Задача:
связать две сетки, одна LAN, другая в DMZ
в правилах прописал разрешения всех сервисов

1 allow_dmz Allow dmz dmznet lan lannet all_services
2 allow_lan Allow lan lannet dmz dmznet all_services




lan_ip - 192.168.0.70

dmz_ip - 192.168.100.1

Когда пингуешь из dmz адрес lan_ip выдает в сисюжурнале следующее:

2008-03-12
16:09:38 Warning RULE
06000051 Default_Rule ICMP dmz
192.168.100.80
192.168.0.70
ruleset_drop_packet
drop
rev=1 ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=32000

2008-03-12
16:09:33 Warning RULE
06000051 Default_Rule ICMP dmz
192.168.100.80
192.168.0.70
ruleset_drop_packet
drop
rev=1 ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=31744

2008-03-12
16:09:27 Warning RULE
06000051 Default_Rule ICMP dmz
192.168.100.80
192.168.0.70
ruleset_drop_packet
drop
rev=1 ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=31488
2008-03-12
16:09:22 Warning RULE
06000051 Default_Rule ICMP dmz
192.168.100.80
192.168.0.70
ruleset_drop_packet
drop
rev=1 ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=31232 [/size]

У вас заблокирован ответ по ICMP разрешите хождение службы ping-inbound или создать ICMP службу пропустить её правилами в подсети и в свойствах службы включить Pass returned from ICMP error messages from destination

почему так происходит, ведь я разрешил все сервисы.
непонимаю физики процесса.

за ответ спасибо.

Не видя вашу конфигурацию я могу только предпологать по логам, что не так.

dmz_ip 192.168.100.1
dmznet 192.168.100.0/24

lan_ip 192.168.0.70
lannet 192.168.0.0/24

добавил два првила разрешающих все сервисы

allow_dmz Allow dmz dmznet lan lannet all_services
allow_lan Allow lan lannet dmz dmznet all_services

больше ничего в настройках не менял.
мыслил так, что все должно быть открыто, а потом потихоньку резать и добиться нужного результата.
чтобы из dmz они всех видели и организовать там домен, а они для всех были закрыты. Ну и интернет у них должен быть, который идет из сети lan. (там стоит ISA и организован свой домен)

для испытаний подключил два компьютера: в dmz 192.168.100.80, здесь указал в качестве основного шлюза 192.168.100.1 т.е. dmz_ip и компьютер в lan 192.168.0.80.

вот собственно и вся конфигурация.

спасибо за ответ.

Все настроено правильно. В логах у вас ругань на попытку пинга шлюза в удаленной сети. Для этого надо писать отдельное правило.
Типа Ping_fw allow dmz dmznet core lan_ip ping_inbound

Физика процесса в том, что вы разрешили хождение трафика между сетями, но не разрешали кому-либо бессовестно пинговать сам файрволл.

А удаленный комп должен быть доступен и пинговаться.

Затем вы захотите, чтоб и трассировка работала через DFL. Для этого тоже потребуется дополнительное правило.

топчусь на одном месте. чего-то непонимаю.
теперь пингуется только адрес 192.168.0.70, а компьютер в lan всеравно не видно.
если не трудно обясните пожалуйста.

спасибо за ответ.

Пришлите ваш конфиг.

конфиг послал на общий адрес: support@dlink.ru
с пометкой для Вас.

спасибо