Пришел после отпуска смотрю не работает торрент начал копать кроме торрента еще и другие порта дропаются 137,139, 445
хотя правила стандартные как в примерах т.е. из локалки во вмешку разрешены все порты

Помогите разобратся в чем стала проблема.

Из изменений в сети
упал домен и с нуля поднимал новый вместо 2003 поставил 2008 и адреса со статических перевел в динамические подняв DHCP на 2008 серваке

В логике DFL'ек заложено: Все что не разрешено - то запрещено.
т.е. если Вы сами не разрешали ходить куда-то по каким-то портам, то будет дропаться.

Кроме этого, обычно в настройках есть правило drop_smb-all, которое режет весь мелкомягкий траффик по портам 135-139, 445.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да smb-all правило есть ладно не страшно поидее
drop_smb-all Drop lan lannet wan1 all-nets smb-all

торрент не работает дропает стандартный порт 6881 да и то что случайно торрентом выдаются тоже дропаются.

1. Сложно общаться, не видя Ваших правил. На форуме нет телепатиков.
2. Еще раз повторю - пока разрешающие правила не будут корректно прописаны - будет дропаться.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ip rules


lan to wan1


Вот правила предельно стандартные

В какие порты у Вас что воткнуто?

И логи покажите.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

wan1 провайдер со статическим адресом
dmz web-сервер на него проброшены порты для сайта и почты
lan1 в центральный свитч от которого потом на этажные свичи распределение идет

DNS и Primary контроллер AD где? Случаем не в DMZ ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Нет DNS он же Primary AD он же DHCP находится в lan

Логи показывайте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

10.4.50.230 - это хост в локалке?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

да локалка
10.4.50.0/24
10.4.50.230 рабочий комп
10.4.50.250 DNS AD DHCP

А хост 217.19.209.184 - случайно не тот, что в DMZ ?
Если да, то в DNS на серваке 10.4.50.250 нужно сделать соответствующую запись, чтобы посылал на локальный хост в DMZ.
А поскольку LAN-DMZ взаимоотношения есть, то будет работать.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

217.19.209.184 статический ip данный провайдером т.е. то что в wan1
с него т.е. из внешки порт мапингом перекидка на дмз идет только сайт и почта