Имеем правила:
lan_to_wan

Правило а
действие NAT
сервис all_tcpudp
Источник lan сеть lannet назначение соотв. wan и all-nets

wan to lan

Правило b
действие NAT
сервис all_tcpudp
Источник wan сеть all-nets назначение соотв. lan и lannet

Казалось бы, должно все пропускать.
Пакеты UDP по порту 55777 от IP рабочей станции на IP файрвола отбрасывает по умолчанию.
Почему?

Порты из инета пробрасываются иначе

http://forum.dlink.ru/viewtopic.php?t=64076&start=1

Обращения из локальной сети на IP DFL также надо разрешать.

Пишите конкретно, чего хотите достичь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это не проброс портов.

Машина в lan должна иметь доступ по порту 55777 к машине в wan, протокол UDP.

http-сервис при этом работает нормально, никаких сообщений об ошибках, т.е. обращения из lan на IP файрвола разрешены.

Уберите правило "В" - DFL сам обеспечит прохождение обратного трафика в рамках соединения.

И покажите ваш лог.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Правило B убрал.

В логе идут следующие записи:

Дата 2010-05-18 20:44:58

Критичность: Предупреждение

Категория/Идентификатор RULE 6000051

Правило Default_Rule

Proto (Первичный) UDP

Src/DstIf lan

Src/DstIP (IP рабочая_станция_lan) (IP файрвол_ DFL_lan)

Src/DstPort 55777 55777

Событие/Действие ruleset_drop_packet drop

Т.е. пакеты он отбрасывает, хотя от lan к wan стоит правило для сервиса all_tcpudpicmp. Http и ftp сервисы работают.

У вас на этом порту что-то вроде торрента и оно хочет обращаться к самому же себе по внешнему адресу?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет, там Випнет Клиент от Инфотекса.
Для настройки под него дали буквально следующие требования.

"Машина в Инете с IP XXX.XXX.XXX.XXX
UDP: 55777 в обе стороны."

Никаких признаков того, что машина должна обращаться к самой себе.

За DFL-ом все работает, но по ряду причин это должно быть в lan.

"В обе стороны" значит, что вам надо сделать порт-маппинг для этого порта

# исходящий трафик
NAT lan/yourprivatehost wan/all-nets udp-55777
# порт маппинг
SAT wan/all-nets core/wan_ip udp-55777 (SAT: new dest = yourprivatehost)
Allow wan/all-nets core/wan_ip udp-55777

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А udp-55777 - это сервис? С источником и назначением 55777?

Только с назначением. Источник оставьте как есть, 0-65535

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Большое спасибо!

Но, как ни странно, сообщение об отбрасывании пакетов продолжает появляться.

Потому что для этого тоже нужны правила. Чтобы разрешить:

SAT lan lannet core wan_ip service_55777
NAT lan lannet core wan_ip service_55777

Чтобы запретить:

drop lan lannet core wan_ip service_55777

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А в SAT в этом случае назначаение - тоже машина в локальной сети?

да. аналогично

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал все так, но пакеты почему-то все равно отбрасывает.