Внимательно ознакомился с похожими темами на форуме. И все равно имеется ряд вопросов/проблем.

Требуется разместить в DMZ роутера DFL-210 веб (в перспективе и мейл) сервер. Сервер Апач, линуксовый.
Делаю все по мануалу с учетом уже сказанного в топике viewtopic.php?t=48390&postdays=0&postorder=asc&start=15

1. Конфигурирую сетевой интерфейс на сервере (IPADDR=172.17.100.253), шлюзом там указываю GATEWAY=172.17.100.254, BROADCAST=172.17.100.255

2. Создаю свою группу служб, в которую входят сервисы:
web_server_services Group dns-all, http-all

3. Создаю в папке wan_to_dmz правила:

1 web_server_map SAT any all-nets core wan_ip web_server_services
2 web_server_map_allow Allow any all-nets core wan_ip web_server_services
3 ws2 NAT dmz dmznet core wan_ip web_server_services

В папке dmz_to_wan делаю правило для исходящего трафика:

1 allow_dmz_to_wan_http_dns NAT dmz dmznet wan all-nets web_server_services

Начинаю тестирование сервера. Снаружи без проблем цепляюсь телнетом на 80, 53 порты. В меню фаервоал, пункте connections, соединения на соответствующие порты фиксируются. При попытке на протестирвать DNS digом на сервере получаю сообщение о недоступности ДНС серверов.
Во втором правиле меняю Allow на NAT - вуаля, ДНС сервера отвечают нормально. Ошибка в мануале? Или я что-то не так делаю?

Пробую грузить сайт. Что по ip, что по имени - грузится долго. Раньше, когда веб-сервер являлся одновременно и шлюзом в интернет, все грузилось 1.5-2 секунды, сейчас - 11-15 секунд. В логах ничего подозрительного не вижу, хотя логгирование всех правил на DMZ включено. Куда смотреть?

Я в описаниях правил не увидел названия протоколов. DNS использует не TCP/IP, а UDP/IP. Может в этом дело...

Я написал, что моя группа сервисов использует стандарнтые dns-all, http-all. В dns-all используются TCP/UDP.

Сходу возникают вопросы по mail-серверу.

1. Порты 110, 25 открыты и на клиенте, и на сервере, но забрать почту не получается - аутлук пишет "Соединение неодижанно было прервано сервером... КОд ошибки 0x800ССС0F". Телнетом опять-таки эти порты отлично цепляются.

2. Отправке почты - письмо очень долго висит на серваке в очереди сообщений с надписью "Relaying denied... IP name lookup failed [172.17.100.254] ", но в конце концов отправляется. Надо ли подменять на роутере ip из dmz? Или это уже проблема из области настройки почтового сервера?

Веду диалог сам с собой. По веб-серверу вопросы снимаются. Очень странно работает пункт меню Disable для правил фаервола - просто все, что ранее было в состоянии Disable, я удалил, и сайт стал грузиться с нормальной скоростью

Но вопросы по поводу почты по-прежнему актуальны.

Данная функция протестирована многими пользователями и работоспособна, настраивайте внимательней, у всех работает, так же обратите внимание на правильную конфигурацию софта, для которого порты пробрасываете.

Сергей, подскажите вот что. Я 25 и 110 порты пробросил полностью аналогично 80 и 53, телнетом за них цепляюсь. В закладках аутлука тоже все верно стоит. Если эти порты у меня проброшены в all-nets, не имеет ведь смысла писать дополнительные разрешающие правила LAN-DMZ? тем более что telnetом цепляется отлично...

В общем, проблема была в криво настроенном DNS-сервере. Тему можно закрывать.

Т.е. вы пытаетесь из LAN соединится с wan_ip и чтоб вы попали на ваш mail server в DMZ? если так то настраивайте nat loopback, в мануале разбирается на примере похожий случай.