Здравствуйте.
Извеняюсь если кого потревожил своим вопросом. Как сделать с помощью DFL-800 так, чтоб сервисы поднятые на машинах имеющих реальные адреса имели доступ к интернету через DFL-800 и были видны извне по их реальным адресам?

Сколько у вас реальных IP?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

4 реальных, вопрос в том возможно ли такое сделать и как. Тоесть 1 реальный адрес уходит на dfl как на шлюз для сети и 3 остальных на сервера с поднятыми сервисами. Как на DFL орзанизовать маршрутизацию из глобальной сети к этим 3 машинам и обратно соответственно.

Проще сделать на компьютеры жеский NAT там будет серый IP. серверы вынести отдельно в DMZ настроить с DMZ прозрачный режим и на серверы указать сразу внешний IP.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Сделал по описанной Вами схеме на одной машине. В общем она в мир выходит без проблем, а мир её не видит. Поискал по форуму, нашел большое количество вопросов похожих на мой и всем советуют тоже что и Вы мне, но как мне показалось без конретики. Короче просьба: ткните носом что и как сделать. И вопрос: можно ли это как то по другому реализовать на данном устройстве без использования прозрачного режима?

Извиняюсь, всё работает через transparent. А как быть в том случае если имеется сеть из 16 реальных адресов и доступ из мира смаршрутизирован провайдером к 15 через 1 из них? И соответсвенно эти 15 ходят в интернет через шлюз с этим адресом. Как организовать такую маршрутизацию на DFL?

up

Хоть скажите можно ли такое вообще сделать на DFL.

Видимо, речь все же о подсетке из 16 адресов из которых 14 доступны, а 2 зарезервированных. Обычно, такая подсетка просто маршрутизируется провайдером через существующий линк на вас. А вы можете, например, просто настроить DMZ на эту подсетку белых адресов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, буду пробовать.

В этом случае dmz_ip будет шлюзом для всей белой подсетки в DMZ и лежать в этой же подсетке. А разрешающие правила будут, при необходимости, в обе стороны и Allow, а не NAT.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Тоесть, если я правильно понял, например, на wan1_ip ставлю 1.1.1.1 на dmz_ip ставлю 1.1.1.2 на интефейс dmz цепляю остальную сеть с белыми ip и указую им адрес шлюза dmz_ip. В правилах пишу разрешить всё от всех с интерфейса wan1 к интерфесу dmz для сети dmz_net и обратно?

нет. подразумевалось, что wan1_ip находится совсем в другой подсети, нежели 1.1.1.0/28. Т.е., если говорить на пальцах, dmz_ip 1.1.1.1, dmz-net 1.1.1.0/28. Но лучше не гадать, а говорить конкретно о вашем случае.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Есть сеть 1.1.1.96-1.1.1.111 (первые 3 цифры измененны, 96-111 так и есть). 97 - шлюз со стороны провайдера, 98 шлюз с моей стороны, есть локальная сеть 192.168.0.0/24 - имеет доступ с интернету через нат, и есть сервисы (почта, фтп, впн, хттп), которые крутятся на машинах имеющих реальные адреса и которые видны снаружи по своим адресам через 98 адрес.