Собсна вопрос тем кто имеет или знает как сделать прямой маршрут из под NAT в WAN используя ЭТО усройство (без авторизации)... Пример конфиги или способа... Пояснения: при использовании на этом месте (вместо DSA-3110) FreeBSD можно было бы написать: ipfw add allow ip такойто from any и наоборот, и все пользователи сети находящейся за NATом могли получать доступ к данному IP. Допусим что это адрес информационной страницы WEB или адрес второго ВПН шлюза. Как такую схему реализовать на устройстве DSA-3110 не имеющей в своем составе файрвола... (Линух незнаю) Нарыл , что там есть iptables, ip, tc ... Как ими пользоватся качественно. Через эти варианты возможено ли осуществить прямой пропуск трафика на открытые и явно указанные адреса принадлежащие сети WAN? Или только после регистрации допустим по Радиусу... Прошива последняя 1.2.4.

Неужели такая железка не эксплуатируется данным сообществом?
А сотрудники Д-Линка случаем не в курсе?

Наклали на всё, уважаемые представители Длинка...
Продали железо, и как хочешь так и воюй...
Хорошая реклама фирме...

Все же! Как ее (3110) настроить так , что бы она выполняла хотя бы заявленные изготовителем функции. Примеры конфигураций! "Сервер доступа"...

После заполнения всех необходимых полей в ВЭБ форме, железка светит без всякой регистрации из НАТа наружу свободно! То есть, из интерфейса eth0 (сеть 192.168.0.0/24 порт 4) на допустим eth2 (Внешинй интернет/24 порт 1) сквозняком без запросов на авторизацию и аутентификацию! СУПЕР!

В доке нет ни каких примеров конфигураций или даже наталкивающих на мысли в правильном направлении.
Собственно кроме полностью заполненой ВЭБ формы, остаются только SSH и встроенный линукс! НО ГДЕ ПРИМЕРЫ КОНФИГУРАЦИЙ! Где элементарное описание мест размещения и принадлежности к службам кофигурационных файлов ЭТОГО подрезанного линукса?

Для кого продается это устройство?

Добрый день.
Давайте попробуем оставить в стороне эмоции и разобраться в сути проблемы. Первое. В веб-интерфейсе есть настройка NAT. в ней, по умолчанию, прописаны сети, выдаваемые подключающимся по PPTP И локальная сеть на интерфейсе eth0. Поэтому клиенты из сети этого интерфейса свободно, без ограничений, имеют доступ в интернет. Если вам этого не нужно -- просто уберите сеть из настроек НАТ.
По изначальному вашему вопросу. Для обеспечения такой функциональности необходимо вручную прописать правило NAT для требуемых хостов. В принципе описание iptables, наиподробнейшее, доступно в интернете. Но для вашего конкретного случая команда может быть примерно такой:
iptables -t nat -A POSTROUTING -d 1.1.1.1 -o eth1 -j MASQUERADE
где 1.1.1.1 -- адрес сайта, к которому необходимо разрешить доступ без автризации, а eth1 -- интерфейс, с которого должен уходить трафик на этот сайт согласно таблице маршрутизации, обычно -- через который уходит маршрут по умолчанию.
Не забудьте написать скрипт в /etc/init.d/scripts с этой командой, сделать на него линк из /etc/init.d и сохранить конфигурацию -- иначе после перезагрузки данное правило не восстановится.

_________________
С уважением -- Александр Шебаронин.

Не хотел писать пока не проверил информацию полученную от уважаемого Александра! НО! После затраченных мною "секунд времени" при постановке задачи и "дней жизни" в реалии шоу..., и жизни из его изумительных мыслей по решению ВСЕХ проблем "наших".... Хочется ОБЯЗАТЕЛЬНО поблагодарить его (и его начальство) о том, что оно дает возможность нам общатся по решению текущих проблем! Большой поклон!
Как было бы просто , если такая,
простая информация находилась в мануале!!
Извините, использую шанс предоставленный Александром, потом отпишусь!
Всем участникам , сердечное пасибо!
Уверен, не все так красиво закончится........Вопросы будут.

допустим вот мануал http://www.linuxguruz.com/iptables/howt ... ables.html

Спасибо за заботу PolyMorph!
Только речь не об одном iptables!

Все запахало, за исключением того что предложенная команда iptables не отработала(iptables -t nat -A POSTROUTING -d 1.1.1.1 -o eth1 -j MASQUERADE), но после ее корректировки (iptables -t nat -A POSTROUTING -s 1.1.1.0/24 -d 2.2.2.2 -j MASQUERADE ) все стало как надо.

Теперь следущий этап. Абонент авторизируется, трафик считается, но по истечению трафика (баланса) не отключается, нет взаимодействия с биллингом. Биллинг UTM5 Netup.
Каким способом впринципе ЭТО должно происходить?
Что для этого нужно сделать и где? В DSA3110 или UTM5 Netup?
Предполагаю.... Возможно нужен некоторый скрипт в DSA который с какой то периодичностью просматривает базу данных UTM5 (выборка по отрицательному балансу) и блокирует абонентов допустим той же iptables -I FORWARD -s 1.1.1.1 -j REJECT... Но какое то куцее ЭТО решение... Может быть есть нормальные (другие) варианты?

Раньше на этом месте стоял комп с FreeBSD, и данная проблема решалась установленной клиентской частью Netup-а на FreeBSD роутер, который при помощи файрвола ipfw блокировал абонентов по требованию от UTM5...

Сейчас на этом месте DSA-3110. Будут какие нибудь предложения по урегулированию проблемы?

Путь решения этой проблемы -- прост. Это авторизация на радиусе, который имеется в комплекте НетАПа. Знаю несколько решений, где эта связка благополучно работает. Сказать конкретно как конфигурить нетап не смогу. DSA же с периодичностью, указанной в атрибуте Session-Timeout, проводит переаутентификацию соединения и отключает его, если повторная аутентификация не проходит.

_________________
С уважением -- Александр Шебаронин.

Поставил Session-Timeout=60, получил выбрасывание абонента с частотой в 60 секунд... Но не нужно его заставлять перелогиниваться! Нужно только проверить аутентификацию, а вот потом принимать решение его выкинуть или нет.
Или просто загрузить правила файрвола из Нетапа, но как?

Граждане! Попытайтесь понять, не используем мы в HotSpot эту железку! Нужно просто что бы она передавала на биллинг нетФлоу пакеты (он будет считать деньги), она это делает, НО в текущей сессии VPN (не важно, может и нет) она УМЕЛА обрубить пользователя находящегося в режиме он-лайн превысевшего свой лимит (баланс)!
Способы: RADIUS, или файрвол(iptables)! Неужели ни кто из провайдеров на уровне района города или деревни области не использует нечто подобное! Предвосхищая предложения, они не требуются! Нужно решение на DSA-3110!

Все сделали при помощи Уважаемого Сергея Сивцова из Новосибирского регионального центра D-Link!
Огромное ему спасибо!

Поделитесь, как ?

По SSH.
В Нетапе (UTM5) через правила выключения абонента передаем его IP в скрипт UTM5_RFW который подключается по SSH с NAS серверов (DSA-3110) и там запускает скрипт с параметром IP клиента которого нужно замочить. Тот скрипт просто делает килл по IP. ВСЕ. Работает как часы!