Подскажите пожалуйста как настроить следующую схему:
Хочу поместить на интерфейс DMZ отдельный сервер на котором бы был FTP, WWW, и E-mail с доступом из WAN. Но при этом также необходимо выкладывать нужные файлы на FTP из lan, а также надо чтоб WWW сервер имел доступ к базам mysql находящимся на сервере опять таки в lan, ну и последнее доступ к E-mail так же необходим как из wan так и из lan. Конечно же при этом обеспечить безопасность lan. Я думаю что это как раз то для чего предназначено это устройство. Т.е. хотелось бы примеры правил с которыми бы это все работало.

Так и есть

Вы уже имеете устройство или только собираетесь купить?

Правила для того, что вы хотите, достаточно простые. Это будет перенаправление портов или просто разрешающие правила.

http://www.dlink.ru/technical/faq_firewall_33.php
http://www.dlink.ru/technical/faq_firewall.php

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

да я уже имею это устройство

Из WAN в DMZ надо пробросить порты по инструкции, упомянутой выше. На каждый сервис получится по паре правил (одно SAT и одно Allow). Из DMZ в LAN и обратно просто разрешающие правила (по одной штуке Allow).

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Понял спасибо попробую.

YuriAM
Чтото не выходит.
Можно я вам сброшу свою конфигурацию.
Чтобы вы посмотрели где я ошибся.

Я не работаю в службе тех поддержки. И у меня нет времени разбираться с конфигурацией.

Делайте все постепенно. Сначала пробросьте порты хотя бы для одной службы в LAN или DMZ. А дальше по аналогии.

Можете посмотреть еще этут тему. С той разницей, что вам не надо создавать свой сервис, а надо почти везде воспользоваться существующими.
http://forum.dlink.ru/viewtopic.php?t=64076

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я чтоб убедится что работает вообще делаю all_services. Потом бы уже ограничивал. Но не работает.

Показывайте ваши правила и смотрите сообщения в логах устройства.

А еще лучше внимательно и вдумчиво читайте инструкции. Главное не сделать по инструкции, а понять что и для чего там делают.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вроде понимаю что надо сделать. Опишу как понимаю:
Надо перенаправить нужный порт с определенного интерфейса или с нескольких интерфейсов на тот который нужен. Т.е. чтоб устройство знало что если на интерфейс приходит пакет куда его отправлять. И затем определить что можно делать с этим пакетом.
Вот мои правила:
lan_to_dmz
Allow lan lannet dmz dmznet all_services

dmz_to_lan
Allow dmz dmznet lan lannet all_services

dmz_to_wan
SAT dmz dmznet core wan_ip all_tcpudp
Allow dmz dmznet wan wan_ip all_tcpudp

wan_to_dmz
SAT wan wannet core dmznet all_tcpudp
Allow wan wannet core dmznet all_tcpudp

WWW_map
SAT any all-nets core wan_ip http-all
Allow any all-nets core wan_ip http-all

Поменял правило
lan_to_dmz
Allow lan lannet dmz dmznet all_services
на такое
lan_to_dmz
Allow lan lannet core dmznet all_services
и в результате увидел интерфейс dmz но не сам сервер который за ним стоит где еще поднастроить?

Не делайте ничего разом. Cкажите ОДНУ вещь, которую вы хотите сделать в первую очередь.

Интернет то просто работатет?

И покажите вашу таблицу маршрутизации main.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Навскидку найденные неточности. Очень невнимательно читаете инструкции

При правильных маршрутах в таблице main должно работать


Заменить на NAT dmz dmznet wan all-nets all_services

Если в DMZ серые адреса, то только проброс портов.

Так правильнее
SAT wan all-nets core wan_ip http-all
Allow wan all-nets core wan_ip http-all

Это не отменяет утверждения, что все надо настраивать по очереди

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Интернет работает.
таблицу маршрутизации main не трогал (по умолчанию)
вот она
Route wan wannet 100 No
Route wan all-nets wan_gw 100 No
Route dmz dmznet 100 No Route lan lannet 100 No

вроде уже все заработало писал выше теперь только надо добиться чтоб wan_ip <--> www_server_dmz_ip ходили пакеты по умолчанию не хочет

заменить вторую строку?

Можно поподробнее про проброс портов т.к. да адрес серый и внешний ip только один