Здравствуйте, есть роутер DIR-100 c прошивкой 2.03. На роутере настроена трансляция портов на физические машины из вне. Задача: пропускать на эти порты только с 3х диапазонов IP адресов из вне.
Пишу правило:
Имя: Правило №1
Действие: Разрешить
Источник: Wan c диапазоном адресов с 82.108.243.1 по 82.108.243.254
Цель: Lan c диапазоном с * по *

Имя: Правило №2
Действие: Запретить
Источник: Wan c диапазоном адресов с * по *
Цель: Lan c диапазоном с * по *

Все работает, из другой сети не указанной в Firewall попасть не возможно, но, нет интернета на машинах за роутером, ок, пишу еще одно правило:
Имя: Правило №3
Действие: Разрешить
Источник: Lan c диапазоном адресов с 192.168.35.1 по 192.168.35.254
Цель: Wan c диапазоном с * по *

Результат: Интернета нет, отключаю правило №2 - интернет появляется на машинах за роутером, но и доступ из вне открывается для всех, что я делаю не так?
Спасибо!

правилом 2 вы блокируете любые запросы с WAN на Lan включая ваш интернет

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ошибку вижу, но если я уберу это правило то смысл других правил теряется, и в результате не могу закрыть сеть с наружи.

так роутер и так будет блокировать все запросы с наружи .... зачем эти правила ? что предпологается закрыть ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В роутере по умолчанию есть 2 правила:
запретить все из инета в лан. (когда вы делаете проброс порта - вы обходите это правило)
разрешить все из лан в инет.

Уточню немного задачу. За роутером стоит сервер, для управления им удаленно необходимо пробросить порт 3389, что я и делаю. Что я получаю на выходе? Постоянные атаки на порт 3389, идет постоянный перебор паролей что не есть гуд. Поэтому у меня есть диапазон интернет-адресов с которого будет идти обращение на порт 3389, так вот, я хочу разрешить подключатся на порт 3389 только тем IP которые указаны в списке разрешенных, а те которые в списке отсутствуют идут лесом. Такую же задачу я решал на tp-link который стоит 450 руб с успехом, но у него другие проблемы со стабильностью работы...

viewtopic.php?f=3&t=90299
попробуйте аналогию тут поискать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за ссылку, почитал тему, и пришел к выводу, что у меня именно так и настроено, единственное различие это жесткое указание портов, сейчас проверю, после отпишусь.

Действительно именно так и есть, необходимо указать жестко порты которые пробрасываем через port forwarding. Всем спасибо.