Не работает traceroute. В логах пишется:
EFW: DROP: rule=TTLOnLow ttl=2 ttlmin=3 action=drop recvif=DMZ srcip=(IP из DMZ сети) destip=(внешний IP) ipproto=UDP ipdatalen=18 srcport=3181 destport=33440 udptotlen=18

В правилах DMZ-WAN два правила по умолчанию: запретить SMB-all, остальное все разрешено.

Что за правило TTLOnLow и где оно правится?

минимальный TTL конфигурируется на закладке Firewall->Policy->Global Policy Settings

_________________
С уважением -- Александр Шебаронин.

Прочитав правила пользования форумом, решил описать проблему уже в созданной теме.

Итак, есть DFL-700, последняя прошивку 1.30, все настройки заводские. Подняли PPPoE до провайдера, сменили внутренний ip на 10.0.0.5, настроили логи. Все, больше с ним ничего не делали.

Устройство пингуется, но на traceroute до него или через него ни снаружи, ни изнутри сети не отвечает.

На traceroute 10.0.0.5 в логах пишет следующее:

Mar 5 09:15:16 router EFW: DROP: rule=TTLOnLow ttl=1 ttlmin=3 action=drop recvif=LAN srcip=10.0.0.35 destip=10.0.0.5 ipproto=UDP ipdatalen=18 srcport=38942 destport=33436 udptotlen=18

Вопрос. Ему нужно какое-то правило добавить, чтобы он отвечал?
Это же не дело, когда снаружи делают traceroute на наш домен, и он затыкается на сервере нашего провайдера.

Форум читал, FAQ читал, в поддержку писал. Ответа не нашел.

Как я уже и говорил, минимальный TTL конфигурируется на закладке Firewall->Policy->Global Policy Settings

_________________
С уважением -- Александр Шебаронин.

Да, дело было в TTL, но не только. Еще нужно было разрешить PING на WAN там, где устанавливается административный доступ (почему именно там - вопрос отдельный, логике не поддающийся, но ладно).
Сейчас ситуация такая:
- снаружи трейсерт до домена идет нормально
- изнутри трейсерт на внешние адреса идет только с сервера нашего провайдера, т.е.:
1 * * *
2 1 1 1 ip_провайдера
3 1 1 1 ...

Это нормально или так быть не должно?

Да, это нормально.

_________________
С уважением -- Александр Шебаронин.