День добрый!

ситуация. есть:
wan1ip1 (все ходят в интернет через него)
wan1ip2 (на нем висит почтовик)
оба адреса от одного прова (соседние адреса)

есть DMZ dmz_ip0 - адрес на dfl

почтовик dmz_ip1
есть прокси-сервер dmz_ip2

ну и соотв. локалка lan_ip, которая ходит через прокси-сервер в интернет.

если я хочу зайти из локалки на wan1ip2 меня отфутболивает.

правила там стоят для сервисов SAT и Allow соотв. снаружи все работает.
но из локалки я попасть не могу с одного внешнего на другой.... где копать?
вместо allow ставить NAT тоже не вариант, тогда все, что приходит снаружи имеет адрес dmz_ip0

Я, лично, так и не понял, какого рода доступ вы хотите?

Что именно не работает?

При обращении откуда куда и по каким портам нет доступа?

Может вам тупа поможет правило
Allow lan lannet core wan1_ip2 all-services
прописанное выше всех остальных?

Или лучше читайте следующий пост.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это называется не "с одного внешнего на другой", а "NAT Loopback".
Делается так:
SAT lan/lannet -> core/wan1ip2: translate dst to ... (свми знаете куда, можно расширить имеющееся правило SAT, чтобы включало lannet).
NAT lan/lannet -> core/wan1ip2 (а вот тут отдельное правило, в имеющемся у Вас, вероятно, Allow, а для loopback нужна трансляция src также!)

Т. е. для внешних клиентов делаете Allow, а для локалки -- NAT (естественно обращения из локалки будут видны под адресом DFL). Если же сервер, на который идет проброс, не в LAN (в DMZ или VLAN, например), тогда можно и для локалки Alllow.

правило NAT мне не подходит, тогда все IP адреса снаружи у меня определяются как внутренний адрес интерфейса, через который попадают... в моем случае dmzip роутера....

вот 2 группы правил, которые есть у меня.

Для внешних клиентов делаете Allow, а для локалки -- NAT (естественно обращения из локалки будут видны под адресом DFL). Если же сервер, на который идет проброс, не в LAN (в DMZ или VLAN, например), тогда можно и для локалки Alllow.

получилось вроде, только вот так надо правила делать в моем случае:

SAT wan1/all-nets -> any/wan1_ip2
Allow wan1/all-nets -> any/wan1_ip2

SAT dmz/dmznet -> any/wan1_ip2
NAT dmz/dmznet -> any/wan1_ip2

Только вместо any лучше делать core, потому что именно это имеет место.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

core работает только для основного ip адреса .
в данном случае второй ip. работает только any.

по крайней мере, у меня только так...

Тогда вам надо делать так, чтобы было все красиво.

http://forum.dlink.ru/viewtopic.php?f=3&t=114002

У вас, вероятно, все сделано кроме п.2 - привязывания адреса к core.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

я вообще никакие доп маршруты не делал.

но теперь добавил

core wan1_ip2 0

и поменял в правилах для второго ip везде any на core

получилось вот так:

Ещё одно.

Гораздо удобнее создавать правила не для одного сервиса, а для группы сервисов. В результате кол-во правил можно уменьшить в разы. Это и нагляднее и проще в администрировании.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ага. спасибо. переделаю) заодно и прошивки на своих железках обновлю до 2.40.02.12 )