Появилась необходимость организовать внешний ФТП-сервер.
Я так понимаю специально для этого предназначен порт DMZ?
Как сделать на него перенаправление (или лучше брать для него отдельный внешний IP?)? И чем DMZ отличается от любого из портов LAN?

Заранее спасибо! Вопрос чайниковский совсем ....

Да , и попутно вопрос - как сделать доступ ftp только в пассивном режиме?

Пробрасываете порты с использованием службы ftp-inbound, редактируйте ALG ftp-inbound для ограничения режимов. Как пробросить порты можете прочитать тут http://www.dlink.ru/technical/faq_firewall_33.php

С rdp проблем никаких, все работает.

Не могу прокинуть из wan1 на FTP сервер, находится в локальной сети (192.168.1.2).

wan1_IP - мой внешний адрес, поднято (PPPoE)
поднят NAT

Делаю так же два правила
1 FTPSAT SAT any all-nets core wan1_IP ftp-inbound
2 FTP_Allow Allow any all-nets core wan1_IP ftp-inbound

В FTPSAT:
dest = 1
to:
New IP Address: 192.168.1.2
New Port:

V - All-to-One Mapping: rewrite all destination IPs to a single IP

При попытке соединения, вылетает по таймауту.
Получается не ответа от FTP. Может еще нужно какое правило, либо в этом что-нибудь не правильно.

В чем может проблема быть?

Заранее благодарен.

Галочку снять с All-to-One Mapping: rewrite all destination IPs to a single IP, если у вас FTP работает в активном режиме а не пассивном, сделайте соответствующие изменения в ftp-inbound alg

Сергей, галку убрал, пока картина такая же.

а что именно нужно поправить в ftp-inbound alg

Сейчас там все по дефолту, версия 2.20

Поставьте галочку на обоих режимах. Убедитесь что диапазон используемых портов на ftp сервере совпадает с тем что указанны в alg

разрешил оба режима,
пробовал диапазон для обоих режимов от 0-65535 в alg ставить
не помогло,
эффект тот же,
вернул 1024-65535.

на самом FTP доступ разрешен в обоих режимах
Из локальной сети я попадаю на FTP свободно и втом режимеи другом.

В логах
- правило FTP_Allow отрабатывает conn_open
satdestrule=FTPSAT conn=open
- ALG 200001 alg_session_open
algmod=ftp algsesid=89 origsent=88 termsent=44

пока осталось все попрежнему.

В чем еще может загвоздка?

Попробуйте откатиться на версию 2.12 и залить существующий конфиг. (во вкладке ресет есть пунктик который возвращает к ПОЛНОСТЬЮ заводским настройкам).
Просто интересно провериь теорию.

Что стоит шлюзом на вашем ftp? приведите полностью лог того момента когда отрабатывает FTP.

В качестве FTP стоит Asus WL500gP

Структура такая
Internet ---- DFL 800 ----> Asus WL500gP
.............................. ----> Switch 3Com ----> локальная сеть

89.190.xxx.xxx - IP, с которого пытаюсь зайти на FTP
80.237.xxx.xxx - внешний IP на DFL 800

Лог:

2008-03-17
09:26:33 Warning CONN
600012 LogOpenFails TCP
wan1

89.190.xxx.xxx 1389
80.237.xxx.xxx 21
no_new_conn_for_this_packet
reject
protocol=tcp ipdatalen=20 ack=1

2008-03-17
09:26:33 Notice RULE
6000005 Gateway_Zoja TCP
wan1

89.190.xxx.xxx 1389
80.237.xxx.xxx 21
ip_verified_access
access_allow
ipdatalen=20 ack=1

2008-03-17
09:26:33 Info CONN
600002 FTP_Allow TCP
wan1
core
89.190.xxx.xxx 1389
80.237.xxx.xxx 21
conn_close
close
conn=close origsent=128 termsent=84

2008-03-17
09:26:33 Info CONN
600002 FTP_Allow TCP
core
lan
89.190.xxx.xxx 36036
192.168.1.2 21
conn_close
close
conn=close origsent=348 termsent=0

2008-03-17
09:26:33 Info ALG
200002
alg_session_closed
algmod=ftp algsesid=174

2008-03-17
09:26:03 Info ALG
200001 TCP
wan1
core
89.190.xxx.xxx 1389
80.237.xxx.xxx 21
alg_session_open
algmod=ftp algsesid=174 origsent=88 termsent=44

2008-03-17
09:26:03 Info CONN
600001 FTP_Allow TCP
wan1
lan
89.190.xxx.xxx 1389
80.237.xxx.xxx 21
conn_open
satdestrule=FTPSAT conn=open

дело не в DFL а вашем роутере ASUS попробуйте на нем открыть DMZ на ваш ftp сервер. Просто проброс одного 21 порта с вашего роутера ASUS недостаточно для функционирования ftp

Никак времени нету отписаться.

Все вообщем ок. DFL800 + FTP (ASUS WL500gP) - работает!!!

На ASUS должен быть подключен в WAN, Интернет получает автоматически (Automatic IP). Сеть в ASUS должна обязательно отличаться от Сети DFL800, иначе не ждите успеха.
Например:
Сеть DFL800 - 192.168.1.0/24
Сеть ASUS - 192.168.2.0/24

На DFL делаете SAT на свой FTP 21 порт.

Все работает прекрасно! На данный момент в ASUS в последней версии от Olega изменен FTP север. Так что у кого он "подвисал" - проблема решена!

Спасибо за помощь!