Добрый день.
Ситуация такая:
есть 2 внешних IP адреса:
один xx.xx.109.100 - внешний для DFL,
второй xx.xx.109.113 - посредством ARP опубликован на WAN интерфейсе DFLa.
Через DMZ подключен сервер, к которому необходим
доступ как снаружи так и изнутри локальной сети.
Правила расписаны в таком виде:
1. SAT lan lannet core wan_ip2 http_all
2. NAT lan lannet core wan_ip2 http_all
3. SAT any all-nets wan wan_ip2 http_all
4. NAT any all-nets wan wan_ip2 http_all

Доступаться до сервака пробую с помощью IE по https на адрес xx.xx.109.113.
Доступ снаружи есть, а из локальной сети нету. В логах вот это:


не могу понять, где ошибка в правилах?

Здесь так
1. SAT lan lannet wan wan_ip2 http_all
2. NAT lan lannet wan wan_ip2 http_all

А здесь лучше бы так
3. SAT wan all-nets wan wan_ip2 http_all
4. NAT wan all-nets wan wan_ip2 http_all

или
3. SAT wan all-nets wan wan_ip2 http_all
4. Allow wan all-nets wan wan_ip2 http_all,
чтобы сервер видел внешний адрес клиента

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за ответ.
Разобрался, проблема скорее всего была в порядке следования правил, т.е.
в IP_Rule были созданы IP Rule Folders: 1. Lan to Wan и 2. DMZ.
поставил DMZ выше Lan to Wan и заработало.
Оставил вот эти правила на DMZ:

Извиняюсь за оффтоп, но вопрос из этой же серии.
есть 2й IP, через ARP publish на WAn интерфейсе.
SAT и.т.д - работает, а как сделать чтобы он на пинг отвечал?

правило такое:

правило запрос ловит, но ответа нет... так и не понял что ещё надо прописать...

sat+nat на реальный ip.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

не не, Сергей, я хотел понять как:
- вот есть WAN, на нем ip 10.1.1.1 , публикую (arp publish) на этом же wan второй ip - 10.1.1.2 , могу я как то сделать чтобы сам 10.1.1.2 мне отвечал на пинг ?, то что я куда-то прокинул SAT+NAT внутрь это другое...и мне это понятное для чего\как\ и зачем.

Если не понятно описал что хочу с пингом, тогда попробую так: опубликовал второй IP на WAn (ARP publish), могу я по этому второму IP заходить на web-interface dlink?

Или допустим могу я на этом втором опубликованном IP поднять PPTP сервер и нормально к нему обращаться? ..теоритечески должен но не получается...не пингуется, к web-interface не подключается, pptp\l2tp тоже никак... просто не понимаю что надо сделать ещё после ARp publish для нормальной работы с этим адресом кроме как SAT во внутреннюю сеть...

up...оч. актуально для мну...

IP который вы вы публикуете сугубо виртуальный, хоть и рабочий и на ICMP отвечать не будет.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

ну тоесть, кроме как SAT+NAT(Allow) внутрь никак больше использовать не получиться?
Ясно. спасибо.