Во всех источниках для обеспечения сервисов, таких как DNS-Relay, проброс портов для торрентов используют два правила:
SAT и allow. С ними все понятно, объясните для общего развития, зачем тогда нужен Fast-forward в действиях правил? Не улавливаю до сих пор принципиального различия. Просто раньше юзал F-f под FreeBSD ipfw (к примеру ipfw add <#rule> fwd <fwd-ip> <service> from <src-ip> to <dst-ip>) , все работало, а теперь появился SAT, который я ранее ни где не видел) да и не вижу в других сетевых устройствах, кроме как у D-link DFL...

Интересует, что конкретно делает DFL с пакетами при SAT и при F-f в аналогичных условиях.

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Все-таки опишу, к чему весь этот вопрос...
Имеется связка FreeBSD 8.1 + DFL-210.

Работают по схеме

Office LAN (192.168.0.0/24) ---> DFL-210 (NAT, PPPoE client 10.0.0.2) ---> FreeBSD (mpd-5 PPPoE server, NAT) ----> internet

Хочу кинуть VPN к DFL, находясь в сети другого провайдера к себе в офис и при этом не выделять белый IP для DFL.
Чтобы понять, что нужно сделать с фряхой - мне нужно знать, как принципиально работает SAT =)

З.Ы. что такое 1723 tcp и GRE я в курсе =)

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

ну и где все мегаумы, которые понимают в IP машрутах и правилах и DFL? =) пинг!

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Fast-forward не использует state-engine, что это и зачем на 17й страница мануала.

что есть F-f из мануала: "FwdFast Let the packet pass through the D-Link Firewall without setting up a state for it in the
state table. This means that the stateful inspection process is bypassed and is therefore
less secure than Allow or NAT rules. Packet processing time is also slower than Allow
rules since every packet is checked against the entire rule set."

Спасибо, кэп =) РТФМ умею...
А своими словами плиз) Что значит state table и как оно работает?

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

ну если рфтм умеете - номер страницы я вам дал.
State table - аля нат table, если использовалось allow - то в таблицу заносится соотв. запись, и в след раз когда придет аналогичный пакет, он не будет по всем "кругам ада" дфл снова пробегать, а пропустит его сразу. F-f будет каждый раз проходить полный путь всего движка дфл.
Это лишь одни Из примеров работы state eng.

Stateful engine - контроль состояния соединения сетевым оборудованием
http://en.wikipedia.org/wiki/Stateful_firewall
http://ru.wikipedia.org/wiki/%D0%9C%D0% ... 0%B0%D0%BD (упор на stateful)

SAT, SAT SLB, Multiplex SAT - правила для модификации пакета
NAT, Allow, FwdFast - правила для прохождения пакета
То, что разработчики разделили их, в целом правильно и достаточно логично т.к. при необходимости вы можете комбинировать

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо всем, разбираюсь по теме...
Только NAT тоже модифицирует пакеты =) транслирует адрес отправителя.

З.Ы. С наступающим всех!

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

NAT это не только подмена адреса отправителя (это и SAT умеет), но и замена исходящего порта (вот откуда проблемы VoIP vs NAT) и поддержание статуса соединения.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc