Здравствуйте подскажите пожалуйста

1. как отключить НАТ
2. какие разрешающие правила необходимо создать

Для того, чтобы DFL-210 выполнял только маршрутизацию трафика между двумя подсетями. Пропускал ARP запросы, NetBIOS. Т.е. был прозрачным из обоих подсетей.

Заранее благодарен

Нужно определиться. Нужна маршрутизация или прозрачный режим?
При маршрутизации:
Нужно настроить DMZ/LAN с нужными адресами, например:
DMZ:
192.168.2.1/255.255.255.0
LAN:
192.168.1.1/255.255.255.0
Создать IPRule:
ALLOW LAN/LANNET->DMZ/DMZNET
ALLOW DMZ/DMZNET->LAN/LANNET

Если у компьютеров за LAN/DMZ в качестве шлюзов будут соотвественно LAN_IP/DMZ_IP то получится маршрутизация и связь между 192.168.1.0/24 vs 192.168.2.0/24

Если нужен прозрачный режим, то пример его настройки есть в мануале. При этом сети везде будут одинаковые

Такие настройки делали и для WAN, и для DMZ. Результат один и тот же - пока не включишь в правилах NAT:

NAT LAN/LANNET->DMZ/DMZNET
NAT LAN/LANNET->WAN/WANNET

в DMZNET или WANNET ничего не уходит.

Подскажите, как ПРОСТО ОТКЛЮЧИТЬ ФУНКЦИЮ NAT на устройстве DFL-210.

Заранее спасибо.

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

"Просто" этой функции у DFL нет. Пока у вас NAT правило (LAN->DMZ/WAN), он будет наттить. Сделайте вместо него Allow правила, но с учетом того, что если вам нужен обмен LAN<->DMZ, то надо сделать 2 правила:
allow lan/lannet->dmz/dmznet
allow dmz/dmznet->lan/lannet

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вопрос бы не возник, если бы что-то было сделано неправильно. Но эти правила ALLOW LAN/LANNET->DMZ/DMZNET ALLOW DMZ/DMZNET->LAN/LANNET были созданы сразу.
Поэтому и вопрос возник, что нужно еще добавить, чтобы происходила маршрутизация пакетов.

Текущая конфигурация следующая:

# Имя Действие Src If Src Net Dest If Dest Net Сервис
1 ping_fw Allow any all-nets core all-nets ping-inbound
2 allow_all_in-DSKO Allow dmz dmznet-AKO lan lannet-DSKO all_tcpudpicmp
3 allow_all_out-AKO NAT lan lannet-DSKO dmz dmznet-AKO all_tcpudpicmp

Из за NAT в третьем правиле нет полноценной маршрутизации. А без него нет вообще никакой.

Пока боролись с девайсом, прошивку сменили, теперь 2.20.02. Не помогло.
Значит не в прошивке дело, а в какой либо галочке, которую трудно найти.

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

покажите таблицу маршрутизации.

Это таблица "Main":

Флаги Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
10.0.0.10 core (Iface IP) 0
172.16.1.6 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
10.0.0.0/24 lan 100
172.16.0.0/19 dmz 100
224.0.0.0/4 core (Iface IP) 0

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

Задача выеденного яйца не стоит, и столько проблем.
Нужно всего лишь маршрутизировать пакеты из одной подсети в другую. Без всяких правил!

По идее нужно всего лишь два правила, что и было сделано. Возможно влияет что-то еще. Но найти что именно включено или выключено пока не можем. По идее если удалить все дефолтные правила на dfl-210 и создания необходимых, DFL-210 должен заниматься только чистой маршрутизацией.
Что мешает ему это делать?

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

что "шлюзом по умолчанию" по обе стороны на компьютерах настроено?

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 10.0.0.12 10.0.0.11 1
10.0.0.0 255.0.0.0 10.0.0.11 10.0.0.11 10
10.0.0.11 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.0.0.11 10.0.0.11 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.0.0 255.255.224.0 10.0.0.10 10.0.0.11 1
224.0.0.0 240.0.0.0 10.0.0.11 10.0.0.11 10
255.255.255.255 255.255.255.255 10.0.0.11 10.0.0.11 1
Основной шлюз: 10.0.0.12
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
172.16.0.0 255.255.224.0 10.0.0.10 1

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

Во второй сети аналогично прописан постоянный маршрут на интерфейс маршрутизатора, принадлежащий соответствующей сети.

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

Вопрос лишь в том, что все работает только когда включено правило НАТ. Как только его заменяешь на Allow, исчезает доступ к ресурсам внешней сети. И что очень странно, доступ возможен только к одному хосту внешней подсети. При этом LAN зона находится во внутренней подсети из нее и проверяю. Пинг идет на один внешний хост.

Что за глюк? С этим два дня и бьюсь

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

с самого DLINK из меню tools-ping компьютеры из обоих сетей пингуются?
внешня у вас имеется ввиду DMZ?

Да. tools-ping-ом проверяю - и внутренние (со стороны LAN), и внешние (со стороны DMZ) хосты пингуются без проблем.

Даже не представляю в чём может быть затык. Уже думал и фары протереть, и по колёсам попинать. Но не нашёл оных... на самом DFL-210... может в других девайсах они (колёса с фарами) и есть, но мне таковые не попадались.

_________________
Если удача улыбнулась вам сквозь зубы, посмотрите на нее сквозь пальцы.

Чудеса..., последняя идея:
в правилах попробуйте сменить allow и nat на FwdFast.
(в обоих правилах).