Здравствуйте.
Не могу справиться с задачей проброса портов на DFL-260.
Имеется такой сегмент сети

Сейчас функцию офисного маршрутизатора осуществляет прокси. Хочу его заменить на аппаратное устройство.
Пока будет переделываться вся сеть нужно реализовать "корявые" решения.
Пример.
Нужно заменить правило с прокси прокинуть с IP 192.168.21.4 порт 24 на IP 192.168.10.3 порт 25.
От 192.168.100.2 имеется пинг до 192.168.21.4. Изменять настройки на 192.168.100.2 нельзя. Он стучится на 192.168.21.4 на порт 24.
Пока не нужно было настраивать проброс портов у меня было настроено одно универсальное правило на обоих маршрутизаторах и все работало как было задумано.
1 |allow_all | NAT | any | all-nets | any | all-nets | all_tcpudpicmp |
Затем я добавил создал объект mail_server с IP адресом 192.168.10.3, создал TCP сервис SMTP_bad с портом 24 и еще два правила.
В результате получились следующие правила
1 | SMTP_SAT | SAT | any | all-nets | any | mail_server | SMTP_bad |
2 | SMTP_allow | Allow | any | all-nets | any | mail_server | SMTP_bad |
3 | allow_all | NAT | any | all-nets | any | all-nets | all_tcpudpicmp |

В правиле SMTP_SAT указал транслировать на новый IP адрес mail_server и новый порт 25.
Но не работает.
Подкорректируйте, пожалуйста, мои правила что бы работал проброс портов.
В последствии между двумя маршрутизаторами 192.168.21.67 и 192.168.21.4 заработает IPSec LAN to LAN.
Сеть 192.168.21.X - VPN провайдера.

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

В правиле №2 замените действие allow на NAT

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я так пробовал.
Срабатывает правило по умолчанию и пакет блокируется.
2011-02-20 21:45:41 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 58535 24 ruleset_drop_packet drop
ipdatalen=28 tcphdrlen=28 syn=1
2011-02-20 21:45:35 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 58535 24 ruleset_drop_packet drop
ipdatalen=32 tcphdrlen=32 syn=1
2011-02-20 21:45:32 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 58535 24 ruleset_drop_packet drop
ipdatalen=32 tcphdrlen=32 syn=1
2011-02-20 21:43:14 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 46739 24 ruleset_drop_packet drop
ipdatalen=28 tcphdrlen=28 syn=1
2011-02-20 21:43:08 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 46739 24 ruleset_drop_packet drop
ipdatalen=32 tcphdrlen=32 syn=1
2011-02-20 21:43:05 Warning RULE 6000051 Default_Rule TCP wan 192.168.21.1 192.168.21.3 46739 24 ruleset_drop_packet drop
ipdatalen=32 tcphdrlen=32 syn=1

Настройки сервиса
Name smtp_bad
Type TCP
Source:0-65535
Destination 24
ALG: None

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

1 | SMTP_SAT | SAT | wan | all-nets | core | wan_ip | SMTP_bad |
2 | SMTP_allow | Allow | wan | all-nets | core | wan_ip | SMTP_bad |

отучайтесь использовать any и all-nets где попало. Помимо потенциальных проблем с настройкой, вы тем самым не понимаете, что настраиваете и хуже усваиваете логику работы устройства.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не заработало
Вот что пишет лог
Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
2011-02-21 12:14:16 Info CONN 600001 SMTP_allow TCP wan lan 192.168.21.1 192.168.21.3 1268 24 conn_open

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860

Нашел сам в чем дело.
Заработало такое правило

1 | SMTP_SAT | SAT | wan | all-nets | core | wan_ip | SMTP_bad |
2 | SMTP_allow | NAT | wan | all-nets | core | wan_ip | SMTP_bad |

Всем спасибо!

_________________
1 x DFL-1660, 25 x DFL-860E, 10 x DFL-260E, 9 x DFL-260, 1 x DFL-800, 1 x DFL-860