Помогите по DFL-860E.
Можно ли создать правило SAT для публикации внутреннего сервера на 2 внешних интерфейса (WAN1 и WAN2) и как это работает в случае включения балансировки WAN портов? Нужно создать два правила SAT и ALLOW на каждый интерфейс?

Да, можно. Да, либо по 2 правила, либо сделать группу интерфейсов из WAN1 и WAN2 и в правила загнать ее.

Но важно еще, чтобы ответ всегда возвращался через тот интерфейс, с которого пришел входящий пакет. Для этого нужно настроить PBR (Policy-Based Routing). Дополнительно к main создать еще две таблицы маршрутизации: wan1_return и wan2_return. В каждой таблице задать по одному маршруту на all_nets только через соответствующий интерфейс. И создать два правила маршрутизации: если source interface == WAN1, то forward table = main, return table = wan1_return; аналогично для WAN2.

Если SAT правило будет с группы, т.е. wans/all-nets > core/wans_ip, то надо обязательно ставить галку All-to-One Mapping: rewrite all destination IPs to a single IP
Ну и альтернативные таблицы - обязательны

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

ВО!!
А я не знал, потому то группа core/wans_ip не работала, только core/all-nets
Терь все заработало!
Скопирую Ваш пост в тему где я об этом писал

А что должно быть в основном правиле main? У меня по умолчанию там уже содержатся маршруты через соответствующий интерфейс. И каков должен быть порядок этих правил - Ordering? Если у меня применяется сценарий балансировки Route Load Balancing для таблицы main, то его следует применить и к альтернативным таблицам?

в майне должны быть дефолтные маршруты с мониторингом. Балансировку только на альтернативные таблицы, Ordering на альтернативных таблицах Only

Под дефолтным маршрутом подразумеваются правила wan1 all-nets, wan1 all-nets и еще lan lannet?

вернее wan1 all-nets, wan2 all-nets и lan lannet

да, все что создается по умолчанию должно быть в майне, в альтернативных таблицах они дублируются (только те которые необходимо) для балансировки, для входящих запросов в локалку надо еще таблицы создавать, для каждого интерфейса свою таблицу + правила маршрутизации + правила SAT/ALLOW, как сказали ранее + для того чтобы из локалки можно было подключатся к серверам в локалке через внешний IP (например по доменному имени через DNS) нужны правила:
NAT/Allow, lan/lannet , core//wans_ip

Спасибо!
Можно про последние правила поподробнее, что они дают. Такие правила кстати уже есть (NAT lan lannet) для доступа пользователей в интернет, за исключением core//wans_ip (непонятно, для чего оно). И еще - какую метрику ставить на интерфейсы для правил?

Процесс простой, разрешив из lan в wan это еще не lan->wan->lan только core знает куда правильно отправить запрос., вот для него последнее правилдо и создается.
Запрос из lan передается в wan но wan в данный момент не способен его принять, поэтому последнее правило перенаправляет, согласно правилам lan->core + coire->lan сразу lan->lan но от имени lan->wan->wan->lan. Без выхода на физические интерфейсы.


по поводу метрики в мануале же написано:
http://dlink.ru/ru/faq/85/926.html

Как я понял, для доступа lan->wan->wan->lan (для того чтобы из локалки можно было подключатся к серверам в локалке через внешний IP, например по доменному имени через DNS минуя внешний интерфейс) должны быть добавлены правила:
Action: Allow
Service: all
Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: wans_ip

и такое же для NAT?
Прошу помочь разъяснениями.
Спасибо!

NAT loopback

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

да, core получая запрос из lan для (не путать с "в") wan и видя что запросы для wan должны быть отправлены в lan, автоматически перенаправляет этот запрос в lan, но уже от имени wan.
В данном варианте есть только один минус, все запросы из lan в lan через "wan" на сервере будут видны как запросы от DFL, единственное, что из этого будет понятно, так это то что запросы посылались из внутренней сети, но от кого именно вы знать не будете, пока не разберете весь лог (если он у вас ведется) DFLа по атомам. В этом смысле мыльницы "поумнее" будут

Мыльницы поумнее не будут - вариант SAT/Allow lan/lannet core/wan_ip > lan_server-ip большинством систем активной безопасности признается ARP спуфингом.
Если хотите видеть на сервере IP адреса клиентов из локалки, либо определите DNS для хождения и извне (с белым адресом), и изнутри (с внутренним), либо выносите сервер в отдельную подсеть/DMZ.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc