Коллеги, приветствую.
Возник вопрос по dfl-210 в transparent режиме.

Ситуация такая: есть небольшой пул белых адресов; 2 из них у хостов, допустим, 1.1.1.2 и 1.1.1.3, один на wan интерфейсе dfl, допустим 1.1.1.4; dmz интерфейс свободен;
на wan интерфейсе nat для доступа пользователей в инет; хосты с белыми ip подключены параллельно фаерволу.
Встала задача хосты с белыми ip убрать за фаервол, но обязательно с сохранением на хостах белой адресации.

Насколько я понимаю, это можно реализовать через transparent mode. Возникли вопросы по реализации:
1. я правильно понимаю, что на паре wan-dmz transparent сделать не получится из-за настроенного nat на wan?
2. тогда остается пара dmz-lan, точнее dmz и vlanIf, связанный с одним из lan портов
3. какая адресация должна при этом быть на dmz и vlanIf, можно какие-то левые задать, типа 192.168.1.1 и 192.168.1.2 или вообще 0.0.0.0 на обоих, или из этого белого пула должны быть, например, адрес wan?
4. далее создается группа интерфейсов с этой парой dmz-vlanIf, создается switch route с этой парой и all-nets в параметре Network и allow правила между dmz и vlanIf.

Такая схема рабочая или что-то упущено/некорректно?

К сожалению, нет возможности тестировать эту схему. Надо, чтобы завелось все с первого раза.
Поэтому буду рад комментариям

Коллеги, ну что, никто не прокомментирует?
Протестировал данную схему (dmz-vlanIf) - не работает.
Делалось по мануалу двумя способами: через группу интерфейсов+switch route; через галку включения transparent mode в настройках интерфейса.
Куда копать?

копать в сторону proxy ARP
что не работает?
схему сети, статус роутес, логи - в студию

Я лично никогда не любил прозрачный режим и не использовал его. При необходимости выставить в инет устройства с текущими белыми адресами, это не трудно сделать через NAT.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нат - не вариант. Нет возможности изменять ip настройки.
Схема следующая

ISP 1.1.1.1

1.1.1.4 1.1.1.2 1.1.1.3
DFL H1 H2

хосты необходимо убрать за dfl.
есть подсеть 1.1.1.0/29, т.е. есть еще 2 свободных ip.
по схеме с proxy arp:
первый свободный ip - 1.1.1.5 - вешаю на dmz интерфейс;
создаю объект network из двух узлов - 1.1.1.2 и 1.1.1.3;
создаю маршрут dmz эта_сеть_из_двух_узлов в прокси арп выбираю wan интерфейс 1.1.1.4

такое заработает?

Коллеги, что скажете?

Когда-то довольно давно этот случай описывал danilovav.
Воспользуйтесь поиском.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...