Вроде бы победил я таки его и коннект по АДСЛ он поймал.
Хотя есть странности. Он зачем то создал wan1_phys (у которого IP все нули) и wan1 (у которого IP тот что нужно, ловится по DHCP провайдера), но ничего не указано ни в шлюзе, ни в ДНС, хотя нет работает. Сплошная загадка.
Но вопросы не об этом.

1. Можно ли сделать доступ к файрволу только одному компьютеру в сети? (шлюз с юзергейтом). И хотябы примерно как это настроить?

2. Можно сделать аналог виртуального сервера (как на DFL 100)? То есть, что бы при обращении к внешнему IP извне , например по порту 21, запрос транслировался внутрь локалки к указанному компу? То же хотя бы примерно куда смотреть и что крутить. Надеюсь ftp passive mode в отличии от сотки этот поддерживает.

Заранее спасибо! Буду разбираться

Ничего загадочного тут нет. wan1_phys это физический интерфейс, со своей конфигурацией и адресами, wan1 это поднятый PPPoE клиент со своими IP, который работает поверх физического интерфейса, но на другом уровне OSI



Да можно, тут надо поработать с IPRules, ограничив lannet, просто вместо lannet заведите IP вашего сервера в address book и подставьте его вместо lannet. Этим вы ограничите доступ в интернет только одним компьютером.



Посмотрите образец как это можно сделать на dfl-800 http://www.dlink.ru/technical/faq_firewall_33.php

Попутно вопрос, в списке правил какое имеет больший приоритет - верхнее или нижнее?

Я хочу все закрыть и разрешить только определенные службы.
Запрет всего идет нижней строчкой, разрешение определенных - верхними. Все верно?

Правила выполняются сверху вниз, DFL проверяет правила по порядку.

То есть высший приоритет имеют те правила, что внизу?

Наоборот.
Если трафик подпадает под действие правила, то правило срабатывает и обработка далее по списку правил не производится.

Если же весь список правил пройден и ни одно не сработало, то срабатывает правило по умолчанию, которое отвергает пакет.

Это на данный момент общепринятая практика работы файрволла.

То есть у меня сделано правильно?
Пример по строчкам.
1. Разрешен HTTP.
2. Разрешен FTP.
3. Запрещены стандартные (all tcp udp).

Такое расположение правильное?
Я хочу чтобы было разрешено например http и ftp, а остальное перекрыто.

Или нужно просто разрешить то что нужно, а остальное все равно не сработает?

Почти правильное. 3-е правило в данном случае совершенно лишнее.

Именно так.

Запретительные правила в списке полезны тогда, когда за ними могут следовать разрешающие правила для того же типа трафика. И эти запретительные правила производят таким образом выборочный запрет трафика.

Пример:
1. Запретить эротику для детей
2. Разрешить эротику всем.

Получаем в итоге: разрешить всем, кроме детей.

YuriAM Спасибо большое!

Есть еще такой вопрос!
Можно хотя бы примерно объяснить работу механизма перенаправления портов?
По мануалу сделал - работает. Но хотелось бы теперь понять как именно.

По моей логике должно было быть так:
1. Создаю правило разрешающее SAT для, например, http.
2. Указываю в нем source interface - (откуда исходит запрос) wan1, network all-net , destination interface - lan, network - lannet.
3. И в САТ указываю адрес куда именно в ланнет перенаправлять.

То есть запрос из wan1 любой подсети перекидывается в lan. И далее передается указанному IP. Но в реальности не работает

По мануалу:
Создать правило:
# Name: выбранное имя
# Action: SAT
# Service: rdp
# Schedule: None
# Source interface: any
# Source network: all-nets
# Destination interface: core
# Destination network: wan1_ip


(Здесь сразу вопрос - почему такое построение перенаправления? Почему именно из any в core?)

И второе правило.
# Name: Выбранное имя
# Action: Allow
# Service: rdp
# Schedule: None
# Source interface: any
# Source network: all-nets
# Destination interface: core
# Destination network: wan1_ip

(Зачем оно вообще нужно?).

Вопросов много, но я не понимаю логики работы устройства.
Русского мануала так и нет.

Буду благодарен за помощь.

Первое правило меняет dest scr , второе подтверждает его выполнение.

Что означает "core" и "any" можно прочитать тут http://www.dlink.ru/technical/faq_firewall.php#30

Небольной мануал на русском по IPRules можно посмотреть тут http://www.mediafire.com/?9gojxxfzjfv

SAT - ничего не делает только подменяет поля в пакете: адрес и порт. Allow - позволяет пройти этому (уже модифицированному) пакету.

source: any - совсем не обязательно указывать именно так и, по моему, часто вредно. Указывайте конкретный интерфейс (например, wan).

dest: core. core - ядро файрволла, то, что лежит между интерфейсами и производит обработку. Вот тут я бы советовал всегда по-возможности его и указывать. Есть и исключения.