DSL-2500U/BRU/D настроен как роутер+NAT+firewall
Модем имеет WAN IP 80.123.321.254, LAN IP 192.168.1.1
и подключается к сетевой карте ПК с IP 192.168.1.2
На ПК установлен VNC сервер.
Настроил на можеме firewall на входящий доступ с определённого IP по всем портам.
Настроил Virtual Server как сказано в инструкции:
IP 192.168.1.2
5900 5900 TCP 5900 5900
(5900 - это порт который слушает VNC сервер)

Подключаюсь из инета на WAN IP модема с помощью VNC клиента и получаю обрав по тайм ауту.

Запустил TCP-view на ПК(192.168.1.2) в момент подключения.
Там висит процесс VNC и слушает порт 5900
В момент подключения через VNC клиент TCP-view показывает подключение:
SYSTEM на 192.168.1.2:5900 с 156.254.458.5:4920 (это мой IP)

То есть получается, что модем пересылает трафик на 192.168.1.2, но подключение к VNC серверу не происходит...

Почему это может быть? Может я неверно настроил Virtual server?

Странно - у меня оно работает нормально.

А как ты firewall и Virtual server настроил?

Прошу прощения, неправильно был настроен firewall.
Как запретить доступ ко всем IP кроме одного?

Здесь следует точнее поставить вопрос (что, откуда и куда нужно блокировать). Если Вам необходимо запретить доступ со всех IP кроме одного к VNC-серверу (из поста выше), то так нельзя. Т.к. IP Filters работают только для прямого роутинга и не будут работать для перенаправленных запросов (Virtual Server).
В этом случае возможна реализация такая: с помощью Virtual Server открываете доступ со всех IP-адресов, а уже на сервере устанавливаете firewall, который будет "рубить" соединение с ненужных IP.

Не, так не получится. виртуалсервер через dnat, для его хоста весь интернет на одно лицо (lan ip его модема). Надо зайти через telnet на модем и ввести:
iptables -I FORWARD -s ! нуж.ный.i.p --dport 5900 -j DROP

Надо запретить доступ из локальной сети на все IP инета кроме 2-х.

По умолчанию все входящие подключения запрещены, я просто в фильтре разрешил с 2-х IP подключаться к можему по всем портам и потом настроил Virtual server на пересылку трафика по потру 5800, 5900 на локальный сервер. Это правильно сделано?

Неа, вам нужно разрешить доступ к двум внешним ip, а вы разрешили доступ двух внутренних ip куда угодно. Virtual Server вы настроили для пересылки чего куда? Если я правильно понял, то что Вам нужно, можно сделать через консоль, самый дубовый способ это:
ip1,ip2 - внешние ip (на пример 213.234.241.211, 220.229.166.250)
localnet - ваша внутренняя сеть (на пример 192.168.1.0/24)
Заходите через telnet и пишете:
iptables -I FORWARD -s localnet -j DROP
iptables -I FORWARD -s localnet -d ip1 -j ACCEPT
iptables -I FORWARD -s localnet -d ip2 -j ACCEPT

Вот только с dns могут быть проблемы, что-то я пропустил какой у Вас модем, если 500T всё ok будет если 2540U тогда не уверен, возможно что нужно чуть умнее писать правила, потому что в нём какой-то сумасшедший способ форварда dns запросов, про остальные ничего не скажу ибо не видел, эта схема работает до следующей перезагрузки.
Или можно добавить к предидущим правилам:
iptables -I FORWARD -s localnet -d ip_secondaty_dns -j ACCEPT
iptables -I FORWARD -s localnet -d ip_primary_dns -j ACCEPT
и на клиентах в настройках dns указать те же ip_secondaty_dns ip_primary_dns.
ip_secondaty_dns ip_primary_dns это ip dns серверов провайдера.

Этот момент не понял.

То есть таким образом настраиваем исходящие разрешения из локалки на 2 внешних IP.

Теперь надо настроить подключение с помощью VNC через модем на локальный IP.
То есть что бы только с моего внешнего IP можно было подключиться к локальному IP алресу.
Я настраивал это так:
Зашёл в фкладку incoming(кажется так зовётся), там сверху написано, что "по умолчанию все входящие подключения отклоняються если включён firewall, но вы можите создать разрешающие правила"
создаю правила с такого то внешнего IP по всем протоколам разрешить подключение.
Потом иду в Virtual server и создаю там правило по пересылке всего трафика по потору 5900 на локальный IP.
Это верно?

Возможно, данная статья поможет разобраться:
http://dlink.ru/technical/faq_xdsl_133.php

Про virtualserver правильно написали, если ip с которого хотите подключаться на vpn не был среди первых двух которые описывали в правилах:
iptables -I FORWARD -s localnet -d ip1 -j ACCEPT
iptables -I FORWARD -s localnet -d ip2 -j ACCEPT
То его следует добавить:
iptables -I FORWARD -s localnet -d ip3 -j ACCEPT

Теперь по идее достаточно добавить в virtualhost ваш локальный сервер или написать в командной строке модема:
iptables -I PREROUTING -p tcp --dport 5900 -s valid.ip -t nat --to-destination local.ip.with.vnc
Где valid.ip - ip с которого разрешён доступ к vnc, local.ip.with.vnc - локальный ip адресс vnc сервера.

Все эти настройки живут до перезагрузки модема.

Inko, разъясни. Получается всё что я через консоль настраиваю живёт только до перезагрузки? и никак нельзя сохранить их?

Сейчас отресетил модем и начал всё настраивать заново. Заметил один неприятный момент.
Когда я создаю виртуальный сервер через WEB интерфейс, то неспотря на запрещяющее правило для всего входящего трафика, все пакеты со всех внешних IP пересылаються на внетренний сервер по заданому в Virtual Server порту.

А как сделать что бы пересылались пакеты только с одного внешнего IP, а с остальных отклонялись?

Так и есть.

А какой смысл тогда через консоль настраивать если после ребута всё слетит?