.5.4 ftp-inbound (SAT: new destination = 10.10.10.204)
Allow wan/all-nets core/5.5.5.4 ftp-inbound
# jabber
SAT wan/all-nets core/5.5.5.4 xmpp-suite (SAT: new destination = 10.10.10.135)
Allow wan/all-nets core/5.5.5.4 xmpp-suite

Тут я использовал http-in как сервис с destination TCP 80 + SYN flood protection. Если вам надо HTTPS, используйте например http-in-all

Сервис xmpp-suite - группа из xmpp-c2s (TCP/UDP 5222), xmpp-c2s-ssl (TCP 5223), xmpp-s2s (TCP 5269). Значения стандартные и общеупотребительные (у себя и в Openfire, и в ejabberd использую именно их), если что-то надо будет еще - добавляйте/меняйте

Правило для выпуска в интернет лучше использовать не одно, а как минимум сделать еще два - с ping-outboud и ftp-passthrought

По поводу 9.9.7.6 - смотря для чего вы хотите его использовать. Самое простое будет при помощи управляемого L2 свитча вывести его в отдельный VLAN и использовать как отдельный интерфейс.

Ну и учитывая то что у вас получается 2 (3) WAN интерфейса, не помешают альтернативные таблицы маршрутизации, чтобы извне все интерфейсы были доступны одновременно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

о! попробуем.

это примерно понятно.

тут более менее понятно. единственное что от обычной конфигурации отличается https надо направлять в быстрый канал wan2.

с этого места поподробнее?
у меня к DFL приходит 3 провода - 2 wan, 1 lan.
снаружи есть несколько хостов на которые надо быстро, через wan2 (дорого) ходить изнутри по https.
все остальные хосты (и https) по wan1
по 1 ip
надо принимать снаружи:
2 ip https
3 ip ftp
4 ip jabber
исходящие соединения, вроде как, по последним трем не инициируются.

с учетом того, что wan2 дорог, очень дорог, нехочется принимать по нему соединения, до физического падения wan1.
но dns round-robin прописан.

_________________
DI-524 DI-524UP DWL-G510 DWL-G520 DWL-G630 DWL-2100AP DFL-210 DIR-320 DLB-620 и.т.д.

HTTPS, как я понял ниже, вам для исходящего, а не входящего трафика. Я указывал http-in для вашего локального веб-сервера, который будет жестко висеть на 5.5.5.3


По поводу входящих - это имеет смысл сделать хотя бы для того, чтобы можно было извне пингом проверять живность канала. Хотя, дело ваше.
Но вообще - вам надо по двум условиям сети назначения (вашим важным серверам) и протоколу HTTPS при помощи PBR перенаправлять трафик в альтернативную таблицу. Как - основа дана в соответствующем FAQ http://dlink.ru/ru/faq/85/576.html

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc