Тэкс. Заработало...
Значит, надо пойти попить кофе и потом со свежей головой вдумчиво перечитать тему и TFM-ы...

...а потом продолжить мучить вопросами умных людей

Allow при обращении из внешнего мира (если несколько внешних интерфейсов, то WANS и т. п.).
NAT при обращении из той же сети, где находится целевая машина (если хочется обращаться к ней по внешнему ip, как снаружи).

Если из внешней сети также работает только с NAT -- это признак того, что у Вас на целевом компьютере проблемы со шлюзом/маршрутами. Можно и так, но Вы не будете видеть реального адреса клиента -- все подключения будут идти с lan-адреса DFL.

Сейчас уже из внешней работает и работает с Allow, спасибо.
Все-таки у меня "траблемы" с осознанием назначения/применения интерфейсов и подсетей в правилах DFL.

Я вот как понимаю... Если в SAT-правиле прописано:
1. source - any/all-nets, то в это правило попадают пакеты, приходящие с любого из интерфейсов и из любой подсети (конечно, учитываем еще destination...)?
Если нужно обрабатывать пакеты только с WAN-интерфейса, то интерфейсом выбираем WAN (или группу WAN-ов), если пакеты, пришедшие с каких-то опеределенных подсетей, то подсетью выбираем нужную (нужные) или группу подсетей... Так?
А, если нужно обрабатывать пакеты (пропускать соединения) с конкретных адресов? То указывать или адрес или группу адресов?

2. destination - core/all-nets, то в это правило попадают пакеты, у которых адрес назначения находится за указанным интерфейсом и в указанной сети?
В этом контексте интерфейс core подразумевает, что ядру DFL-ки отдаются пакеты для NAT-ирования, так?
Тогда выходит, что вполне правомочно указывать destination - core/lannet?

1. Да, все правильно. В адресной книге можно создать объект "IP4 Group" в который могут входить отдельные IP, диапазоны IP с любыми границами и другие группы и всё это и на вхождение (+) и на исключение (-) !!!
Однако не стоит слишком усердствовать с ограничениями, ведь в слишком сложной конфигурации самому легко запутаться.
2. Destination -- это поле в ip-пакете, а не Ваше пожелание, куда он должен в итоге попасть core/lannet эквивалентно core/lan_ip и для обращения извне -- непригодно, НЕТРАНСЛИРОВАННЫЙ адрес назначения для
идущих извне пакетов -- wan_ip.

Угу, именно это и имел в виду.


Полностью согласен. Часто бывает лучше посидеть и пересмотреть идеологию разрешений/запретов, чтобы была попроще и понагляднее.


Безусловно. Но речь не о моих пожеланиях, а о том, как DFL это понимает и обрабатывает.


Мммм... Ну, да, конечно. По-идее, снаружи-то ЛАН не виден... Снаружи видно только wan_ip... Угу.


Большое спасибо, ребята, похоже, что с этим разобрался.

Долго искал инфу по пробросу портов в DFL-260E так ни чего, что мне помогло и не нашел. А мне надо было сделать проброс для FlylinkDC.
В общем опишу свой метод.
1. Добавляем сервис

Галочка "Защита от флуда SYN (SYN Relay)" обязательна!
2. Добавляем правило



3. Добавляем правило

Кликните по вкладке Configuration и выберите из выпадающего меню Save and Activate. Кликните по OK для сохранения и активации изменений.

Всем привет!
народ помогите пожалуйста!!!
проблема в абсолютно аналогичная проблема...но, что интересно...создал без проблем правило допустим rdp...как указанно тут http://www.dlink.ru/ru/faq/85/480.html ...всё заработало всё хорошо, сразу после этого созхда ещё два аналогичным правило для RDP только с пробросом на другой ИП... другого порта и нечего не работает...попытался ещё кое какие правила проброса создать и так же нечего не работает...уже всю голову сломал...

1. какие порты слушаете ?
сервисы для этих портов создали ?
в целевой сети эти порты кто то слушает ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

создал порт под номером 555
обесню по подробнее что именно сейчас хочу сделать...на работе в сети есть свой веб ресурс, каторый естественно крутится на порту 80...надо сделать чтоб этот ресурс был доступен из мне... создал новый порт под номером 555, а дальше всё сделал так как указанно на http://www.dlink.ru/ru/faq/85/480.html ... и нечего... порт пробовал другой, допустим 4444...всё равно всё та же ерунда(((

можете внимательно покурить еще это. основное, что я бы мог сказать там есть.
viewtopic.php?t=64076&start=1

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

но там собственно всё тоже и самое что сдесь... http://www.dlink.ru/ru/faq/85/480.html
всё так и делаю

два моих правила выгледят вот так :

для проверки сделайте
sat any/all-nets core/allnets : ваш созданный сервис с нужным портом
на закладке сат укажите IP целевой машины и новый порт 80
nat any/all-nets core/allnets

Помните что на целевой машине DFL должен быть шлюзом .

зы все работает . у меня точно такое же перенаправление 5522 -> 22

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

1. В обще на картни стоит NAT Но стояло Allow, это я уже ради интереса тестировал...(ставил nat)
2.Всё что ваы говорите пробовал...
3.На конечной машине шлюз DFL...