Ребята,понимаю что слишком много хочу.Но я запутался уже.Есть правило в папке lan_to_wan
ворым пунктом

allow_standart--NAT-LAN--LAnnet--WAN-ALLnets_alltcpudp

Это получается что всем разрешен выход в интернет через любой порт.

в wan-to -lan

есть правило anviz

anviz--follow-any-allnets-any-allnets-anviz

где anviz (последняя слово) - это служба с портом 5010

что я делаю не так...

Да, всем разрешен выход в инет по любому порту.
Но ДО папки lan_to_wan есть два правила про которые я вас спрашивал, 1 и 3
Вызывают сомнения - что они делают?

ок,певрое правило,его кстати разрешил(allow) - ничего не меняется,если я блокирую его или разрешаю.В Source net и Dest net указаны внешние ip(тоже хз,непойму для чего.))
второе правило это ALG(служба 80 порт)

а здесь все не так (5, 6, 7 правило)

1. их должно быть только два! SAT и (Allow или NAT)
2. Правило SAT всегда должно быть выше правил NAT или Allow
3. Sourse Interface не должен быть any это должен быть WAN
4. В 6-м правиле (SAT) в закладке SAT необходимо указать IP адрес вашего сканера в локальной сети.
5. в 7-м правиле Distination network должен быть wan_ip и Distination Interface - core

У вас наглядный пример это 3 и 4 правила для сервиса smtp

Подозреваю это блокировки от хакеров, у меня тоже есть (было) такое, но оно неэффективно, так как хакеры не пользуются своими белыми адресами.
У меня это правило обычно отключено, как только замечаю попытки взлома, выставляю IP взломщика и включаю, на сутки двое...

со вторым правилом все понятно.

Автор. Поясните, пожалуйста, по каждому правилу.
Какое для чего нужно и какие из них успешно работают?

Могу предположить, что:
3-4 - проброс почты, которая работает
5-6 - проброс для сканера которые не работает
7 - правило "от балды", "из пушки по воробьям", "авось прокатит"?
Всё верно? Или не угадал?

Если угадал, везде интерфейс источника замените с any на wan
5-6 -поменять местами, а 7-е правило удалить

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

получается что пофигу где правило создать,в какой папке.Главное что внутри.
исправил.вот

да,все верно

Я правильно понимаю что any,это любое действие(lan,wan и тд)?

Пофигу в какой папке. Но если в какой-то из папок есть запрещающие правила, выполнение которых может повлиять на результат, то создавать нужно выше.

В правиле SAT указали (во вкладке SAT) внутренний адрес сканера?

Правильно. Но в Вашем случае лучше указывать wan/all-nets. А еще лучше - вместо all-nets указывать адрес, где находится ваш сервер управления этими сканерами.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В какой папке - да пофиг, главное очередность правил. И очередность папок тут тоже влияют на очередность правил.


И? Так и не работает?

UPD: сразу не заметил, в 7-м правиле Distination Interface должен быть core

Могу посоветовать еще попробовать в правиле allow_standard указать сервис не all_tcpudp, а all_tcpudpicmp или all_services, ради эксперимента.

И еще вы не показали как выглядит ваш сервис ANVIZ

Да, но не действие, а интерфейс, и это не рекомендуется использовать, так как можете зациклить пакеты.

да сделайте вы выше всех правил
lan /anviz_ip wan/all-nets all- service ( с сервисами можно поигратся как предлагали выше )
SAT/allow . и на самый верх



что гадать ? надо заставить работать , а не разбираться с правилами и их назначениями .
после применения - зрить в логи , и в соединения - куда стучится что хочет , тогда прояснится .....
остальное гадание на гуще от одуванчиков .

как заработает если заработает - то в путь . можно интерфейсы прижимать , порты , прочую муть .... надо заставить что бы работал.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку