Как в dfl-600 сделать так, чтобы по обращении к определённым портам из интернета запросы переводились на определённый компьютер в сети?
Конкретно чтобы сделать VPN соединение в обход файра

Если под VPN подразумеается использование PPtP, то в этом устройстве есть встроенные pptp сервер и чтобы к нему обратиться не нужно использовать port mapping.
Если же речь идет о pptp клиенте за dfl-600 использование port mapping не обязательно, в устройстве есть pptp pass-through, позволяющая пропускать gre пакеты.
Использовать порт маппинг для pptp не удастся, т.к. мапить можно только UDP/TCP пакеты, а pptp использует gre.
Если речь идёт о IPSec устройство может поднимать туннель, так же в нем присутсвует функция IPSec-pass-through, позволяющая поднимать туннель сквозь fw.

Однако, gre обычно нормально пропускается, но при условии, что внутрь пропускается также относящийся к PPTP TCP 1723. Так что без порт-маппинга никуда, а вот с ним шансы, что заработает - 90% (по моей собственной оценке, конечно).

_________________
best wishes, drserge

Тут позвольте с Вами несогласится.
Я проводил эксперимент для уяснения различий pptp pass-through и обычным mapping. Соединение даже не устанавливалось(pptp pass-through был выключен) несмотря на все разрешения tcp и udp пакетов.
Я считаю, что дело именно в gre.

Из чего делаем вывод, что pptp-passthrough как раз нужен, чтобы пропускать помимо tcp 1723 сопутствующие ему gre пакеты Также одной из функций pptp-passthrough считаю грамотный разбор пакетов gre для разных источников/получателей.
Но без port-mapping tcp 1723 никакие gre пакеты внутрь не пойдут даже при включенном pptp-passthrough (речь о установлении соединения со стороны сетей общего доступа /интернет/ к серверу во внутренней сети).

В конечном итоге приходим к выводу, что необходим и pptp-passthrough, и port-mapping tcp 1723 для получения доступа к серверу pptp во внутренней сети извне , а про то, что не надо использовать pptp-passthrough я не писал.

_________________
best wishes, drserge