Долгое время использовал опцию DMZ для доступа к серверу из интернета.
Сейчас возникла необходимость подключить два сервера, на одном ICQ server и RDP (5190, 4339) на втором WEB, MAIL, SSH сервера активные порты (20-110 & 8000-10000).
Как я понял из документации firewall rules при активном DMZ не работают т.е. просто пробросить два порта не выйдет.
Для теста два компа за маршрутизатором получили IP 192.168.0.88 и 99 на обоих запущен WEB сервер на портах 5190 и 80
Пытался прописать правила firewall:
web1 - allow interface WAN * * interface LAN 192.168.0.88 192.168.0.88 TCP 5190
web2 - allow interface WAN * * interface LAN 192.168.0.99 192.168.0.88 TCP 80
allother- deny intarface WAN * * interface LAN 192.168.0.2 192.168.0.254 all

Сорхаряю изменения, перезагружаю маршрутизатор.
Но ничего не работает, даже без последнего правила
Ощущения что то забыл прописать, нужно ли прописывать правила для проброса портов со стороны LAN для работы firewall ?

_________________
...такого в магазине не купишь ...

Какие записи в логе (системном журнале) при попытки подключения со стороны wan?

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

в том то и дело, что ничего существенного и относящегося к проблеме не пишет.
ну да ладно разобрался сам, опишу суть.
После того как с Firewall rules не заработало попытался открыть аналогичный порт на выход в разделе Port Forwarding , что меня туда пенесло не знаю, но создал правило
web1 Trigger 5190 TCPUDPAny Firewall 5190 TCPUDPAny и аналогичное для 80го порта и о чудо заработало!
Но непорядок должно быть более изящно.
и тут мой взор падает на Port Forwarding
и прописываем здесь
Application Name HTTP (потом можно изменить на любое свое)
Public Port 5190 5190~ протокол - Any
IP Address 192.168.0.88 (адрес еашего первого сервера)
Private Port 5190 5190
и о чудо, опять все работает!
т.е. как , я понял, Port Forwarding прописывает оба правила на входящий и исходящий трафик, с тем условием, что у него одинаковые порты на в.ход и выход.
Что меня вполне устраивает, если необходимо сложная конфигурация, то входящий трафик можно разрулить через firewall а исходящий (вне зависимости от ip адреса источника, но по заданному порту, выпустить наружу через Port Forwarding .

Но сейчас меня посетил вопрос (практически проверять пока времени нет) если прописаны Port Forwarding
и задействован DMZ будут ли они работать оба, т.к. DMZ находиться ниже по списку настроек то логично, что сначала должны отработать правила для приложений и если ни одно из них не сработало пакет передаеться в DMZ. Но не все что логично, есть на самом деле.

_________________
...такого в магазине не купишь ...

Проверил, последнюю мысль - работает.
Почемубы простыми словами это не написать в руководстве или с приведением примеров. В маршрутизаторе сделали справку но какуето ущербную. Более того к написанию хелпов нужно привлекать "блондинок" а не отдавать все на откуп технарям, т.к.если даже блондинка поймет то что написано в справке, то это действительно будет справкой а не произведением на "тарабарском" языке.

_________________
...такого в магазине не купишь ...

А то, что вы написали, думаете, понятно кому-то?
Всего-то нужно было отключить DMZ и пробросить нужные порты на нужные внутренние ip. В правилах файрвола ничего прописывать при этом не надо (и даже заходить туда не нужно), так как для проброса портов автоматом создаются нужные правила.