Настроил в IP-Rules следующее: forward any all-nets core our_dmz_mail_server smtp
Но переброс не идет. Помогите пожалуйста, документацию на русском не нашел...

Как открыть порты можно прочитать тут http://www.dlink.ru/technical/faq_firewall_33.php

Настроил по статье, я должен пробросить smtp-поток со внешнего wan1_ip в сервер dmz_mail_server1. Пробросил, но как его проверить? Пробую на внешний адрес шлюза telnet mygate.ru 25 с Windows 2000 и одвременно открываю окно Status > Connections но там соединений на 25-порту dmz_mail_server1 нет (есть только соединение по 443-порту с помощью которого я соединяюсь к самому шлюзу). Не подскажете как его проверить?

Если вы пробуете изнутри сети, вы не сможете проверить пока не настроите nat loopback. Проверять надо снаружи.

Пробовали telnet mygate.ru 25 с внешнего адреса (со шлюза филиала) - не попадаем на почтовый сервер, значит проброс не работает. Помогите пожалуйста настроить правильно!!! И еще , что такое nat loopback и как его настроить?

Надо настраивать сервис smtp-in

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ребята, проброс внешнего 25-порта выглядит так:

Action SrcInterface SocNetwork DstInterface DstNetwork Service
1 SAT any all-nets core wan1_ip smtp
2 Allow any all-nets core wan1_ip smtp

Еще в правиле 1 когда создавал в вкладке SAT указал адрес сервера в DMZ 192.168.30.1 в поле New IP Address, выделена галочка Destination IP Address.
А нижеследующее правило также присутствует:
Action SrcInterface SocNetwork DstInterface DstNetwork Service
3 NAT lan lannet any all-nets all-services

По мануалу этого достаточно чтоб проброс работал... В чем проблема ребята? Помогите пожалуйста!!!

Попробуйте

1 SAT any all-nets core wan1_ip smtp-in
2 Allow any all-nets core wan1_ip smtp-in

В SAT галку All-to-One Mapping: rewrite all destination IPs to a single IP
ставите?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, на сервер в dmz попадаю, результат команды telnet 87.230.160.67 такой:

220 mail.mycomp.ru

Но далее когда набираю четырехсимвольные команды почтового сервера (helo, mail from, rcpt to, data, quit) сервер на них не отвечает.

В логах пишется что conn_open и conn_close из wan1 в dmz.
Я в процессе набора команды telnet 87.230.160.67 перехожу в Status > Connections а там два соединения первое TCP_OPEN по https (доступ самому шлюзу) и следующее:
State - synack_s
Proto - tcp
Source - wan1 194.225.23.146:1963
destination - dmz 192.168.30.1:25
Timeout - 27

т.е. state не переходит в TCP_OPEN. В чем проблема?

Галку All-to-One Mapping: rewrite all destination IPs to a single IP обязательно убрать, вместо второго правила allow попробуйте использовать правило NAT. Что в логах устройства?

Галочку убрал, в логах пишется что соединение установлено conn_open далее происходит изменение arp адреса и он может изменить arp адрес и переходит в состояние conn_close. А при просмотре Status > Connections соединение переходит в состояние state : SYNACK_S, т.е. не переходит в состояние TCP_OPEN...

Date Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
TCP core dmz 89.20.103.194
192.168.30.1 8587 25 conn_close
conn=close origsent=392 termsent=0

alg_session_closed
algmod=smtp algsesid=5
2008-05-21
12:48:02 Notice ARP
300001 UnsolicitedARPReplies dmz 192.168.30.1
192.168.30.199 already_exists
drop
hwsender=00-02-b3-eb-b5-14 hwdest=00-00-00-00-00-00 arp=reply srcenet=00-02-b3-eb-b5-14 destenet=00-19-5b-42-e3-35
2008-05-21
12:48:02 Notice ARP
300008 ARPChanges dmz 192.168.30.1
192.168.30.199 hwaddr_change
allow_processing
knownip=192.168.30.1 knownhw=00-02-b3-eb-b5-14 newhw=00-19-5b-42-e3-35 hwsender=00-02-b3-eb-b5-14 hwdest=00-00-00-00-00-00 arp=reply srcenet=00-02-b3-eb-b5-14 destenet=00-19-5b-42-e3-35
2008-05-21
12:48:02 Info ALG
200001 TCP wan1
core 89.20.103.194
84.209.16.230 2174
25 alg_session_open
algmod=smtp algsesid=5 origsent=100 termsent=44
2008-05-21
12:48:02 Info CONN
600001 allow_smtp_to_DMZ TCP wan1
dmz 89.20.103.194
84.209.16.230 2174
25 conn_open
satdestrule=SAT_SMTP_to_DMZ conn=open

Попробуйте не использовать ALG

Разобрался, проброс 25-порта с wan1 на интерфейс lan в мой ip-адрес точнее мой комп в котором настроена виртуальная машина VMWare с интерфейсом NAT ОС FreeBSD в котором поднят почтовый сервер) работает

А вот проброс в зону DMZ как я понял правила мои были правильными, только вот из-за того что почтовый сервер в dmz не знал dmz_ip=192.168.30.2 DFL-800 в качестве шлюза по умолчанию. Т.е. теоретически я должен написать в почтовом сервере с FreeBSD в файл /etc/rc.conf следующее:
defaultrouter="192.168.30.2"
После этого он должен работать, на практике на выходные попробуем

Еще есть вариант с использованием вторым правилом не allow а nat, тогда шлюзом DFL можно не ставить.