вам для того чтобы посоветовать как прописать правила и построить сети необходимо знать где физически они строятся ?

Где эта бодяга территориально - совершенно безразлично, так же как имена-фамилии и прочее. А вот применительно к вариантам ответов "на интерфейсе LAN", "на интерфейсе DMZ" и так далее - принципиально важно.
Впрочем мне скорее и это не особенно важно, т.к. не мне строить решение и потом разгребать проблемы с ним.
Тут как на приеме у доктора - в интересах больного подробнее описать симптомы и течение болезни дабы получить от докторов подробные рекомендации лечения, а когда:
- доктор у меня что-то где-то побаливает
- ну возьмите какую-нибудь таблетку. следующий

Используйте в своих внутренних сетях только разрешенные серые подсети, независимо от возможности подключения к интернету.

Вот они:
сети класса C: 192.168.0.0 - 192.168.255.255 (т.е. 192.168.0.0/16)
сети класса B: 172.16.0.0 - 172.31.255.255 (т.е. 172.16.0.0/12)
сети класса A: 10.0.0.0 - 10.255.255.255 (т.е. 10.0.0.0/8)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

cпасибо юрий . я это понял. но как сделать так чтобы создать две связанные сети например LAN 10.90.0.0/16 255.255.0.0 и DMZ 10.18.252.0/29 255.255.255.248 с правилами через дфл причем последнюю изменить нельзя. сеть 10.90.64.0/18 подминать под себя 10.18.252.0/29 не будет?

да просто
allow lan/lan-net dmz/dmz-net all-service
allow dmz/dmz-net lan/lan-net all-service

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Конечно, нет. У них диапазоны не перекрываются.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ТС научитесь пользоваться
http://ip-calculator.ru/

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

c вашей помощью

вобще владимир по меньшей мере не культурно делать так как вы. если я вопрос не изучил а пытаюсь понять что да как то я естественно обращаюсь на форум . а там такие как вы- "учитесь" "включайте мозги" и прочее. крайне неприятно. не хотите подсказать лучше вобще ничего не пишите. я когда сайт ваял на опенкарте то ребятам которые были слабее подсказывал что и как сделать как у меня на сайте. и не умничал человек не может знать всего. уверен что в некоторых вопросах вы профан, тем не менее я не собираюсь вам в этих вопросах умничать. без обид. ведь форумы для того и создают чтобы те которые более продвинулись в определенных вопросах делились с теми кто не сведущий в них.

Давайте поставим точки на и ?
вы взяли железку интерпрайз сегмента , ладно бог с ним ..... пойму достались и прочее .
теперь вы пытаетесь разузнать как строить трубу в доме не заложив фундамент , не понимая и не желая понимать что есть IP адреса , и маски . Я предложил вам разобраться в вопросе посчитав на калькуляторе ( я сам им пользуюсь ) Вы ж с сайтом как то разобрались и помогали людям .... Моя первостепенная задача , научить думать , соображать , пробовать найти информацию самостоятельно , и понять в чем вы ошибаетесь .

я вам давал несколько раз в топике копи паст решения - вы их игнорировали .... а вот посчитать свои сети , кто кого и как поглощает вы так и не удосужились ..... поэтому стройте дальше сайты - сети оставьте тем кто в них разбирается ....

а то напишите не на роком

и репу чесать - а че не работает


аха , но не кописат решениями , а знаниями , и статьями на правильные знания. калькулятором я поделился статьей на частные адреса я тоже поделился . Вот как теперь эту информацию донести к вам в мозг , что бы она там осела и начала применятся ?!

что программист что админ что любой другой - художники . одни от слова худо , вторы от художник . только вот палитра у всех разная , и у каждого своя , но только набор первоначальных красок у всех один и тот же .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ну допустим. получились у меня две непересекающиеся сети начинающиеся с 10-ки: 1. LANnet 10.90.64.0/18. Netmask:255.255.192.0 пул 10.90.64.1-10.90.127.254, где 10.90.90.92 - lanip, и 2. DMZ 10.18.252.0/29 маска 255.255.255.248 пул 10.18.252.1-10.18.252.6, где 10.18.252.4 Ip интерфейса DMZ. прописал правила allow lan/lan-net dmz/dmz-net all-service,allow dmz/dmz-net lan/lan-net all-service . почему хост 10.18.252.1 не пингует 10.18.252.4 .

это надо спросить у хоста 10.18.252.4

DFL ВАД тут не причем , тк обрашение идет в одной подсети , да и не плохо бы было прописать правило
NAT any/ all-nets any/all-nets ping-inbond
Если заработает - то модернизируйте под свои интерфейсы
дальше разбирайтесь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

спасибо