Суть вопроса вот в чем: Есть некое кол-во ИП-адресов внутри локалки, которым нельзя инет. Есть сервер почтовый внутри локалки (снаружи доступен через SAT).
Как сделать, чтоб при наборе любого адреса в строке браузера, пользователя заворачивало на этот самый сервер?
И еще вот туплю... Этот самый сервер недоступен внутренним пользователям по внешнему ИП... Я уж на SAT разрешил с любого интерфейса, один черт.
Забыл сказать, железка - DFL-210

Вариант №1 - прозрачное перенаправление (подходит также для прозрачного проксирования)

1. Objects > Address book > LocalNetwork
Заводите адреса
Делаете из них группу, например lan_deny_web

2. Rules > IP rules
Делаете правила выше lan_to_wan
# перенаправление НТТР трафика
SAT lan/lan_deny_web wan/all-nets http-all (SAT: new destination = yourserveraddress)
NAT lan/lan_deny_web wan/all-nets http-all
# если надо - запрет остального трафика
Drop lan/lan_deny_web wan/all-nets all_services

Вариант №2 - редирект. Это возможно на софте 2.25+

1. Objects > Address book > LocalNetwork
Заводите адреса
Делаете из них группу, например lan_deny_web

2. Objects > HTTP banner files
Добавляете ваш баннер, например banner_redirect
В нем для URLForbidden пишете <meta http-equiv="refresh" content="0;url=http://yourserveraddress">

3. Objects > ALG
Добавляете НТТР ALG (например http_redirect), снимайте в нем все галки strip, выбираете баннером выше созданный banner_redirect, на вкладке URL filter добавляете blacklist *

4. Objects > Services
Добавляете TCP сервис (например http_redirect), source оставляете как есть, destination 80, выбираете ранее созданный ALG http_redirect

5. Rules > IP rules
Делаете правила выше lan_to_wan
# редирект через ALG
NAT lan/lan_deny_web wan/all-nets http_redirect
# если надо - запрет остального трафика
Drop lan/lan_deny_web wan/all-nets all_services

Плюс второго способа в перенаправлении любого трафика (вместо http-all можно поставить хоть all_services). Плюс второго способа в явном редиректе на нужный сайт.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, получилось. Второй способ корректнее срабатывает, если юзверь по ссылке идет типа http://www.corp.mts.ru/tariffs/business_packages/ - не пытается найти такую страничку

А вот со вторым вопросом как быть? Что-то я не понимаю. Этот самый сервер недоступен внутренним пользователям по внешнему ИП. Т.е. снаружи из инета все отлично, но если я его ВНЕШНИЙ адрес набираю, или просто по имени, то нет доступа. Можно, конечно на каждом компе в hosts прописать его внутренний адрес, или фэйковый ДНС запустить, но это не наш путь Как получить к нему доступ по внешнему ИП (или имени) из локалки? Пробовал NAT, SAT. Попробовал даж редирект сделать (по типу предыдущего вопроса), не проходит. Познаний не хватает...

Ваш второй вопрос решается NAT loopback. В дополнение SAT+Allow правилам, сделайте еще 2
SAT lan/lannet core/wan_ip yourservice (SAT: new dest = yourprivateip)
NAT lan/lannet core/wan_ip yourservice

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc