Здравствуйте!
Задача: подключить в Lan-net DFL-800 общедоступный WebServer (192.168.0.8 ). интернет подключен к wan1 (постоянный ip 84.254.206.111)
на дефолтные настройки добавил iprule:
1. SAT any all-nets core wan1_ip http (192.168.0.8 - sat destination)
2. Allow any all-nets core wan1_ip http
Результат: с компа (84.254.206.100) из сети wan_net запрашиваю страничку, dfl пробрасывает пакеты снаружи на веб сервер, но в адресс отправителя ставит не свой lanip (192.168.0.143), а оригинальный адресс отправителя (84.254.206.100), то есть:
пакет приходящий в DFL: 84.254.206.100 1234 - 84.254.206.111 80 транслируется в пакет уходящий в lan: 84.254.206.100 1234 - 192.168.0.8 80
в итоге веб сервер игнорирует такие пакеты (ему нужны пакеты с отправителем из локалки)
вопросы:
1. как переделать уходящие в lan пакеты в вид: 192.168.0.143 xxxx - 192.168.0.8 80 (где 192.168.0.143 - lanip)
2. для решения первого вопроса попытался вперед этих двух правил поставить nat any all-nets core lanip http - результата не дало, в связи с этим вопрос: каким образом действуют правила если пакет подходит под несколько? (можно с примером?)
3. что означает поля Source, Destination (Interface,Network) в фильтре адресов?
4. зачем помимо правила SAT создавать правило allow?
5. если для решения этой задачи используешь трансляцию адрессов, то маршрутизацию не нужно настраивать чтоли?
спасибо!
и извините за ламерство если че

Не проще ли перенастроить веб-сервер на прием пакетов со всех адресов?
Source - адрес/интерефейс откуда пришел пакет.
Destination - адрес/интерефейс назначения пакета.

1. этот сервер уже работает и на нем поднята маршрутизация в инет (fbd), короче нельзя его трогать
2. если у меня есть такая штучка как dfl-800, дак надо же ей уметь рулить
да понятно
непонятно что значит "назначение" - адресс получателя оригинального пакета, который пришел в DFL, или адресс получателя пакета, который вышел из DFL (то есть использование этих полей маршрутизирует пакет или нет?)

Фильтр проверяет поля оригинального пакета.

спасибо,
по поводу вопросов 1,2,4,5 кто-то знает че то?

Попробуйте nat any all-nets core wanip http.

попробовал
1.
ставлю Ваше правило перед указанными двумя:
в логах DFL видно что он открывает соединение 84.254.206.100 - 84.254.206.111. 80 (PC из Wan и DFL wan_ip), логирование остальных правил тоже включено но информации по ним нет, более того ставлю снифер на lan порту - там ничего не выходит из DFL - делаю вывод что остальные правила просто не работают
2. ставлю Ваше правило третьим (тоесть после моих) - устанавливается соединение 84,254,206,100 - 192,168,0,8 - делаю вывод что это правило не работает на этот раз

понятно что вроде занатить надо эти пакеты мне, (я указывал в настройках nat адресатом lan_ip). но в каком порядке их писать то или еще че покруче тут?

помогите пожалуйста!

Поставьте это правило вместо allow, оставив sat.

круто, связка
1 HTTP_port_mapping SAT any all-nets core wan1_ip http
2 HTTP_INBOUND_NAT NAT any all-nets core wan1_ip http
работает

а не могли бы Вы уважаемый Beliar проговорить поэтапно трансформацию пакета по этим правилам, а то я че то не понимаю почему именно так должно быть:
1. порядок правил
2. почему вместо allow sat?

извините за такую въедливость (просто это только начало), и спасибо за реальный совет!!!

SAT подменяет адрес назначания в пакете.
Allow пропускает измененный пакет.
NAT изменяет исходный адрес и пропускает пакет.
Соответсвенно работают они только в связке SAT/Allow или SAT/NAT.

вот это до меня не доходило, то что nat еще и пропускает
спасибо!