При любой попытке пинга, выхода в интернет из внутренней локальной сети идет сброс пакетов и запрет доступа. Сам dfl800 пингует в интернет.
Каким разрешением перебить запрет на отправку пакетов?
п.с. правила
action src srcnet dest destnet srv
nat Lan lannet wan1 allnets icmp
allow Lan lannet wan1 allnets icmp
и им подобные даже вызывают блок по дефолт правилу.
В то же время аналогичное на удаленное управление (на входящий трафик из сети внешнего интерфейса (Wan1) вполне прошло.

сделайте в корневой директории правил в самом верху
NAT lan lannet wan1 all-nets all-services

А лучше показать все ваши объекты, маршруты и правила

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, как принявший у Dramas эстафету по мучению роутера,
Это правило в корне стоит первым в списке.
На роутере заданы
Lan_ip= 192.168.1.1
Lannet=192.168.1.0/24
wan1_ip=10.217.1.151
wan1_net=10.217.1.0/24
wan1_gw= 10.217.1.1

rules:
1) NAT lan lannet wan1 all-nets all-services

2)allow Lan lannet wan1 allnets icmp
3)nat Lan lannet wan1 allnets icmp
4)папка группы правилю, создающихся по умолчанию (там блок запрета всего трафика опущен вниз списка)

инструментом ping из в консоли управления удаленный хост через wan1 пингуется, но трафик из внетренней сети во внешнюю не идет никакой. из локальной сети http/https и пинг.

2-3. Отключите. У вас пинг разрешается 1 правилом, а это непоймичто.
4. Запрещается только nbt, остальное как раз NATится.

Покажите точные строки из лога.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Весь wall в том, что пинг по умолчанию разрешается двумя правилами
и, по идее, через NAT простого правила на выход должно быть достаточно. Отключил правила 2-3. та же фигня:

пинг извне
2009-06-18
04:26:14 Warning RULE 6000051 Default_Rule ICMP wan1 10.240.250.24/10.217.1.151 ruleset_drop_packet drop
(ipdatalen=40 icmptype=ECHO_REQUEST echoid=768 echoseq=1544)

пинг наружу
2009-06-18
04:26:10 Warning RULE 6000051 Default_Rule ICMP lan 192.168.1.3/81.94.151.250 ruleset_drop_packet drop
(ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=1280)

п.с. после задания разрешения на трафик в три этапа на Kerio одной из старх версий я пробую такое каждый раз когда все штатные средства использованы.
п.п.с все deny блоки в секции advanced->ip, advanced->tcp, протыканы на вшивость уже

У вас выход в инет через прямое подключение/PPPoE/PPTP/L2TP?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Прямое подключение

Я так понимаю, это первоначальная настройка. Поэтому большой беды не будет, если сбросить устройство к заводской прошивке, прошить свежую 2.20.03 и выполнить мастера первоначальной настройки.

После этого при прямом подключении все должно заработать на мах.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL-800_FW_v2.20.03.08.img - последняя прошивка, поставлена апосля полного ресета. Все так же блок. Почем - ума не приложу, 3comы да и ISA в принципе имеют ту же ситему построения роутинга/разрешений, и вполне работают.
Тут же ощущение что не применяются политики правил для интерфейсов, применяются только политику относящиеся к destination=core и входящие с интерфейса lan, но между интерфейсами - drop.
Сейчас гоняю дома, задалбываю товрисчей првайдера откреплениями мак-адреса. Прямые 100мбит.

Чтобы на задалбывать провайдера и себя, можете сменить MAC адрес. И сделать одинаковый на DFL и на компе, который был подключен к этому инет каналу.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ну, в общем, такие мысли были, но я в состоянии пеереезда и второй сетевухи у меня не завалялось. Менять и там и там, примерно то же самое, что дергать ночной сапорт; сапорт даже интереснее - им спать все равно нельзя и можно попутно поболтать и попросить позапрашивать извне. *конец оффтопа*

Есть мысль попробовать загнать девайс в 192.168.0.0-255 подсеть и настривать не wan1, а wan2 интерфейс, но это чуть позже - когда коробка приедет ближе к месту *возможно* дальнейшей эксплуатации.
Пока никакие разрешения протоколов не проходят между интерфейсами. Изнутри до точки - есть. Управление из подсети wan1 - есть, но только из ее подсети, даже если стоит разрешение через интерфейс wan1 входящего запроса со всего внешнего инета, запрос с другой сети не проходит - только из подсети wan1.

покажите всё содержимое Status - Routes

Если у вас WAN адрес из серой сети 10.0.0.0/8, значит у вас прямого доступа из инета не будет. Только от вас наружу через NAT провайдера.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ага, при перезагрузке и применении правил (еще раз подергался в разные стороны) выдал мне девайс такую нотацию (на старой прошивке не ругался):

Attempting to use new configuration data...
NOTE: The installed license matches none of the detected MAC addresses.

- There was a problem with loading your license file.
The firewall has been placed in local lockdown mode.
Only remote administration traffic is now allowed.


Configuration done

Configuration (v20) verified for bi-directional communication

_________________
Странно, но биться головой о виртуальную стену вдвойне больнее

Тут все вполне подробно расписано.

Это результат слета устройства, или выпуска в демо версии с завода или неграмотного самостоятельного восстановления.

Единственный вариант: в сервис!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Хм, интересно что же слетело такого от обновления...
Вариант в сервис единственный оставшийся, похоже. Тупо выпустить пинг такое устройство должно омчь одним правилом...

YuriAM, danilovav, спасибо за то, что постарались помочь.

п.с. осталось дожимать сервисменов на тему что такого могло случиться...

_________________
Странно, но биться головой о виртуальную стену вдвойне больнее