Имеется проблема с перенаправлением портов. Есть DFL-800, к нему через коммутатор подключена локальная сеть (к LAN порту), в ней находится веб-серевер с ИП 192.168.0.142. К WAN2 подключен интернет. К WAN1 для теста цепляю компьютер и назначаю ему ИП из подсети интерфейса WAN1- хочу, чтобы с этого компьютера (он играет роль внешки) был доступен сайт на веб-сервере. Как в FAQ на сайте создаю два правила SAT с WAN1 на IP_Websrever и Allow. Но доступа к сайту нет. Посмотрев логии файрвола и пакеты снифером, узнали, что с тестового компьютера отправляются пакеты в WAN1, на файрволе срабатывает правило Alow (SAT не срабатывает), на веб-сервер пакет приходит, он отправляет отвтный пакет, но он где-то теряется- в файрволе в логах ничего нет, ну и снифером смотрели и на WAN1 и на WAN2 - пакета нет.
Ну собственно вопрос, что не так настроено?

Правило SAT правильно написано? Как определили что оно не работает?
Доступ наружу серверу разрешен?

Ну правило SAT написано, как в ФАКе: определил ИП веб-сервера в AdressBook ну там webserver допустим, зашел в Rules, добавил правило http_port_mapping, Action-SAT, забыл кстати в прощлом посте написать, что все правила для http-all писались, Source Interface=WAN1, Sourcenetwork-all-nets, DestInterface-core, DEstNetwork=WAN1_ip, на вкладке SAT поставили перенаправлять на webserver.
То, что оно не работает, я заключил на основании, что в логе нет записи (запись логов для всех правил включена). В логе есть запись только для второго правила (Alow с теми же параметрами, что и SAT).
Доступ наружу разрешен правилом allow_standart, действие- NAT (может здесь alow просто поставить?), SourceInterface/Network=lan/lannet, DestInt/Net=wan2/all-nets.

На сервер приходят пакеты с какими адресами отправителя и получателя?

Отправитель-Ип адрес компа, с которого запрашиваю сайт, получатель- ИП адрес веб-сервера.
Проблема решилась. Была моя ошибка- неправильно шлюз на веб-сервере указал, поэтому он и слал в никуда ответы.
Сейчас похоже все работает, спасибо за помошь.

А подскажте, пожалуйста, ещё такую вещь. Схема та же, только теперь вместо тестового компа, подключен интернет. А из интернета сайт не виден (с компа был виден). Пакеты доходят до вебсервера, а ответы отсылаются неизвестно куда, шбюзом у него прописан DFL. Я думаю, пакеты посылаются через другое интернет соединение (которое на ван2). Что нужно прописать, что бы вебсервер, использовал именно интернет, который на ван1.

Сравсните с примерами
http://dlink.com.au/tech/

Делаю все по примерам, но дело в том, что у них про два внешних интерфейса ничего не написано. У нас все компьютеры ходят через ван2 провайдера, а нужно, чтобы вебсервер использовал другого провайдера, который на ван2.

Если я правильно понял, всех юзеров вы пускаете в инет с WAN2, а web-сервер должен работать по WAN1. Если так то, похоже, надо использовать главу в руководстве 4.3. Policy-based Routing.

Подскажите, пожалуйста, что добавить в таблицу маршрутизации и правила, чтобы комп webserver ходил через WAN1, а остальные- через WAN2 (ну они т нормально ходят).
Создаю правило что если у меня пакет приходит с ЛАН адреса веб-сервера с любым назначением, то использовать таблицу маршрутизации webserver. В ней одна запись, что для всех сеетй использовать WAN1 интерфейс и его же шлюз.
Вопрос ещё какой тип ставить у таблицы. Я такк понял First, но что-то не работало, пробовал другие- тоже.

Я сам пока с "Policy-based Routing" не работал. Не смогу подcказать.

А маршруты вписывай в таблицу main. У меня они там заработали.

Вроде разобрался с PolicyBasedRouting. Сайт можно просматривать из внешки, но бывают проблемы с тем, что посетител не могут скачать файл. То есть закачка доходит до какого-то процента, а потом скорость падает до 0. Если через некоторое время закачку возобновить, то файл начнет докачиваться, но может докачаться, а может и не докачаться. Причём такая проблема не у всех посетителей- у некоторых есть, у некоторых нет.
Не подскажите в чём может быть дело (может файрвол задерживает?) или какие тесты можно провести?

Проблема кроется где-то на уровне TCP сессий. Смотрите в логи при проблемах пользователей, но тут палка о двух концах. Часто мы локализовали проблему, но мало кто смог решить её на рабочих станциях MS.

Уважаемый Станислав,
извините что встреваю в дискуссию, просто вместе с Alexey_Nov решаем проблему на месте.
Вы не могли бы пояснить
1. какие логи смотреть?
2. под рабочей станцией MS Вы имеете ввиду наш Веб сервер, которой стоит за DFL-800?
3. и еще можно кратенько описать, что по Вашему опыту происходит с сессиями? то есть кто их обрубает или что с ними?

Много проблем вязаных с порядком флагов в TCP сессии, как Вы знаете устройство работает по принципу StatefulInspection и чётко наблюдает за всеми флагами. Некоторые машины под управлением XP(особенно если там стоит какой-нить FW или "антихакер") модифицируют TCP пакет как им угодно что Вызывает блокировку пакетов.
Второй момнет это MSS, особенно если Ваш WAN настрое как PPTP/L2TP/PPPoE тогда опять-таки некоторые станции не хотят применять MSS меньший 1460, по-этому возникают проблемы с фрагментацией.
К сожалению всех проблем не упомнишь, но большинство из них можно решить настройкой advanced settigns(при знании что настраивать)