SAT Через DFL 210
Проблема: из внутренней LAN (или DMZ) сети соединиться АПК-Континент (ww.infosec.ru ) c сервеом "Континент-К" находящимся за wan интерфейсом.
Подключение идет по TCP4439, UDP440 и Ip 250 (протоколу).
Пробовал NAT и SAT - не помогает, похоже IP250 не проходит.
Подскажите можно ли через DFL 210 завернуть данные протоклы и порты на определенную машину внутри сети с нормальным преобразованием адресов.

НА kerio winroute такой фокус проходил- там можно было трафик по TCP, UDP и даже Ip протоколам завернуть внутрь сети

Создайте объекты
1. UDP_K -- 440(UDP)
2. TCP_K -- 4439(TCP)
3 IP_PRO_250 -- 250(IpProtocol)
Создайте группу
All_K : UDP_K,TCP_K,IP_PRP

И используйте эту группу для доступа к серверу.

Группа создана давно
Роли 3 для неё
1 SAT lan_ip_client -wan_server (замена адреса на wan_IP_white) Для группы
2 Allow any >any для группы
3 SAT wan_server>wan_ip_white (замена адреса на lan_ip_client ) для группы
Вопрос IPprote 250 подлежит SAT или нет.?
Коннект устанавливается? но сам транспорт функционирующий на 250 протоколе не функционирует.

Как я понял сервер находится на WAN стороне. Для чего делать SAT, если нужно обычный NAT?
SAT используется для других целей, конечно можно также как и Вы, но не вижу смысла.
Для прохождения данных нужно только одно единственное NAT правило, обратный пакет будет пропущен согласна ConnTrack

Просто Nat не прокатит-тут принцип не как check-state
sat нужен, так как запрос о соединении от клиента идет по tcp 4439,
сигнал о живости соедниения от сервера к клиенту по UDP 4440
сама информация идет в обе стороны по ip250 при наличии таковой, т.е. может иди и от сервера.

Хотелось бы просто завернуть всю информацию по этим портам и протоколам приходящим с адреса сервера внутрь сети на клиента, как н.п. сделано в kerio winroute

Интересная система.
Тогда предлгаю использовать 2 связки
1)
На выход используем
SAT -- для обеспечения трансляции(а закладке SAT выбираем изминение Dest_IP)
FWDFast -- для проброса во вне без занесения в contrack
2)
для входа
тот же
SAT+FwdFAST с другим адресным фильтром.

FWDFast +sat -есть ли описание как работает ???
особенно как применить
FWDFast

Описание есть в мануале.
FwdFast пропускает пакет без записи в таблицу соединений

Спасибо зп подсказку
Пару дней экспериментов и все успешно заработало.

Все получилось,
кому нужно аналогичное решение сделал описание для настроек
http://smilshu-sign.narod.ru/files/apk_dfl210.chm

Спасибо!
Если не возражаете я помещю их в раздел faq.

ОК
Будет хоть не жалко 3-х потраченных на нстройку дней

В продолжение темы...

Сделал все как описано по сылочке
http://smilshu-sign.narod.ru/files/apk_dfl210.chm

Казалось бы все заработало, документооборот пошел, но как вскоре оказалось, только в одном направлении, т.е. к нам файлики приходят, а вот от нас не больното хотят уходить. Если быть точнее маленькие файлы уходят, но при попытке передать файл покрупнее (размером более 2 кБ (это примерно, точную границу так и не смог выявить)), то в этом случае, он до адресата не доходит! А именно выдает предупрежедение что системе не удалось сохранить файл на удаленной машине, при попытке его октрыть (по F4) на удаленной машине видим, что файл имеет точно такой же размер, только вместо даных там пустота (такое ощущение что кто пробелами заменил весь текст). Может кто сталкивался с этим?

DFL-210 прошивка 2.12
Канал подымаеться с помощью СКЗИ "Континент-АП" версии 3.1.18.0
Документооборот идет через ППО "СЭД"-(ОТР2000)

Проконсулитировался с колегами из других организаци, они подсказали что наверняка оключена в фаерволе настройка на фрагментацию файлов, посмотрел но ни чего результативного так и не нашел...

P.S.: проверял при прямом соединении (минуя фаервол) - работает все нормально.

Видимо вы не все открыли, посмотрите логах что еще с этих адресов "стучится"

Респект и уважение!!!
Может хэть ты внятно объяснишь, для чего давать доступ к ядру????

Посмотрите у себя на компе настройки MTU, в DFL они кажется 1440, а вкомпе 1500.
Можно попробовать в компе сделать 576