Добрый день.
Навесил на WAN1 порт 1 дополнительный ip адрес(wan_1_2_ip). SAT на сервер SRV1 из интернет работает отлично на этот дополнительный ip адрес.
Но когда я пытаюсь зайти telnet'ом на внешний адрес(telnet wan_1_2_ip 443) с самого сервера SRV1 (на который идет SAT) - ничего не выходит.
Правила следующие:
Rule0 NAT lan SRV1 any allnets https (NAT Specify Sender Address - wan_1_2_ip)
Rule1 SAT any all-nets any wan1_2_ip https (SAT to SRV1)
Rule2 Allow any all-nets any wan1_2_ip https

В чем может быть проблема?

В правиле Rule0 в поле Specify Sender Address пропишите SRV1, аналогично правилу Rule1

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В Rule0 у меня как раз и указан Specify Sender Address.
Только с wan_1_2_ip.
Разве можно указывать внутренний айпи в качестве исходящего айпи для соединения в интернет?

Ой, пардон, я невнимательно посмотрел на правило и перепутал с SAT.
В правимле Rule0 замените any allnets на any wan1_2_ip. Заодно посмотрите, на каком порту работает удаленное управление, если таковое имеется на WAN1 интерфейсе.
Кажется, Rule0 еще надо переместить ниже Rule1

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Не помогло.
Всё гораздо интересней оказывается.
У меня в действительности 4 порта SAT-тся: 443,446,444 и 5061.
Так вот на все идет телнет кроме 5061.
В Rule0 соответсвтенно есть NAT всех 4 портов наружу.

В логах никаких сообщений о дропе 5061 нет.
Временно блокирую Rule0 и.... телнет идет на 443,444 и 446 все равно!! Как так - по какому правилу - непонятно!?

Сделал для теста Drop правило:
Rule4 Drop lan SRV1 any allnets https
Вставил Rule4 перед Rule1 - телнет не идёт
Опустил Rule4 после Rule2 - телнет идёт.

Ничего в итоге не понимаю.....

5061 - это сервис IP-телефонии обычно. Точно уверены, что у Вас сервис, который прописан в DFL на этот порт, содержит протокол TCP? А то если там UDP, то никакого телнета и не будет...
После временного блокирования активацию настроек не забыли сделать? Просто выбрать Disable недостаточно.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, за 5061 я уверен. TCP 100%.
Из интернета то на него телнет идёт.

Сейчас еще раз проверил:
Disable, применение настроек, телнет все равно идёт на 443 и иже с ним.

Может быть можно как то посмотреть по какому правилу обрабатывается коннекция?

Покажи все правила, что настроены в DFL. Там могут быть и ошибки порядка следования правил и просто ошибки.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вставить картинку не получилось. Вот copy&paste из конфига:

# Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service
1 EdInetOut NAT lan EdgeIP any all-nets edge_inet
2 Edge443S SAT any all-nets any wan1_2_ip https
3 Edge443A Allow any all-nets any wan1_2_ip https
4 Edge444S SAT any all-nets any wan1_2_ip https_444
5 Edge444A Allow any all-nets any wan1_2_ip https_444
6 Edge446S SAT any all-nets any wan1_2_ip https_446
7 Edge446A Allow any all-nets any wan1_2_ip https_446
8 Edge5061S SAT any all-nets any wan1_2_ip tcp_5061
9 Edge5061A Allow any all-nets any wan1_2_ip tcp_5061
10 Edge3478S SAT any all-nets any wan1_2_ip udp_3478
11 Edge3478A Allow any all-nets any wan1_2_ip udp_3478

Где 1 правило Rule0. Остальные правила - связка SAT&Allow
Сервисная группа EdgeInet включает в сеья 443,446,444,5061

Порт 3478 не рассматриваю - UDP.

То, что телнет идет при disable первого правила, это нормально. Ведь по сути правилом SAT dfl лишь транслирует на другого получаетеля. В итоге комп, с которого уходит telnet запрос, его же назад и получает через петлю. Причем со своего же IP адреса, но МАКа DFL. Потому и используют правило NAT, чтобы не было такой ситуации. Посмотрите сниффером, что происходит в этот момент, чтобы убедиться.
Что касается того, почему не проходит 5061 - а Вы как смотрели? Сниффером или ожидали ответа приложения на этом порту? А как себя поведет приложение, если получит запрос от самого себя, но с другим МАКом, вы точно знаете?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я просто телнет запускаю на порт, а тот не коннектит.
На 443,444, 446 же телнет залетает.

Приложение соответственно также при попытке коннекта пишет, что 5061 не слушается. Завтра снифером попробую.

Чтобы при телнете законнектило, кто-то должен ответить на этом порту соответствующим пакетом. Если приходит отлуп, то визуально это не видно. А вот сниффером видно будет.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

1. Избавляйтесь от any.
2. Расположите правило NAT с дополнительным IP Выше остальных.
3. Приведите логи.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

+1. Я тоже считаю, что как минимум для отсутствия путанницы в будущем и ожидания корректной работы правил необходимо в явном виде прописывать интерфейсы. Однако хочу заметить, что я прописал тестовое правило, аналогично схеме Chugreev (т.е. any/any везде), и увидел правильную обработку этого правила.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)