Я давно работаю на оборудовании CISCO
Сейчас настраиваю DFL700
Столкнулся с тем, что при использовании серых адресов в LAN
невозможно настроить правила для входящего трафика
WAN > LAN
Так прямо и написано на страничке

Note: Hosts on the LAN network are NATed. Writing rules that allow traffic from the Internet to hosts with private addresses will not work.

Неужели в D-LINK считают, что NAT - вполне нормальная защита для пользователей сети ? А если я хочу закрыть доступ определенных
внешних IP адресов в LAN сеть ? Как тут быть ?

P.S. На оборудовании CISCO можно создать правила для WAN интерфейса и при использовании NAT.

Правила WAN->LAN работают без использования правил NAT.
С NAT любой трафик пришедшний на WAN с любого серого адреса, с любым флагом, будет дропнут.
Не путайте марутизатор и МСЭ, на старшей линейке маршрутизаторов такое тоже возможно.
Для создания SAT(StaticAddressTraslation) используются правила PortMapping

И все-таки можно попросить Вас зайти на эмулятор DFL-700
http://www.dlink.ru/technical/wizard.php
Выбрать закладку FIREWALL, а затем
WAN > LAN policy

У меня в реальном DFL -700 здесь стоит

Name Action Source Destination Service
#1 ALL_DROP Drop Any Any All Protocols

При этом все пользователи LAN отлично работают через NAT,
но запретить входяший трафик с отдельных IP я не могу.

Например, такая строка
#1 Drop1 Drop 192.168.0.0/24 Any All Protocols
не работает для пользователей LAN на NAT


Или это реализовано только в более старших моделях маршрутизаторов ?