Роутер DFL-800 настроен так, что две локальных независимых сетки (одна использует lan другая dmz порт) ходят в интернет используя оба порта wan.
Адресные пространства локалок;
10.0.0.0/24
и
10.1.0.0/24
---
Требуется доступ, например, с адреса 10.1.0.2 на адрес 10.0.0.2, но при этом доступа с любых других адресов обеих сетей что в одну, что в другую сторону быть не должно! Есть идеи как это реализовать?

Вместо правил разрешающих все, создайте правило с конкретными адресами источника и назначения.

Создаются правила allow, в качестве фильтров указываются интерфейсы и IP а не интерфейсы и сети.

чето не получается -
я пишу правило(ip rules)
passlan:
Allow
lan1 lan1user_IP
lan2 lan2user_IP
all_services
---
после этого пытаюсь сделать пинг с машины lan1user_IP до lan2user_IP - не получается
tools>>ping для lan1user_IP и lan2user_IP проходит

Вопрос! Откуда роутер знает как попасть из лан1 в лан2 ?
Возможно что-то надо прописать в таблице роутинга???

В другую сторону тоже разрешите трафик:
Allow
lan2 lan2user_IP
lan1 lan1user_IP
all_services
Сети сразу к роутеру подключены?

Если сети прописаны на DFL (на интерфейсах) Он сам поднимает routing, дальше уже дело за IPRules

В понедельник попробую еще с правилами поиграться.

Еще вопрос, точнее вариант:
Условия теже, но что если создать виртуальный комп в сети lan1, на который я буду делать SAT all_services с машики из сети lan2.
Как мне на физическом интерфейсе lan1 создать виртуальную машину тоже находящуюся в lan1 на которую я смогу перенаправить пакеты SAT ? Через VALN ?

открыл в обе стороны - пинги пошли - но остальные порты почему-то все равно закрыты - видимо виноваты остальные правила - чтобы не менять - сделал так (вторая машинка сетевой принтер - использует 9100 порт):
PrintRule SAT lan2 lan2User_IP core lan2Router_IP 9100
>>Destination IP Address - lan1User_IP
ну и 2 соответственно разрешающее правило доступ собстна к роутеру - так все заработало