Устройство DFL1600 (fw 2.11.03)

Схема такая (временное решение. сразу отделить DMZ нельзя пока)

Локалка-> -- <-192.168.0.3 (Proxy) [NAT]192.168.100.10-> -- <-192.168.100.1(DFL1600)217.115.86.134-> -- инет.

Вот список правил


Вопросы:
1. что я делаю не так, если мне нужно чтобы из локалки (с 192.168.0.0/24) при заходе на https://217.115.86.134:443 меня пробрасывало на Proxy.

telnet 217.115.86.134 25 (110) - работает.

С внешних адресов проброс работает..
при заходе с локалки - выкидывает на веб интерфейс



Правило для 443 порта прописано в u_iBank2 (TCP / 443, 9091 )

И ещё вопросы:
2. Нужно ли создавать правила для established соединений.
(т.е если я разрешаю напр. с локалки доступ в DMZ, нужно ли создавать второе провило для ответов из dmz )

3. Можете объяснить в чём разница при описании SAT, если вторым правил ставить Allow или NAT.

_________________
С уважением, Алексей Столяров

Так, давайте по-порядку.
Самый первый вопрос, почему заходить на proxy нужно из лоакальной сети через внешний iP? Девайс позволяет так делать, другой вопрос для чего это нужно? Заход на проксю идёт через FQDN?
СОбственно говоря для реализации такого, нужно чтобы запрос к проксе NATировался через внутренний LAN_IP, эту заморочкая с записями NAT.
Адресный фильтр должен стоять через LAN-NET

Устройство работает по алгоритму SPI, так что Established сессия пропускает трафик согласно записи в NAT.

ALLOW/NAT -- зесь всё просто, правило SAT меняет DST.IP, парвило allow не меняет при пропускании во внутрь SRC.IP и оно остаётся таким же(как раз это относится к первому случаю) при использовании NAT меняется SRC.IP на тот который указан во вкладке NAT

Есть система iBank2 - есть как клиентские подключения (с инета), так и подключения операторов (из локалки). Proxy исоединения пробрасывает в локалку в виндовому серваку (пока это так)

Зачем это нужно :
1. Чтобы и клиенты и операторы заходили на один адрес https://reserv.chel.su
2. Чтобы показать людям отвечающим за iBank2 что https://reserv.chel.su - работает.
3. потому что я - сисадмин, и я хочу сделать именно так. до этого, вместо D-Link стоял ZyWall35 - на нём всё это замечательно работало.. и я не хочу верить, что DFL1600 будед покуже чем ZyWall35

Заход на проксю идёт через FQDN? насчёт FQDN не помню - т.к. пробовал по всякому. В основном при тестировании захожу по ip




Тут вы наверно имеете в виду к внешнему ip.
Я правильно правила составил?
1. action = sat src.if = dmz src.ip = Proxy (если на нём стоит NAT) или Lan_ip dst.if = core dst.ip = wan1 sat_to_addr = proxy
2. action = nat ..тут всё то же ... nat_to_addr = dmz_ip_on_DFL1600


И ещё вопросы:
1. Можно ли в правилах описать не_адрес. (не_порт). Т.е. как в iptables: !192.168.0.5
2. правила: обход правил идёт сверху вниз с заходом в папки (каждая папка тоже просматриватся сверху вниз), до первого совпадения (кроме SAT). Правильно?!
3. в веб интерфейсе - логи. есть множество уровней важности сообщений. (точно не помню) от info до debug. Куда это можно применить?. - какой нить фильтр предусмотрен?

_________________
С уважением, Алексей Столяров

По поводу правильности составления правил не подскажу, потому как не знаю что значат Ваши объекты. По поводу Вашей реализации, дать Вам рецепт для решения Вашей задачи я не в силах, а описать как должно работать -- не вопрос.

1. Нет, такого не возможно(кстати, думаю что на ZyXel тоже)
2. Правильно, но почему Вы исключили SAT? Это такое же правило как илюбое другое. Просто действие -- изминение Dst.IP

И так ещё раз по поводу правил. Рассмотрю просто Вариант
Есть сервер с ftp.test.org, который резолвится как WAN_IP, нужно чтобы и внешние пользователи и внутренние без проблем попадали на него.
По поподу внешних всё просто у Вас правила уже настроены. Только нужно сузить фильтр по интерфейсу -- поставить WAN(1-2)
Пользователь резолвит ftp.test.org и получает внешний WAN_IP, что сделать, чтобы он без проблем мапился во внутрь?
1.
SAT
Src_Int: LAN
Src_Net: Lan_net
Dst_Int: Core
Dst_Net: WAN_IP
SAT-TAB -- private_ip_ftp
1.
NAT
Src_Int: LAN
Src_Net: Lan_net
Dst_Int: Core
Dst_Net: WAN_IP
NAT-NET: LAN_IP

Т.е. не будет у сервера непоняток когда он получит пакет от шлюза, хотя сам отправитель из той же сети.

Соответственно Вам нужно модернизировать правила для глобального доступа и добавить для локального.

Всё. Спасибо!
разобрался почему почта нормально пробрасывалась, а https на инет интерфейс выкидывал.

System->Remote Managment -> Modify advanced settings -> WebUI Before Rules..

_________________
С уважением, Алексей Столяров