Имеется DFL-600, на DMZ находится FTP сервер.

1. Нет возможности подключться к DMZ из LAN по внешнему адресу. Создается впечатление, что пакеты посланные на внешний адрес DMZ порта коробочка посылает так:
-запрос идет на внешний адрес (LAN->WAN->DMZ)
-ответ идет по внутренним адресам (DMZ->LAN)
в результате DFL путается сам с собой... или я что-то не понимаю???
поскольку LAN->DMZ DMZ->LAN - все работает по внутренним адресам (192.168.0.ххх->192.168.1.xxx).
если отключить DFL то все пакеты проходят (ессно).
Вопрос: прав ли я, почему DFL работает так и как это обойти?

2. Зачем в DMZ используется NAT? Смысл этого, если Policies не распространяются на порт DMZ? Т.е. если я правильно понимаю, то на порту DMZ DFL работает просто как маршрутизатор. Не проще ли было сделать DMZ прозрачным, чтобы имет возможность получать к нему доступ отовсюду или хотя бы предусмотреть Transparent Mode как это сделано для LAN? Не воникает ли в связи с маршрутизацией по DMZ всей этой неразберихи??

3. При коннекте 192.168.1.1 (подсеть DMZ) появляется приглашение с логином паролем, но войти ни с одним из паролей и логином не получается. Это вообще что такое и зачем это сделано?

_________________
ping of life

Подключаться к DMZ нужно по его внутреннему адресу. По внешнему -- не получится, двойной NAT и проблемы с роутингом неизбежны.
По второму вопросу -- так организован DMZ в этом устройстве. Смысл DMZ в том, чтобы публичные сервера находились в отдельной от внутренней сети.
При коннекте появляется окно логина пользователя, как при аутентификации HTTP. Зачем и почему -- пока не знаю.

_________________
С уважением -- Александр Шебаронин.