Никак не могу настроить DFL-210 для размещения в DMZ веб-сервера.
Что делаю:

1. На роутере убираю администрирование по http, оставляю только https.

2. На сетевой карточке сервера прописываю IP - 172.17.100.253, MASK 255.255.255.0, GW - 172.17.100.254. Настройку DMZ роутера не меняю.

3. Делаю правила
1 web_server_map SAT any all-nets wan wan_ip http-outbound
2 web_server_map_allow Allow any all-nets wan wan_ip http-outbound
Понимаю, что надо еще ДНС, но пока буду тестить по ip. Активирую конфигурацию, пробую зайти на сервер. Получаю - невозможно отобразить страницу. В логах:

2007-11-19
15:01:23 Warning RULE
06000051 Default_Rule UDP dmz
172.17.100.253
111.22.3.44 32863
53 ruleset_drop_packet
drop
rev=1 ipdatalen=54 udptotlen=54
2007-11-19

15:01:18 Warning RULE
06000051 Default_Rule UDP dmz
172.17.100.253
666.77.8.99 32862
53 ruleset_drop_packet
drop
rev=1 ipdatalen=54 udptotlen=54

111.22.3.44 и 666.77.8.99 - ДНС-серверы моего провайдера. Не понимаю, причем тут они, если днс я вообще сейчас не трогаю?

Причем сайт не видится как из lannet, так и из all-nets.

В общем, хотелось бы нимимальный мануал получить по настройке сайта в ДМЗ или узнать, где я не прав.
Спасибо.

сейчас попробовал зайти с другой сети - вообще получаю drop пакетов на 80й порт (

Сообщения в логах - это какие-то попытки сервера достучаться до DNS. Он то не знает, что вы пока на них забили. )

По сути, настройка DMZ ничем не отличается от настройки LAN. Так что сначала можете добиться работоспособности в LAN. А потом по аналогии настроить DMZ.

В лан все работает идеально уже 3 месяца

а если правила поменять местами?
1 аллоу, 2 сат?


зы.
в какой то момент у меня было ощущение что он корректно работает с теми адресами которые назначил клиентам по дхцп.

2 правила - это только впускание трафика из WAN в DMZ. А надо еще и выпускать из DMZ в WAN.

Проверьте наличие Правил которые бы выпускали Трафик из DMZ в WAN, по умолчанию их нет.

Если я правильно понял имеется:
1.Внешний, выделенный провайдером, IP адрес для WEB сервера - A.A.A.A
2.Имеем в DMZ IP – 172.17.100.253 на котором поднят WEB сервер.
Нужно настроить перенаправление портов для HTTP.
1.Прописываем в Objects\InterfaceAddresses два адреса:
- wan_ip_web=A.A.A.A
- dmz_ip_web=172.17.100.253
2. Делаем адрес wan_ip_web в Interfaces\ARP Table публичным
Mode=Publish, Interface=wan, IP Adress= wan_ip_web
3.Создаем правила для перенаправления портов:
- SAT_wan_dmz
Action=SAT, Service=http-all, Source=any/all-nets, Dectination=wan/wan_ip_web, далее на вкладке SAT «включаем» Destination IP Adress и New IP Adress= dmz_ip_web
- ALLOW_wan_dmz
Action=Allow, Service=http-all, Source=any/all-nets, Dectination=wan/wan_ip_web
Вроде ничего не забыл. У меня на DFL800 работает с такими настройками.

michim, у меня всего 1 ip выделен провайдером. Можно ли сделать все на только одном wan_ip?

Вопрос конечно интересный, не пробовал. Попробуй, что ты теряешь, не получится откатишся назад.

Вот пока не получилось.
Я нашел фак на официальном англоязычном длинке - там все, как описывал michim, с 2мя адресами от провайдера.
Вопрос техподдержке - вообще, возможно ли получить веб-сервер в DMZ без дололнительного адреса от провайдера?

Конечно, можно. Почти все живут с одним адресом от провайдера и справляются.

Тем более, у тебя в LAN все работало. В DMZ точно также все будет работать. Надо только правильно прописать правила на вход и выход из DMZ.

я прописывал вместо WAN (или WAN_IP, не помню) CORE и всё заработало...

В общем, вот что получается:

1. Опубликовал wan_ip в ARP.
2. Добваил правило, выпускающее из DMZ в WAN:
allow_http-all NAT dmz dmznet wan all-nets http-all
3. Из WAN в DMZ имею следующие правила:
1 web_server_map SAT any all-nets wan wan_ip http-all
2 web_server_map_allow Allow any all-nets wan wan_ip http-all

Набираю wan_ip в браузере, "Невозможно отобразить страницу".
В логах:

2007-11-22
14:07:27 Warning RULE
06000051 Default_Rule TCP wan
1.3.4.5
6.7.8.9 57033
80 ruleset_drop_packet
drop
rev=1 ipdatalen=28 tcphdrlen=28 syn=1

1.3.4.5 - хост, с которого пытаюсь зайти на веб-сервер
6.7.8.9 - wan_ip

При попытке просканировать 80й порт (XSpider, nmap) вообще не обнаруживается никаких открытых портов.

Повторюсь:
при написании правила из внешней сети, нужно указывать не WAN, а Core - и всё у вас получится...