Не получив успеха в деле: viewtopic.php?f=3&t=132766
Решил просто воткнуть вторую сеть в порт ДМЗ .
В итоге почти все заработало, сделал проброс портов для нужных сервисов - в том числе и для mail сервера. Проброс делался как обычно - сначала сат потом allow правило "any/all-nets core/wan1_ip smtp" но оказалось что для pop протокола все нормально - то есть письма доходят а вот для smtp - фигвам, блокировалось соединение по 25 порту.
Гугление привело к http://ftp.dlink.ru/pub/FireWall/_rus_% ... ilover.pdf
а там :
"General:
Name: allow-smtp-out
Action: NAT
Service: smtp
Address Filter:
Source interface: dmz
Source network: mail-server
Destination interface: all-wan
Destination network: all-nets"

Действительно с таким правилом почта начала уходить.
Но все же хочется понять почему не работало с пробросом SAT/ allow ?

Просто очень мало информации с участием DMZ для DFL'ей.

Все должно работать стандартно, но не надо any>core, правильнее wan>core.
Ваш пример вообще не в тему особо.
Зачастую, однако, TCP 25 (SMTP) блокируют провайдеры, проверьте что у вас не так.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Uploaded with ImageShack.us

Вот такие правила были - соответственно в каждом SAT на вкладке указывался IP адрес сервера в DMZ

Тогда почта с сервера не отправляется и в журнале пишутся предупреждения вида:
"Предупреждение RULE Default_Rule UDP dmz 192.168.1.5 33606 ruleset_drop_packet
6000051 87.250.251.11 25 drop"

Думаю стоит еще добавить что wan_ip_for_apache - это дополнительный адрес на wan1 который прописан через ARP как сказано в статье: http://dlink.ru/ru/faq/85/481.html

А откуда проверяете - изнутри или снаружи?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

в общем пока остановился на том что работает - то есть с дополнительным правилом НАТ,

про вопрос откуда проверял - клиент подсоединялся к серверу из локальной сети

срабатывание Default_Rule говорит только о том, что пакет не попал ни под одно Ваше правило.
И почему у Вас для 192.168.х.х испульзется SAT+Allow? Может нужно SAT+NAT?

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T

Ну как бы логично, что исходящее соединение то есть smtp следует прописать НАТом, но в инструкциях нигде небыло указнанно для сервера такого, и при том - когда сервер находился в локалке, а не в дмз хватало правил САТ и АЛЛОУ, но там скорее всего срабатывало правило общего НАТа для всех пользователей локалки - поэтому и ходило.

Я обычно прописываю SAT+NAT

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

SAT+NAT или SAT+Allow - это зависит от основного способа маршрутизации пакетов. если доступ в интернет через NAT, тогда NAT, если напрямую, тогда Allow.

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T