Появилась проблема настроил маршрутер DFL-200 в виде - на WAN PPPoE ликн к провайдеру на LAN реалайпишная сетка и еще одна реальная сеть роутится через один из LAN адресов, на LAN одном из адресов висит сервер так вот раньше когда вместо dfl-200 был софтовый маршрутизатор все было нормально и traceroute и mtr нормально работали а сейчас с заменой его на dfl-200 столкнулся с проблемой что ни traceroute ни mtr не работают через него просто тишина пинг нормлаьно ходит, NAT на маршрутизаторе отключен, правила firewall на dfl-200 wan->lan все разрешено и lan->wan тоже все разрешено. Посоветуйте куда копать

Всвязи с ограничением внутренних правил, устройство не может отвечать на пинги самостоятельно. А для прохождение трасерта нужно:
1. Уменьшить время наблюдения за TTL pic1
2. Создать правило lan->wan pic2

Ничего не изменилось не от сервака не к серваку трасса не ходит про mtr тоже молчу
# traceroute ya.ru
traceroute to ya.ru (213.180.204., 64 hops max, 40 byte packets
1 * * *
2 * * *
3 * * *
4 * * *

покажите созданные правила и логи. При пинге используйте ключ -d (не определять DNS пингуемого хоста)

NAT отключен
LAN->WAN Policy
Name Action Source Destination Service Move
#1 all Allow Any Any All Protocols [Edit]
[Add new]

WAN->LAN Policy
Name Action Source Destination Service Move
#1 all2 Allow Any Any All Protocols [Edit]
[Add new]

а в логах что должно быть там записец немеряно

кстати еще попутно вопрос Connections: 2439 / 3000 очень часто зашкаливает до 3000 это в новых прошивках расширяемо? или нет потому что я так понимаю это ограничение по сессиям а 3000 это маловато )

Позвольте узнать, картинку #2 не было видно? Нужно создать _сервис_ traceroute_icmp и поставить его первым перед правилом:
#1 all Allow Any Any All Protocols [Edit]

те две картинки сделал а по поводу что необходимо еще правило добавить ничего небыло сказано все заработало спасибо только mtr работает а вот traceroute ну никак и первы хоп он же DFL-200 не отвечает, ну это не суть важно. а вот трассу неплохо бы строить

Если Вы используете UNIX для трассировки, то создайте второе правило из с сервисом traceroute-udp(оно в стандартном наборе)

да юникс , спасибо помогло единственное недоумение ведь пункт services all должен включать все то что добавили руками или нет? зачем же тогда этот пункт нужен? налицо недоработка интерфейса и функционала, по поводу сессий что скажете?

traceroute работает на основе icmp_errors, который не включен в all_services потому что он там банально не нужен. При конфигурации того же ipfw/iptables нужно разрешать отзывы icmp_err
3000 это аппартное ограничение, ничем не расширяемое.

ясно спасибо а чем грозит превышение 3000 сессий?

Отклонением новых сессий.