Имеется аплинк 10M что подтверждает скачка тестового файла (HTTP, zip-файл) на ~1.16-1.14M/s при подключении Upink <> Клиент. Цепочка Uplink <> DFL-800 (через NAT) <> Клиент демонстрирует скорость 200-800 K/s. DFL ничем больше не нагружен особо.
Это нормально такая потеря и разброс скорости?

Не знаю как на 10М, на 1М что через DFL-800, что без него максимальная скорость скачивания - одинаковая. Судя по заявленной производительности :Производительность межсетевого экрана 150 Мбит/с не должно на 10М таких проседаний.

У устройства срабатывает автоопределение, если на той стороне cisco то возможны ошибки. Нужно принудительно выставлять скорость.

Порт стоит в статусе "100 Mbps half Duplex (sensed, no autonegotiation)". Принудительное переключение 10/100 Half/Full в настройках интерфейса DFL-ки ничего не меняет (делаю save and activate.. мож ресетить нада?).

принудительно выставлять с двух сторон.
Что за устройство с другой стороны... в вашем случае потеря скорости ~15% может приходится как раз на ошибки media среды.

WAN2 Hardware settings: Media: 100; Duplex: Full
но Status -> Interfaces -> WAN2 -> 100 Mbps half Duplex (sensed, no autonegotiation)
Второй конец (29-й каталист) уже поставлен инженерами провайдера в жесткие 100/Full.

Проблему по автоопределению решили сменой порта на циске. Теперь 100 Mbps full Duplex (autonegotiated). Но проблема скорости этим не решилась. По-прежнему скорость скачки прыгает 250-650 K/s. Это даже не 15%...
Что можно еще на DFL-ке глянуть? Езернет ошибки, или что-то еще?
Вечером попробую погонять еще устройство во все порты =)

Ничего, среда там не настраивается.
Максимум что можно сделать это исключить правило HTTP-Outbound, и создать единственно натирующее правило LAN->WAN

Да так и есть. Вот правила lan в wan
0 drop_smb-all Drop lan all-nets wan all-nets smb-all
1 allow_icmp NAT lan lan_allnets any all-nets all_icmp
2 allow_standard NAT lan lan_allnets any all-nets all_tcpudp
3 emule_sat SAT wan all-nets core all-nets emule
4 emule_allow Allow wan all-nets core all-nets emule
Кроме этого еще есть пара правил wan 2 core по разрешению icmp и traceroute-upd
Попробую локально его подключить и погонять - посмотрим.

Скоректируйте более локальное правло, не нужно баловатся all-nets, тем более с привязкой к core!
3 emule_sat SAT wan all-nets core all-nets emule
4 emule_allow Allow wan all-nets core all-nets emule

посмотри что на порте циски, есть ли ошибки. Если ошибки есть, то отключите Flow control, и используйте кросс с циской.

С циской попробую так, хорошо, хотя я уже подумываю, что решение купить DFL вместо настройки Linux box "что бы просче жилось" было ошибочно =) Не, машинка отличная, веб-интерфейс просто внушает уважение, но некоторые постулаты... утомляют =(

Насчет core/all-nets - а что смущает?

И еще.. я не понял вот, а алиасы на интерфейсы возможно сажать? Ну, т.е. на wan2 посадить 2 IP адреса, к примеру?

Легко, толко давайте Вы сформируете все интересующие вопросы и свяжетесь со мной голосом.
По поводу all-nets/core туда входят все интерфейсы WAN1_IP.WAN2_IP.DMZ_IP.LAN_IP так что для правила SAT используйте определенный интерфейс(IP) например core/wan1(2)_IP

Уху, если с циской разберусь =)

Ну для того и ставилось all-nets, что бы не писать два правила для core/wan1 и core/wan2 =)

созайте группу(WAN1_IP+WAN2_IP) и используйте её