Первое Ваше правило разрешает соединение с интернетом только с порта torrent_lu но для всей подсети lan_net
Второе правило разрешает только lu_pc но с любого порта, в этом случае любая программа может выйти в инет.

Я кажется понял Вашу ошибку.
Вы говорили что "исходящие пакеты через порт torrent_lu дропаются независимо от указанных правил"
Так вот дропаются только первые пакеты создающие канал, а когда канал создан, (с любой стороны) пакеты могут гулять в обе стороны.
То есть правила определяют не движение пакетов как таковых а создание канала, то есть инициирующего пакета.

спасибо, картинка начинает складываться.

поясните еще такой момент:
почему при правилах SAT-allow тклиент практически сразу устанавливает соединение и начинает качать-раздавать,
а при правилах NAT-lan_net-torrent_port ничего не делает и висит в состоянием "DHT-ожидание входа", а при тестировании сообщает, что "порт не открыт, загрузка возможна"?

Может порт уже кем то занят? Или второй сетевой карты в компе нет?
Попробуйте другой указать, у меня при правиле NAT-lan_net-torrent_port прекрасно качает с максимальной для провайдера скоростью

И еще, что говорит лог?

правила SAT-allow отключены

правило NAT:
torrent_lu NAT lan lan_lu wan_kwant-maxnet all-nets torrent_lu

лог:
дропает все пакеты, идущие через порт torrent_lu
но правда пакеты идут только так:
lan_lu:torrent_lu wan_kvant_ip:torrent_lu
и
lan_lu:torrent_lu wan_maxnet_ip:torrent_lu

и лог клиента сообщает,что "Обычно разрешается одно использование адреса сокета (протокол/сетевой адрес/порт)"
но спустя несколько минут это сообщение исчезает и в логах dfl по порту torrent_lu тишина.

можно ли использовать ALG для ограничения кол-ва соединений торрентклиента?
есди да - то какой?
есди нет - как это реализовать по другому?

нельзя ALG
была темка как при сигнатурах можно торрент загнать в трубу и других P2p естественно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ограничение количества коннектов клиента делается через Traffic management > Threshold rules, но это DFL-800/860E и выше, да и очень тонкий метод - можно сделать только хуже

Лучше всего по простому сделать отдельные экземпляры pipe без группировки + pipe rule для каждого клиента в локалке и тогда скорости будут резаться хорошо

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

получается, чтобы раздавать надо создать правила SAT, например такие

но в таком случае мы обречены на ожидание входящего коннекта, чтобы начать скачивание.

Поэтому,чтобы качать независимо от входящих сессий (или качать наплевав на раздачу), надо создать еще (или только его, несоздавая правила SAT) правило для скачивания, например такое:

при этом, надо учитывать, что порты для скачки и раздачи должны быть разными: torrent_in ≠ torrent_out

правильно?

В общем все вроде правильно.
Я себе оба правила и NAT и SAT/Allow сделал

можешь проверить: будет ли работать закачка, если отключить SAT-allow, оставив только NAT?

Да, будет, SAT я добавил совсем недавно, до этого качал (и раздавал) только NATом, после добавления SAT раздача пошла раз в 10 быстрее

и еще:
у тебя NAT для определенного порта торрента или all-tcpudp ?

all-tcpudp для все сетки, у меня несколько торенщиков, SAT для каждого делал свой.

если мы делаем так:
torrent_out.NAT.lan.lan_ip.wan.all-nets.torrent_port_out
и в клиенте
net.outgoing_port=torrent_port_out
то тклиент будет пытаться коннектиться с порта torrent_port_out, но не на порт torrent_port_out, а на все порты подряд и в итоге наше правило NAT его не выпустит.

как разрешить all-tcpudp приложению, выходящему в сеть через определенный порт?
т.е. можно ли создать правила, позволяющие использовать all-tcpudp, но только с определенного порта определенного ip?
(например пк 192.168.0.3 может устанвливать all-tcpudp с порта 33333)

с определенным ip все понятно, это source_network, а как быть с портом?
м.б. только через proxy сервер это реализуется?