В DI-624 есть такая (очень удобная) функция -- DNS relay.

Возможно ли настроить DFL-210 аналогично, т.е. чтобы запросы из локальной сети на 53-ий порт core пересылались на внешний DNS через NAT?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Только так и возможно. Смотрите как сделать вот тут - http://www.dlink.ru/technical/faq_firewall_47.php

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Работает. Спасибо!

С первым правилом (SAT) все понятно (я с него и начинал): оно подменяет Destination IP Address на адрес DNS-сервера.
Со вторым (NAT) почти все понятно: оно подменяет Source IP Address на Interface Address. Непонятно, почему там оказывается wan_ip, хотя в качестве Destination Interface указан core.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

А почему вы решили, что вам ответ приходит от wan_ip? Суть такой комбинации правил заключается в том, что вы шлете запрос на lan_ip роутера и ответ от него же получаете.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я имел в виду не пакет с ответом от DFL, а пакет с запросом, который DFL перешлет на DNS-сервер.

Получается, что в пакете с DNS-запросом это правило заменяет Source IP Address на wan_ip (иначе бы не работало, т.к. у провайдера включена проверка IP адреса на интерфесе). Непонятно, как DFL узнает, что нужно подставить именно wan_ip, т.к. из правила это не следует (в нем прописана замена Source IP Address на Interface Address, а в качестве Destination Interface указан core).

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Не мог бы кто-нибудь рассказать чуть подробнее?..

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Второе правило разрешает прохождение пакетов, завернутых первым правилом.
Притом, второе правило должно следовать сразу за первым, и если между первым и вторым правилом Вы поставите еще какое-то правило, то работать не будет, поскольку нарушится идеология работы этой связки - показать пальцем, куда топать пакету, а потом разрешить ему туда топать.
А через core это заворачивается, чтобы ядро приняло это направление.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTRX
Спасибо, что откликнулись!
Насчет порядка и последовательности правил я понял. Но полностью на мой вопрос Вы не ответили.

Оба правила содержат core в качестве Destination Interface. Получается, что о том, что запрос нужно отправить через wan и подставить wan_ip в качестве Source IP Address, DFL узнает еще каким-то образом. Но каким именно

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP

Через core. И подставляет он не wan_ip, а dns_ip.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Когда DFL переправляет запрос на dns_ip он должен подставлять wan_ip, иначе бы не работало, т.к. у провайдера включена привязка по IP адресу. Это для второго правила (NAT). То, что SAT подставляет dns_ip в качестве Destination IP Address -- это понятно.

В общем, я так понял, что к этому нужно относиться как к факту, т.е. так реализовано. Странно, что о такой особенности core не написано в мануале.

В любом случае -- большое спасибо!

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP