Заранее извиняюсь, если получу RTFM, но все же прошу сильно не бить....

есть локальняа сеть lannet. есть еще некоторый "набор небольших локальных сетей". сказано (таблицей маршрутизации) что эти сети расположены за одиним из ip из locantet. все работает, но,

требуется: фильтровать трафик на эти сети и из этих сетей по портам, ip, и т.п..

почитал мануил про transparent mode. ничего не понял, но чувствую что оно то мне и нужно.

как мне предполагается, при взведении transparent mode интерфейс dfl "теряет свой ip" , и может фильтровать трафик как будто налету из одного интерфейса в другой?

т.е. мне нужно, к примеру, на dmz интерфейсе включить этот режим, прописать правила dmz(набор небольших локальных сетей)<-allow нужного->lan(lannet), вместо lan потра вставить шнурок шлюза, за которым и расположен "набор небольших локальных сетей" в dmz и все?

p.s. даже не знаю как сказать, но прямо таки испытываю сложности понимания этого раздела про transparent mode. может подскажите "па пальцах" простенький пример как это работает? спасибо!

Судя по постановке прозрачный режим вам не нужен.

Фильтруйте трафик с помощью IP правил.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

... ммм

может я что не понимаю,

но после первого же запроса из локалки на эти "маленькие сети", компьютер поймет (пропишет себе в таблицу smallnetip mask 255.255.255.255 не_dfl_ip) что они находятся за другим (не dfl) шлюзом и будет ходить туда напрямую....

p.s. собственно шлюз, за которым находятся "маленькие (другие) сети" не мой

Ну в этом случае вам и прозрачный режим не поможет. DFL контролирует только тот трафик, который проходит через него.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вот об этом и речь.

локальную сеть и шлюз в эти "маленькие сети" я могу повесить на dfl на разные интерфейсы. собственно хотелось как бы lan и dmz потры объединить, как будто это просто коммутатор. а фактически анализировать трафик из lan (lannet) -> dmz (small_nets)

p.s. ели я что то недопонл с transparent mode, подскажите на примере что это такое и зачем он нужен...

Да, в этом случае прозрачный режим поможет. Деталей не скажу. Т.к всегда обходился без него. RTFM ))

И в вашем случае, я бы сделал без него ). Разве что цель - ввести юзеров в заблуждение тем, что будто бы всё соединено напрямую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ура! заработало.

методом перебора, правда. но в принципе все достаточно логично.

1. создаем группу интерфейсов (lan-dmz)
2. создаем switched route. туда эту группу интерфейсов и ip подсеть
3. в таблице маршрутизации, где я настраивал маршруты на "маленькие сети", указываю интерфейс dmz (собственно тут и был корень зла. раньше был lan).

работает. только воапрос, а можно ли убрать у dmz интерфейса ip?

можете просто сделать левый адрес

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.