есть:
несколько не связанных между офисов. в каждом по 1 роутеру DFL 860E и несколько компьютеров.
Прошивка 2.27.06.10 ru (может посоветуете чтото посвежее и стабильнее?) пробовал ставить 2.40, через неделю роутер зависает что надо перезагружать. такой подход не устраивает.
теперь вопросы:
1. берем 1 любой из офисов. DHCP категорически не будет. Необходимо разрешить полный доступ к интернету на 1-2 компьютерах, на остальных оставить открытыми только 2 внешних ip и корпоративную почту работающую через Outlook. порты pop3 110, smtp 25. В идеале еще сделать привязку IP к MAC адресам, но это гдето читал что через ARP, посмотрю.
2. иметь возможность просматривать удаленно mac адреса компьютеров подключенных роутеру.

Мои действия:
прописываю внешние ip адреса в adressbook, создаю 2 группы ip адресов внутренней сети. раскидываю внутренние IP адреса по этим группам (возможно потом делаем привязку к макам через ARP, еще не смотрел). Далее создаю правила доступа, и вот тут затык.

# Name Action Source interface Source network Destination interface Destination network Service
1 SAP NAT lan lannetAddress: 192.168.1.0/24 wan1 SAPAddress: *** all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
2 SAP2 NAT lan lannetAddress: 192.168.1.0/24 wan1 SAPAddress: *** all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
3 MAIL NAT lan lannetAddress: 192.168.1.0/24 wan1 MAILAddress: *** all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
4 Block NAT lan NachalnikAddress: 192.168.1.2 wan1 all-netsAddress: 0.0.0.0/0 http-outboundDestination ports: 80
5 Blockall Drop lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 all_tcpudpicmpMembers: all_icmp, all_udp, all_tcp
6 drop_smb-all Drop lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 smb-allDestination ports: 135-139, 445
7 allow_ping-outbound NAT lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 ping-outbound
8 allow_ftp-passthrough_av NAT lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 ftp-passthrough-avDestination ports: 21
9 allow_standard NAT lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 all_tcpudpDestination ports: 0-65535

насколько я понимаю затык в 3 правиле. 4 правило просто блокирует список файлов по блек листу для компа с ипом 192.168.1.2, 5 правило блокирует весь трафик.
Пробовал ставить в 3 правиле и Allow, и просто открывать порты 25 и 110 без указания ip e-mail сервера. безрезультатно.
После включения правила Outlook минут 5 еще спокойно отправляет-принимает письма, через 5 минут выводит сообщение о том что не удалось подключиться к серверу.
Заранее спасибо за помощь.

Уж не знаю почему у Вас виснет на 2.40 - должно стабильно работать. Думаю все остальные форумчане, кто испольует 860 со мной согласятся.
По поводу остального:
Делаете две группы из офисных ПК - группа Net и группа Mail
после чего в правилах разрешаете им необходимые протоколы:
для группы Net:
Интерфейс источника: lan
Сеть источника: указываете свою группу Net
Действие: Nat
Интерфейс назначения: wan1
Сеть назначения: all-nets
Протоколы: all-service

Аналогично для группы Mail:
только тут в разделе "протоколы" будет: pop3, smtp и еще dns-all (советую объединить их в одну группу для удобства).
Ну и настройках каждого ПК прописать ручками шлюзом адрес DFL и DNS адреса, если нет релея.

Если SAP - это именно SAP (ERP), то все порты не надо открывать. Зависит от вашей конфигурации, но обычно надо совсем немного.

По поводу того что 2.40 виснет - попробуйте не 2.40.00, а 2.40.02.

МАС адреса смотреть в консоли командой arp -show


Соответственно, по вашей задаче

Objects > Address book
Заводите объекты-адреса компьютеров с интернетом
Объединяйте их в группу gAllowInternet

Interfaces > ARP
Тут можно сделать Static ARP для "закрепления" IP адресов с интернетом за их компьютерами

Rules > IP rules
# разрешим внутренний и внешний пинг
Allow lan/lannet core/lan_ip ping-inbound
Allow wan1/all-nets core/wan1_ip ping-inbound
# drop smb-all
Drop lan/lannet wan1/all-nets smb-all
# хосты с интернетом
NAT lan/gAllowInternet wan1/all-nets all_services
# все остальные - повторяйте правила для серверов/сервисов
NAT lan/lannet wan1/yourserver_ip yourservice

Финального drop не надо т.к. DFL работает по правилу "все запрещено, что не разрешено"

И хорошее замечание про DNS - либо разрешите всем, либо используйте внутренний сервер и разрешите ему, либо DNS relay

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

2.40.02 скачал, попробую потестировать на одном из свободных роутеров.
собрал вместе 2 поста, все получилось. не смотрел еще только привязку ИПов к МАКам.
Нужно было изначально исходить из того что

Понял что делал неправильно, спасибо.
Возник еще вопрос дополнение.
необходимо целиком заблокировать интернет на компьютерах на которых интернет не раздается, но открыть им доступ к определенному сайту, например mail.ru и соответственно почте в нем. Используются порты 80 и 443.
попробовал вписать такое правило:
8 Sites NAT lan lannetAddress: 192.168.1.0/24 wan1 all-netsAddress: 0.0.0.0/0 http-allDestination ports: 80, 443
внутри преднастроенный Service http-all с ALG созданным по http://www.dlink.ru/ru/faq/85/490.html
где сделал URL filter:
Blacklist *.ru/*
Blacklist *.com/*
Whitelist *mail.ru/*

с такими настройками пускает на Mail.ru, но не пускает дальше, в почту мейла, имеющую адрес https://e.mail.ru/cgi-bin/msglist

ЗЫ. через веб интерфейс посмотреть маки подключенных пользователей нельзя? при включенном DHCP видел гдето в Connections или Status, не помню точно.

HTTP ALG работает только на HTTP, разрешения на HTTPS надо давать по IP адресам.

Блеклист настройте лучше вот так
Blacklist *
Whitelist mail.ru/*
Whitelist *.mail.ru/*

Через web интерфейс МАС адреса не посмотреть, только через консоль (SSH). При включенном DHCP можно посмотреть МАС на основе DHCP lease.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc