Вот просто замечательная железка - DFL. Но никак не пойму и не представлю в голове картину, как по интерфейсам проходит трафик? Из-за этого никак не могу сразу родить набор правил. Не могла бы уважаемая техподдержка разъяснить это для тех, кто в танке? Вот как в линухах, фрибсд всё ходит понимаю, тут - нет.

Вот, к примеру, есть у нас WAN интерфейс с адресом 1.1.1.1. Есть LAN интерфейс с адресом 192.168.1.1. Есть комп с адресом 192.168.1.2. Комп посылает пакет в и-нет на хост 2.2.2.2. Как по интерфейсам пройдёт трафик? А то я уже со всякими core и т.д. совсем запутался.

В вашем случае - lan:192.168.1.2 -> wan:2.2.2.2, соответственно и правило нужно NAT lan/lannet wan/all-nets (стоковое)
Промежуточные моменты с принятием пакета интерфейсом lan (это как раз делается до core), маскарадингом, отправкой с интерфейса wan (от core) вам не надо учитывать в правилах т.к. все делается автоматически
Обратный трафик тоже не надо разрешать (в iptables надо) т.к. в DFL действия Allow, NAT являются stateful, т.е. обеспечивают все хождение трафика на основании разрешающего правила на первое соединение.

Также в DFL есть действие Forward fast, которое является stateless. Тут, по аналогии с обратным трафиком в iptables, надо делать правила в обе стороны, никакого маскарадинга естественно невозможно
В отличие от iptables, DFL в этом случае не хранит это соединение в таблице открытых, соответственно флага established нет, надо разрешать трафик в обе стороны

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Т.е. если приходит входящий пакет, то железка проверяет его по таблице открытых соединений. А если не находит, то пакет идёт на интерфейс core с destination IP, того интерфейса на который пришёл, так?

Пакет в любом случае приходит на core на интерфейс wan на адрес wan_ip. Как иначе, внешние хосты же не имеют никакого понятия о вашей внутренней сети, они видят только wan_ip, от имени которого происходит весь ваш обмен трафиком.

А дальше в зависимости от установленных соединений происходит обратная подстановка внутренних адресов (NAT) для пакетов, относящихся к уже открытым соединениям, и форвардинг их во внутреннюю сеть. Если соответствующего соединения нет, то проверяются правила проброса. Если и к ним пакет не подходит, то дальше интерфейса wan он не идет, а дропается.