Добавил ARP Entry согласно п.5 http://www.dlink.ru/technical/faq_firewall_34.php, прописал в Rules два правила, разрешающие любой трафик от/к новому ip с любого интерфейса/сети.
Даже не пингуется, в т.ч. с самого DFL-800.
Что-то не так понимаю?

В правилах надо указывать в качестве интерфейса не core, а lan. Так и сделано?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пинговаться "прикрученный" адрес и не будет, это "виртуальный адрес", для того чтоб он пинговался вы должны перехватить ping и отправить на реальный IP интерфейса, например на lan_ip

Непривычно, ну ладно (обычно алиас к интерфейсу является полноценным адресом со всеми возможными функциями).
Как тогда решать задачу: к интерфейсу подключена физическая сеть, в которой 2 адресных пространства. Надо сделать его default gw для обоих пространств.

Непривычно, ну ладно (обычно алиас к интерфейсу является полноценным адресом со всеми возможными функциями).
Как тогда решать задачу: к интерфейсу подключена физическая сеть, в которой 2 адресных пространства. Надо сделать его default gw для обоих пространств.

Непривычно, ну ладно (обычно алиас к интерфейсу является полноценным адресом со всеми возможными функциями).
Как тогда решать задачу: к интерфейсу подключена физическая сеть, в которой 2 адресных пространства. Надо сделать его default gw для обоих пространств.

Если сети не сильно отличаются, объедените их по маске. Все равно, используя алиасы вы не сможете блокировать доступ из одной подсети к другой.

Отличаются сильно, да и не в этом задача: надо просто сделать DFL-800 default gw для обоих адресных пространств одного физического сегмента.
Сейчас добавил ARP-ом второй адрес (192.168.111.1) на lan, и компьютеры с адресами 192.168.111.* не пингуют wan (должны ведь?). Правила "из 111-й до core и обратно" добавил, NAT пока настраивать не стал. И еще, на FreeBSD arp -a ругается, что этот MAC incomplete - может, это как-то подскажет, в чем дело.

Вы должны не только добавить по ARP IP но так же должны добавить на интерфейс в маршрутах сеть. Пинговаться этот адрес не будет, разве что вы при помощи правил SAT и NAT отправите пинг на реальный IP lan.

Мысль мне нравится. Надо запомнить.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.