Всем доброго времени суток.
Имеются следующие настройки на DFL-800.
В папке LAN to WAN1 содержатся все правила доступа в интернет для пользователей локальной сети.
Согласно одному правилу некая группа имеет доступ в интернет (http).
Согласно другому - вся локальная сеть имеет доступ к некоему множеству сервисов (pop3, smtp и прочее).
Ну и так далее.
В самом конце стоит правила DROP NAT lan lannet wan1 all-nets All_services - чтобы закрыть все, что не разрешено предыдущими правилами.
Теперь возникла необходимость открыть всей локальной сети доступ к google-analytics.
Доступ этот по 80 порту.
Попробовал настроить через ALG - ничего не вышло (те, кому запрещен интеренет(http) или не могуз зайти на google-analytics или могут зайти куда хотят).
Настройки были такими:
В ALG в URL filter был указан в Whitelist url-адрес *.google-analytics.com/*. Этот ALG получил имя google_analytics.
Далее был создан сервис Google_analytics с параметрами source:0-65535 destination:80 alg: google_analytics
Было создано правило в папке LAN to WAN1
nat lan lannet wan1 all-nets google-analytics

Так вот: если это правило поставить перед общим дропом, то все, кому запрещен интернет могут ходить в интернет несмотря ни на какие другие запреты, а если после общего дропа, то те, кому интернет (http) запрещен, не могут зайти на google-analytics.

Теперь вопрос: знающие люди - что я сделал неправильно?

System > DNS - рабочие сервера?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вообще компьютеры в сети используют DNS от контроллера домена, а не DNS от DFL.
Это как-то влияет?

DFL для работы ALG требуются DNS сервера для себя
Даже если у вас все будет правильно настроено, без DNS работать не будет

К слову, для разрешение одного сайта, кроме добавления оного в whitelist, надо добавить еще blacklist *

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc