Добрый день. Помогите вот с такой проблемой.

Мне нужно на DFL-800 закрыть TCP порты с 10000 по 30000 для прохождения пакетов изнутри и снаружи. Наглухо в общем.
Кроме этого требуется открыть порты 5528 и 7194 так же для доступа изнутри и с наружи.

Создал службы соответственно номерам портов.
Создал правила:

action src.int. src.net dest.int dest.net service
drop any all-nets core all-nets srv_10000_30000
allow any all-nets core all-nets srv_5528
allow any all-nets core all-nets srv_7194

Не работает. Порты он вроде как перекрывает (не факт, снаружи не мог проверить), а вот разрешающие правила не работают.
Помогите, где ошибся.

Нужно конкретные интерфейсы указывать, а не any!

srv_10000_30000
srv_5528
srv_7194

GrpDeny = srv_10000_30000
GrpAllow = srv_5528, srv_7194

drop wan1/all-nets lan/lannet GrpDeny
drop lan/lannet wan1/all-nets GrpDeny
allow wan1/all-nets lan/lannet GrpAllow
allow lan/lannet wan1/all-nets GrpAllow

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ничего не получается. Как только я создаю разрешающее правило из локалки наружу все виснет. пинги не ходят, днс не работает
Правда у меня подключение к провайдеру PPPoE поэтому я соответственно указывают PPPoE_conn1 / all-nets вместо wan1/all-nets

Группируем интерфейсы:
WANs = wan1, PPPoE_conn1

drop WANs/all-nets lan/lannet GrpDeny
drop lan/lannet WANs/all-nets GrpDeny
allow WANs/all-nets lan/lannet GrpAllow
allow lan/lannet WANs/all-nets GrpAllow

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Тоже самое. Не работает

Что в логах по этому поводу?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTRX, у многих ли пользователей белые адреса в локалке? У человека, вероятно, NAT, а Вы ему -- Allow, Allow.

Тоже верно. Тогда NAT ставьте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...