Добрый всем денёк!
История такова.Был у нас старый провайдер и CISCO 3620.
Перешли на нового,ну там скорость больше,канал шире,и .т.д.Циску из-за невозможности замены интерфейсных карт поменяли на DFL-800.По мануалу настроили правила,посмотрели маршруты,инет с проксей заработали.
А вот публикация серверов из DMZ или LAN работает только в подсети провайдера,а из инета порты не доступны.
Конфигурация
wan1_ip 232.248.12.3
wan1net. 232.248.12.0/27 (32 наших белых IP)
wan1_gw 182.204.255.245 (шлюз провайдера)
Короче,если стучаться с компа,стоящего в подсети 232.248.12.0/27,то портмаппинг прекрасно работает,а из инета нет,и пакетов не видно в логе.
Похоже беда в шлюзе,но это конфигурация,которую дал провайдер.
Может кто подскажет,что делать?

Кстати,может кто скажет попутно, как относится DFL к маскам типа 255.255.255.224 и шлюзам,не стояшим в сети интерфейса?Есть подозрение,что вся трабла из-за ограничений по IP,хотя на других машинках это разруливается.
После Solaris и CISCO работать с DFL-ом так прикольно...

Смотрите правила, проверьте написаны ли они подобным образом http://www.dlink.ru/technical/faq_firewall_33.php или если используете дополнительные IP http://www.dlink.ru/technical/faq_firewall_34.php

Да,правила написаны и работают.В логе всё нормально,и записи в лог появляются об установке соединения по нужным портам,если поставить галочку в правилах.
Хитрость в том,что если заходить с любой тачки из зоны белых IP,подключенной напрямую к шлюзу провайдера,то с неё порты доступны,публикация работает.А вот из инета доступ не получается,порты даже не сканятся,не говоря о работе приложений.
Пробовал вариант проброса как для самого адреса интерфейса WAN,таки и дополнительных через ARP,ситуация не меняется.Если подключить машинку напрямую к провайдеру и дать ей тот-же IP,что и опубликованный-всё работает.Вот поэтому и возникло предположение о криво настроенной маршрутизации.Или руках с головой.Но надо как-то проверить и найти хоть какую-то зацепку.

wan1_ip 232.248.12.3
wan1net. 232.248.12.0/27
wan1_gw 182.204.255.245 (шлюз провайдера)

server_Wan_IP 232.248.12.6
server_Lan_IP 192.168.10.6

Вот тут программистский народ в комнате злобно прокричал - DLINK НЕ УМЕ-Е-Е-Т работать с дробными масками...нечего париться...
Кто что ещё может хорошего сказать?
Я ,лично,думаю,что дробные маски тут не причем,хотя если подумать,сетка провайдера разруливается маршрутизатором именно по маске /27.
При пристальном изучении странички настройки с ARP,оказалось,что MAK adr для интерфейса,на котором публикуем несколько виртуальных IP надо оставлять всегда 00-00-00-00-00-00,иначе публикация не работает.Так и должно быть?Тогда какой смысл в возможности менять MAK adr ?

У вас неправильно указана маска (wannet)

Network: 232.248.12.0/27 11101000.11111000.00001100.000 00000
HostMin: 232.248.12.1 11101000.11111000.00001100.000 00001
HostMax: 232.248.12.30 11101000.11111000.00001100.000 11110

в вашу маску не попадает шлюз, отсюда и ваши проблемы. Наше оборудование работает по CIDR, это утвержденный стандарт, сеть вашего провайдера ему не отвечает (шлюз не попадает в подсеть ограниченной маской).

МАС вы можете задать сами.

Не стоит обижаться на слова программеров-это только слова!
Ну в принципе то,что шлюз не лежит в родной сети интерфейса я и говорил с самого начала.Это отдельный трабл,который провайдер должен разрулить.Раньше был свой шлюз,а теперь вот ихний...Гемор.
Но вчера обнаружился очень интересный эффект.Публикация начинает работать в инет,если я не добавляю других виртуальных адресов на wan1,а работаю по его реальному IP,и соответственно MAK.При этом,никакие другие настройки,в т.ч. и шлюз с масками НЕ меняются.Отсюда появилось предположение,что таблицы ARP на шлюзе провайдера не обновляются для дополнительных MAK реального интерфейса,а содержат только записи на один МАК.
Где можно поробно почитать про "Advanced ARP-table settings" касаемо DFL-800

В инструкции.

Не так много там есть по этому поводу.Можно так сказать,что ничего.Может не ту инструкцию читал?
Если засада с шлюзом и масками,то каким образом публикация работает на чистом интерфейсе wan,а на добавленый Publish или XPublish МАК адр.IP нет.
Посмотрел пакеты ARP на wan, бродкасты идут от разных реальных IP других тачек ,в том числе и от wan_ip,а от опубликованного - нет ничего.
Может надо использовать Proxy ARP?
Как красиво написано:
"Proxy ARP is the process in which one system responds to the ARP
request for another system. For example, host A sends an ARP request to
resolve the IP address of host B. Instead of Host B, the firewall responds to
this ARP request."

Нет ARP proxy не причем тут, "прикрученный" IP это виртуальный IP, его даже нельзя пропинговать (если пинг не перехватывать и не направляется на реальный IP), в процессе "прикручивания" вы можете задать и МАС адрес ему. Через "прикрученный" адрес используя NAT можно выходить, так и использовать к нему port mapping.

Про пинги-то понятно,они и не нужны.Пока пробуем и думаем.
Трясём провайдера на тему шлюза в нашей подсети.