Добрый день.
Есть железка DFL-1600. Подключена к трем сетям: wan1 - провайдер, dmz - собственно дмз-зона, lan1 - локалка.
В dmz есть вэб-сервер и сервер терминалов. В локалке обычные компы и вэб-сервер документооборота.
Схема примерно такая:


Создал папку с правилами для проброса портов:
первая пара пробрасывает запросы к вэб-серверу в дмз-зону;
вторая - подключения к терминальному серверу в дмз-зону;
третья - запросы к вэб-серверу документооборота по порту 8080 в локалку


где сервис Outter_SED выглядит вот так:


Срабатывает только первая пара правил. Две других не работают:


Что я делаю не так? Что не доделал?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В созданном вами сервисе верните source port как было (0-65535), destination сделайте 8080
Новый (внутренний) порт 80 указывается в параметрах SAT правила

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все это я уже проделал, с поправкой на номера портов конечно.
В том то и дело, что одна пара правил работает (которая прпобрасывает HTTP-протокол на вэб-сервер), а две другие пары - нет.

Попробовал сделать так, как вы описываете, хотя конечно немного не понимаю, в таком случае ведь пакеты для вэб-сервера документооборота будут перенаправляться в локалку на порт 8080, а вэб-сервер работает на 80. Или я здесь неправ?

В любом случае это не сработало, да и не объясняет почему не работает перенапраление протокола RDP.

1. NAT пробовали?
2. Всегда именно неработающие правила поднимали выше остальных?
3. И не используйте интерфейс any.


Вам надо просто без преобразований пробрасываать порт 8080? Тогда делайте это точно также, как для других. Если сервер один и тот же, то хватит одной пары правил для группы сервисов.

Пишите полно, какие порты пробрасываете и на какие внутренние адреса.

Большинство всех аспектов проброса портов в указанной ранее ссылке затрагивалось.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Четко объясните, что вам надо сделать с тем портом (каким?), который не работает

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

YuriAM

На 80 порту снаружи должен быть виден сайт компании, поэтому 80 порт снаружи я пробрасываю с внешнего интерфейса на 80 внутри на вэб-сервер в дмз-зону - это первая пара правил и она работает.

На порту 3389 должна быть возможность доступа к серверу терминалов, поэтому порт 3389 снаружи пробрасывается второй парой правил на порт 3389 на терминальный сервер в дмз-зону (одним интерфейсом он подключен к ней) - не работает.

На порту 8080 снаружи должен быть виден вэб-сервер документооборота, поэтому порт 8080 снаружи пробрасывается третьей парой правил на порт 80 внутри на вэб-сервер в локалке - не работает.

Сервер терминалов - стоит в LAN? И проверяете вы изнутри локалки, а не извне?
Для этого случая надо избавляться от any в правилах и делать пару правил - SAT+Allow wan>core, SAT+NAT lan>core
Частный случай с сервером в DMZ будет работать и с any, но это не лучшее решение

Для случая порта 8080
В службе порты source 0-65535, destination 8080, ALG none
В правиле SAT new port = 80
Если не работает, показывайте в разрезе этого правила как настроено

Надеюсь, напоминать о том, что DFL должен быть шлюзом для серверов, не надо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

danilovav
Оказалось нужным напомнить про шлюз
Спасибо большое - теперь все работает.