Друзья, подскажите, возможно ли на чудном девайсе DSR-1000N реализовать проброс tcp порта между vlan'ами?

Немного уточню. Как известно у DSR-1000N четыре lan-порта. Я настроил порты 1,2 на vlan1. 3 на vlan3. 4 на vlan4. Все порты работают в mode: Access. Мне требуется что бы все компьютеры vlan4 (192.168.4.1-192.168.4.254), могли обратиться к серверу vlan3 (192.168.3.100) по порту tcp 3306. Остальные порты должны быть закрыты. Открыт должен быть только этот конкретный маршрут.

п.с. И доп.вопрос. У девайса CLI порезан? Я так через него и не смог создать vlan, пришлось ползти в web-морду.

Многие согласятся думаю, но ИМХО, девайс даже для производителя является загадкой, которую они уже полтора года пытаются разгадать...

Я это делал настройкой правил FW с указанием диапазонов ИП source машин. Т.е., например, разрешить вход с компьютеров 192.168.4.1-192.168.4.254 на vlan3 по порту 3306. Все остальное запретить.

bnk123 не получается так сделать. Если прописать правило запрета для диапазона адресов, он блокирует все сервисы, независимо от того есть ли правило на разрешение или его нету. Я так понял что выставить приоритетность правила невозможно.

Для меня было неожиданностью то что фаервол между vlan'ами настроен как all allow. ИМХО неправильно. Зачем писать кучу правил на запрещение трафика, когда проще написать пару правил на разрешение. Еще один денек поэкспериментирую, если не получится, придется сдавать в магазин.

Решение межсетевого экрана с резервным каналом 3G это хорошая штука. Хотя и она как то неправильно работает.
1) Переход на резервный канал возможен только между WAN1 и WAN2 или WAN1 и 3G. Почему нельзя было сделать возможность что бы на резерве были все 3 канала? Допустим WAN1 простой проводной, WAN2 допустим Wi-MAX, ну и 3G jn Пчилайна или МТС. Вариант что перерубят оптику, рухнет AP WiMAX и взорвут три ближайшие "соты" сотового оператора стремятся к нулю.
2) Ну допустим мы смирились что у нас доступно только два канала из трех, захотели поюзать WAN2 как DMZ. Но не тут то было, как только вы выставляете порт WAN2 в режим DMZ, функция перехода из одного резервного канала в другой пропадает. Вернее закладка где можно выставить резервные каналы, балансировку нагрузки и т.д. становится неактивной. Это уж совсем странно. Или резервируй или юзай DMZ.

Нужно разрешающее правило поставить раньше запрещающего. Так устанавливаются приоритеты. Почитайте help в Web интерфейсе.

Специально у себя в офисе поставил девайс. Скинул все настройки на заводские. Сделал два vlan'а.
vlan default (192.168.2.0)
vlan test (192.168.4.0)
Добавил два правила:
1) Из vlan default в vlan test, allways allow services PING с ANY ip на ANY ip
2) Из vlan default в vlan test, allways block services ANY с ANY ip на ANY ip

А теперь последовательность:
На компьютере в vlan default прописываю маршрут route add 192.168.4.0 mask 255.255.255.0 192.168.2.1
На компьютере в vlan test прописываю маршрут route add 192.168.2.0 mask 255.255.255.0 192.168.4.1

соответственно 192.168.2.1, 192.168.4.1 это ip адреса маршрутизатора

Пускаем с vlan default ping: ping 192.168.4.2 -t

Пакетики запрыгали, все хорошо. Добавляем правило №2. Пинги перестали ходить. Все хорошо, так и было задуманно. Теперь добавляем правило №1 перед правилом №2. Пинги все равно не идут. Уже и местами менял, все равно тишина. Как только делаю disable правилу №2, пинги начинают бегать. Такое ощущение что правило на запрет приоритетней правила на разрешение, где бы оно не стояло.

Или возможно я чего то не так понял....

Скажу только как работает у меня. Как задумывалось - не знаю.

1) Из vlan default в vlan test, allways allow services ICMP-8 с [192.168.2.1-192.168.2.254] ip на ANY ip
2) Из vlan default в vlan test, allways block services ANY с [192.168.2.1-192.168.2.254] ip на ANY ip

Source адреса ставил потому что роутер на предыдущей прошивке не умел фильтровать по vlan'ам в FW и правила работали для всего LAN.

И не надо статические маршруты вообще ставить. Роутер у себя сам знает чего куда маршрутизировать.

Ага, ок. Сейчас попробую так сделать.
А то уже хотел менять сей девайс на DFL-860E. Но очень хочется оставить поддержку WiFi и 3G.
Кстати заметил еще один баг, но не разберался с ним пока. DHCP сервер на WiFi не раздает адреса. Сегодня еще покопаюсь с ним, возможно что то не так настроил.