Здравствуйте!

Есть устройство DI-808HV, конфигурация: WAN-порт 192.168.213.162/24, LAN 192.168.110.0/24.
Есть IP-устройство 192.168.110.42, которое должно быть доступно из подсети 192.168.213.0/24 как 192.168.213.162.
Пытался делать его DMZ и публиковать, как виртуальный сервер.
В обоих случаях, если послать пакет с устройства 192.168.110.42 на адрес 192.168.213.162, то этот пакет "заворачивается"
в роутере и возвращается опять же на 192.168.110.42. Мне нужно, чтобы пакет в таком случае "прибивался".
Настройка Firewall-правила (см. ниже) не помогает.
Action: Deny;
Source: lan, IP Start: 192.168.110.42, IP: End пусто;
Destination: *, IP Start: 192.168.213.162, IP End: пусто;
Protocol: *,*
Что я делаю не так?

Файервол трогать не надо. Настройте только DMZ либо виртуальный сервер. На устройстве 192.168.110.42 шлюзом должен быть прописан DI-808HV.

Это все понятно. Устройство работает как надо. Меня интересует, как настроить правило, запрещающее пересылку пакетов из локальной сети на IP-адрес WAN-интерфейса, ибо они возвращаются на устройство в локальной сети, которое опубликовано через DMZ или как виртуальный сервер.

Ничего не понял, приведите пример. Прошивка на устройстве какая?

Пусть 192.168.110.42 - компьютер, опубликованный как DMZ. Правило, которое я привел выше, тем не менее позволяет делать ping с этого компьютера на адрес 192.168.213.162. То есть компьютер пингует сам себя через WAN-интерфейс. Я все пытаюсь, что бы вы огласили порядок (читай "честность") применения правил firewall к адресу DMZ.

К сожалению, прошивка Pre V2.00b04 от 24.05.2007 не помогла.
Пришлось взять на себя обязанности тех. поддержки.

Ниже приведен список правил, которые я задавал и результат их действия. Повторю исходные данные (см. посты выше):
WAN_IP = 192.168.213.162
LAN = любой из подсети 192.168.110.0/24
Адрес LAN 192.168.110.42 назначен, как DMZ

Все правила Deny (запрещающие). Изменения от правила к правилу выделены жирным шрифтом.

Правило 1: работает (но мне не нужно всю WAN-подсеть закрывать)
Source=LAN,* Destination=WAN,* Protocol=*.*
LAN -> WAN_IP DISABLE
Log: ...Blocked access attempt from 192.168.110.xxx: to 192.168.110.42:6 rule=0 (by firewall)

Правило 2: не работает (это то, что нужно)
Source=LAN,* Destination=WAN,192.168.213.162 Protocol=*.*
LAN -> WAN_IP ENABLE

Правило 3: Firewall Rules is invalid! (логично)
Source=LAN,* Destination=LAN,192.168.213.162 Protocol=*.*

Правило 4: не работает (тоже бы подошло)
Source=LAN,* Destination=*,192.168.213.162 Protocol=*.*
LAN -> WAN_IP ENABLE

Правило 5: работает (но не устраивает, т.к. DMZ-адрес в LAN может смениться)
Source=LAN,* Destination=WAN,192.168.110.42 Protocol=*.*
LAN -> WAN_IP DISABLE
Log: ...Blocked access attempt from 192.168.110.xxx: to 192.168.110.42:6 rule=0 (by firewall)

Из сообщений в логах видно, что правило firewall применяется уже после того, как произведена трансляция сетевого адреса для входного пакета DMZ, что вообще необъяснимо, так как, в моем понимании, правила LAN->* должны применяться ко всем пакетам в процессе пересылки этих пакетов из LAN в ядро роутера. Но так, как D-Link не публикует структурную схему прохождения пакетов по роутеру (как, например, это делает Zyxel), то догадаться, как там все происходит, довольно сложно.