Ну, точно чукча писатель! Из вредности не буду больше ничего писать и Владимиру не советую.

Вот и все так, ищи поиск рулит. чукча. мне не обидно. я хочу научиться. а если не можете помочь, то зачем издеваться. написал, что не работал с такими устройствами. всего попросил правила написать, кому не сложно. я не знаток в этом.

Если хотите, чтобы Вам помогали, то нужно:
1) Предоставлять все данные, не дожидаясь допроса с пристрастием.
2) Внимательно читать, что Вам пишут в ответ.
3) В идеале -- хотя бы иногда включать устройство, расположенное в верхем выросте тела .

тема с прозрачными проксями поднимается раз в пару месяцев .
уже пора фак писать по этому поводу .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

было бы не плохо, я по поводу ФАКа. если есть возможность скиньте ссылку. а то сижу набиваю каждый раз новые правила. всё стоит мёртвым грузом. простите меня, но вот так получилось.

Топикстартеру
Никто на форуме не обязан выкладывать для Вас готовые "мурзилки". Это требует определенных трудозатрат. Если не хотите вникать, обратитесь, например, к Vladimir22 -- он Вам настроит "под ключ" за деньги. Если же хотите разобраться сами -- придется научиться читать . Для начала попробуйте прочитайть эту тему с начала.

Vladimir22
Тут много что поднимается постоянно. Например, PBR на возврат при двух каналах . Люди (MTRX, кажется) уже пробовали писать факи, но их некому прикреплять и они исчезают вдали. Обратной связи с D-Link практически нет. Я пытался писать им по явным багам, исправить которые при доступе к исходникам пара пустяков -- даже ответа не получил. С другой стороны, я терпеть не могу читать "мурзилки" и читал только официальный мануал и вроде ничего .

alex63, да вы полностю правы.
но я делю людей на три типа
1- ткните носом , почитаю ... вот у меня вот тут вопрос - вот логи \вот скрины \вот может пригодится .....
такие остаются с железом надолго ..... вот проблема решена - я сам из таких - и меня тянули , и если я вижу что человек хочет разобратся - я всегда помогу
2- вот у меня вот тут вот так - что делать ?
что сделали ?
воткнул сетевой кабель - ни чего не работает ....
велком в мануалы и теорию !
(человек превращается в тип 1)


3- мне надо срочно сделать - руководство бущует третий день бьюсь. Goto тип 2.
3а - мне надо срочно сделать - руководство бущует третий день бьюсь, бюджет такой то ...... Welcome быстро и четко ...

Топик стартеру - найденов поиске за 1 минуту по запросу "прозрачный прокси"

viewtopic.php?f=3&t=160297&hilit=%D0%BF%D1%80%D0%BE%D0%B7%D1%80%D0%B0%D1%87%D0%BD%D1%8B%D0%B9+%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8#p864974

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Окей. Давайте по порядку.

У DFL есть несколько механизмов в правилах IP. В частности, тот самый Allow, о котором вы, господа, так много и хорошо говорите. Так вот, смотрим. В Route всё стандартно, роуты есть, привязка сетей к интерфейсам есть. Хорошо.

Я добавляю правило.

Allow any/all-nets any/all-nets ping_outbound
или же
Allow any/all-nets any/all-nets icmp_all
что по сути должно давать равнозначный эффект. Но хождения пингов (LAN-WAN-DMZ) нет. Хосты (висящие для эксперимента на всех "трех" портах железки) на пинги открыты, там вообще никаких заморочек. С другими протоколами та же самая петрушка, нельзя сказать ходит оно там или нет, потому что по всей видимости срабатывают эти правила по каким-то китайским законам.

Если сделать NAT, то всё в ажуре. Но NAT не нужен. Внимание вопрос знатокам - правило Allow работает в буквальном смысле так, как следует из его контекста? Или это очередная шарада завязанная на не очевидные настройки железки? Прошивка дрянь (октябрь 2010)? Железка глючная (чем черт не шутит)?

Если б были закупочные на Cisco ASA, то честное слово, я бы с этим хламом не возился и мозг бы ни себе, ни людям не выносил.

так на дворе уже 14 год .... может прошивку обновиить с тайваньского сайта ?
а там по легче пойдет !?
при прохождении интерфейсов - в буквальнмо смысле .
ваше правило
надо поднять на самый верх в корень .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Пишите конкретно, что не работает и сопровождайте это скрин-шотами IP-правил или иного, что понадобится.

Много букф. Лень читать вдумчиво.

Прежде всего, конструкция
Allow any/all-nets any/all-nets ping_outbound

плоха уже потому, что - где-то Allow не сработает. Сработает только NAT. Поэтому пишите скромно. Например

NAT lan lannet wan all-nets ping_outbound
Allow lan lannet dmz dmznet ping_outbound
Allow dmz dmznet lan lannet ping_outbound
и т.д. и т.п.

В противним случае вы будете напоминать врача, которому надо наложить пациенту два пластыря, но он "для простоты" всего его забинтовывает. И пациент задыхается.

Я не фанат D-Link, но DFL отнюдь не хлам. Не нравится - к вашим услугам хоть Cisco, хоть Mikrotik.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Топикстартеру
Насчет отличия ping-outbound от ixmp-all: если Вы зайдете в описания этих сервисов, то обнаружите, что в ping-outbound стоит галка "Pass returned ICMP error messages from destination", а в icmp-all -- не стоит. Вы можете даже поставить эту галку в all-services и пинг будет ходить (вместе со всем остальным) по такому правилу.

Если же по NAT ходит, а при замене на Allow без других изменений ходить перестает, то это на 100% проблема на хосте назначения.

Никаких глюков в этой части на DFL не замечено. У каждой железки есть свои особенности, но многое в DFL сделано очень даже продумано и логично.

YuriAM
Ну Вы все-таки экстремист! Допустим, у меня скромненькая такая конфигурация -- всего-то два WAN, LAN, DMZ и один VPN: сколько, по Вашему мнению нужно правил, чтобы пинг ходил везде (кроме как из WAN вовнутрь, естественно)? Я обхожусь двумя.

Ну не экстремист я совсем.

Пусть лучше человек понимает сначала, что как работает. А уж потом начинает экономить на правилах. Обратный порядок освоения менее эффективен.

К примеру, если поставить правило
Allow any/all-nets any/all-nets ping_outbound
выше всех, то перестанет работать трассировка и пинг в интернет. По мне, дак это правило - экстремизм.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.