тестирую данный девайс.
пока подключен через один интерфейс.
решил проверить обычный редирект:

это работает, но только для моего хоста.
как только пытаюсь заменить "src network: my_ip -> src network: lan1net", для 2-го правила sat то связи нет, и в логах нет ничего интересного.

где я ошибся?

удалите правило трансляции src адреса для начала.

правила SAT и Allow должны быть одинаковы. Должно работать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

> удалите правило трансляции src адреса для начала.
без него не работает, т.к. находимся в одной сети, и ответ пойдет напрямую на мой хост, где этот пакет будет отброшен.

все решил, вместо второго sat сделал nat.

Чтобы не играть в испорченные телефончики в условиях неполных данных, опишите подробно вашу топологию и задачу, которую хотите решить.

Проброс портов обычно делается с одного интерфейса на другой, в сеть, которая выходит в инет через NAT. Если вы непременно хотите сделать так, второе правило должно быть NAT. Хотя я не понимаю, зачем это делать через промежуточный хост в локальной сети, когда можно обратиться напрямую.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

все работает, спасибо

> Хотя я не понимаю, зачем это делать через промежуточный хост в локальной сети, когда можно обратиться напрямую.
пока идет просто тестирование возможностей, и второй интерфейс пока подключить нет возможности, ну и просто хочу понять логику работы dfl чем она отличается от iptables/iproute.

а вот вопрос:
для каких случаев нужен FwdFast?
в документации написано что FwdFst медленнее Allow, я бы по названию подумал что он быстрее..

В разделе про ALG есть хорошая иллюстрация на эту тему. Forward fast - это stateless пропускание пакета "мимо" таблицы активных соединений и ALG'ов. То есть, априори быстрее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

есть дфл 2500 Нужно сделать так что бы при подключение на внешний адрес 1.1.1.1:5005 поподал на внутренний 2.2.2.2:3389
если в SAT правиле прописываю сервис RDP new port 3389 то все работа а если прописываю new port 5005 то не работает.
как сделать так что бы на внешний порт был 5005 а внутренний 3389 ?

Внешний порт (5005) указывается в службе. В вашем случае, сделайте новый TCP сервис rdp-5005 и укажите destination port = 5005. А в SAT правиле, верно, new port = 3389.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Все заработало Спасибо!