От vlan отказаться нельзя, на них вся сеть завязана. Маршрутизацию между vlan, конечно, должен осуществлять DGS, как и раньше. DFL нужен только для выхода в интернет и для ограничения его отдельным подсетям. В дальнейшем два сервера нужно вынести в DMZ, поднять почтовый сервер etc.

Ну, тогда смотрите настройки на DGS -- DFL здесь ни при чем, при правильной настройке внутренний трафик на него попадать не должен.

Текущие правила:
all-lan: lan, vlan-asu, vlan-main, vlan-eco.
all-lan-nets: lannet, vlan-asu-net, vlan-eco-net, vlan-main-net.
Access Rule: Name=access-all, action=accept, interface=all-lan, network=all-lan-nets.

IP Rules:
Name=allow-main-vlan, Action=Allow, Src if=vlan-main, Src net=vlan-main-net, Dest if=core, Dest net=vlan-main-ip, Service=all_services.
Name=allow-asu-vlan, Action=Allow, Src if=vlan-asu, Src net=vlan-asu-net, Dest if=core, Dest net=vlan-asu-ip, Service=all_services.
Name=allow-eco-vlan, Action=Allow, Src if=vlan-eco, Src net=vlan-eco-net, Dest if=core, Dest net=vlan-eco-ip, Service=all_services.

LAN_to_wan1:
Name=drop_smb-all, Action=Drop, Src if=lan, Src net=lannet, Dest if=wan1, Dest net=all-nets, Service=smb-all.
Name=allow_ping-outbound, Action=NAT, Src if=all-lan, Src net=all-lan-nets, Dest if=wan1, Dest net=all-nets, Service=ping-outbound.
Name=allow_ftp-passthrough_av, Action=NAT, Src if=all-lan, Src net=all-lan-nets, Dest if=wan1, Dest net=all-nets, Service=ftp-passthrough-av.
Name=allow_standard, Action=NAT, Src if=all-lan, Src net=all-lan-nets, Dest if=wan1, Dest net=all-nets, Service=http-all.
Name=allow-dns-all, Action=NAT, Src if=all-lan, Src net=all-lan-nets, Dest if=wan1, Dest net=all-nets, Service=dns-all.

Вам в первую очередь надо настроить DGS. Это в другом разделе форума.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.