Возникла проблема с DFL-860E 2.40.01.08-17754

из вне ppoe на wan1
внутри lan 192.168.73.xx

Требуется чтобы:
по прежнему был интернет в локалке через wan1
по внешнему адресу 80.92.хх.хх и по порту 6060 попадали на сервер внутри локалки 192.168.73.117 по 6060 порту

аналогично еще несколько сервисов
по внешнему адресу 80.92.хх.хх и по порту 6061 попадали на сервер внутри локалки 192.168.73.80 по 6060 порту
по внешнему адресу 80.92.хх.хх и по порту 6062 попадали на сервер внутри локалки 192.168.73.75 по http порту
по внешнему адресу 80.92.хх.хх и по порту 6063 попадали на сервер внутри локалки 192.168.73.77 по http порту

Проблема в том, что при настройке проброса портов по инструкции (http://www.dlink.ru/ru/faq/85/480.html) выдает ошибки. Скрин лога в приложении.

ps мои подозрения в ошибочности падают на:
Source interface: any
Source network: all-nets
Destination interface: core
Destination network: wan1_ip
баловался с ними, но без результата (пробовал Destination interface: all, Destination interface: wan1)

Вот тут viewtopic.php?p=873935 рассматривается подобная ситуация.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

NAT Loopback там поищите. Вам именно это надо

На форуме эта тема обсасывалась многократно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Касаемо NAT Loopback в теме от MTRX:



В моих настройках не хватает правила из lan/lannet в wan1?

По форуму по Nat Loopback выдает огромное количество страниц. Первые 3 страницы с результатами ведут к темам с другими проблемами.
Поиск по dfl в названии темы тоже не очень помог
Скрин настроек прикладываю

ps может кто вспомнит хорошую инструкцию? или быть может обновленную...

1. Вы на скриншотах по моей ссылке видели хоть в одном поле SourceInterface запись "any" ?!!!!!!!!
Нет?

2. Пара правил должна быть в следующем порядке: сначала SAT а потом Allow (или NAT)
Но никак не наоборот.


Вот поэтому и НЕ АЛЛЕ!!!!!!!!!!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

1. Про any, почитал тут. В тестовом режиме пока так.

ps в инструкции http://www.dlink.ru/ru/faq/85/480.html написано:
Source interface: any
Source network: all-nets

на что их сменить?


2. Первые правила для geo1_in_sat и geo1_in именно в таком порядке, но они не работают.

У Вас на DFL'ке есть внешний IP.
Не знаю, как другие, но у меня нет четкого понимания, откуда вы хотите выполнить проброс портов.
Где у Вас находится хост, который стучится на DFL'ку по внешнему IP - снаружи, т.е. в Интернете? или в локальной сети?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

да, может плохо написал:

т.е. на wan1 80.92.хх.хх по нему интернет, на его 6061 и приходят пакеты, которые надо направить внутрь локалки

пакеты прилетающие на 6061 порт 80.92.хх.хх (воткнутый в wan1) попадали на сервер внутри локальной сети

хост, который стучится на DFL'ку по внешнему IP - снаружи, т.е. в Интернете

Если снаружи, то у Вас должна быть пара правил примерно такая:

SAT wan1/TrustedGrp wan1/Public_IP 6060 (sat->192.168.73.117:6060)
Allow wan1/TrustedGrp wan1/Public_IP 6060

где
Public_IP = 80.92. ......
TrustedGrp = хост1, хост2, ... внешние

Вообще, особых знаний и навыков не требуется, чтобы допилить под себя те правила, которые показаны на скриншоте по ссылке.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Даже в тестовом так делать в Вашем случае противопоказано.

А Чем Вам не нравится реально рабочий конфиг по ссылке? Там все разжевано для младенцев. Я Вам правила как раз на основе скриншотов дал!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Краткий рисунок.

Я уже написал Вам правила. Занимайтесь!

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И, в первую очередь, особенно как любитель any/all-nets, выносите все отлаживаемые IP правила выше остальных правил и папок.

Ничего хитрого в пробросе портов нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

За исключением ICMP, NAT и правила DROP все так. Они нужны для моего случая?

Это уже Вам решать, нужно разрешать пинг на железку или нет. Нужно делать NAT или нет. Нужно делать отдельные дроп-правила для мусора или оставить дефолтные.
Это Вам не инструкция, которой надо четко следовать. Это РАБОЧИЙ КОНФИГ, которого можно придерживаться. Разницу ощущаете?
Кстати, и в инструкциях тоже бывают недочеты. Поэтому надо стараться понять, что для чего делается, а не тупо как студент передирать все из методички.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...