это означает . что DFL сам становится шлюзом с белым IP и маршрутизирует белые IP.... Именно маршрутизирует .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Тогда это означает, что и белые адреса могут быть не любыми, а удовлетворять определенным условиям. И провайдер должен тогда маршрутить эти белые адреса соответственно.

Но ничего хитрого тут нет. И особой крутости тоже.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

но мы то не знаем об этом .... я пробую Ванговать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Есть
ip1 -178.47.130.1
ip2 - 178.47.130.2
ip3 - 178.47.130.3

wan1 - 178.47.130.1
2 сервера веб и терминал подключены к DMZ.

Надо прокинуть ip2 и ip3 на те 2 сервера.

видится только NAT
SAT+Allow

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Добавлю:
Каждому из двух сермеров нужно сделать отдельное правило NAT для выхода в интернет, где в параметрах правила указать "Specify sender address", соответствующий одному из двух внешних адресов (...... .2 и ...... .3 )
Тогда наружу этот хост будет светиться именно с нужного внешнего адреса.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

При таких условиях, какой ип назначать порту DMZ? И нат делать в WAN1 то куда?

любой серый
да , предворительно . приколотив при помощи ARP, ан WAN1

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

DMZ сеть можете сделать по образу и подобию lan - любая подходящая серая подсеть.

Однако, если вы всерьез затеваете DMZ, то делайте это правильно. Максимально ограничьте к ней выход как снаружи (из инета) так и изнутри (из локальных сетей.) Иначе выделение серверов в DMZ лишено смысла.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Другими словами, на DMZ ставим белый ип2, и дальше делаем проброс портов с DMZ порта на серые ип серверов. При таких условиях надо делать allow wan1 to dmz, а потом sat+nat на нужные IP серверов ?

НЕТ приколачиваем эти IP на WAN1 При помощи ARP.
Дальше. Сервера на серые адреса в DMZ.
проброс портов . правила , и таблицы маршрутизации с подстановкой IP

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Нет.

По интерфейсам:
WAN1 - прикручиваем 3 белых IP, Белая подсеть. Обеспечивает канал в инет.
LAN - Серая подсеть. Обычная локальная сеть. Наверное просто ваши пользователи.
DMZ - (полностью аналогично LAN). Серая подсеть. Обычная локальная сеть. Но для ваших серверов

белый IP1 - это, видимо, для выхода локальной сети в инет.
белые IP2 и IP3 будет проброшены из инета на серверы, расположенные в DMZ.
А серверы, в свою очередь, либо вообще не имеют выход в инет (что предпочтительно). Либо строго ограниченный выход в инет. На минимально необходимые и надежные службы, типа DNS, NTP, SMTP, сайт автоматического обновления ПО. Через NAT правила, привязанные к соответствующим белым адресам (IP2, IP3).

Доступ из локалки в DMZ также максимально ограничен.

Все разрешения на доступ в DMZ и из нее должны быть обусловлены вашими требованиями по безопасности для серверов.

1. Что именно у вас будет в DMZ?
2. С какими инет-сервисами на них?
3. Каков полный список их задач?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Мистика!!!! Всё настраивал по мануалу, ничего не работало. Сбросил все настройки и настроил заново. работает.

Вопрос такой, таблицы маршутизации все оставил по дефолту, что в них надо править, при работе с серыми ип в dmz и белыми ip на wan порту?

Скорее всего, ничего не требуется. Но, на всякий случай, покажите Status - Routes.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вот такие настройки.
Добавил nat dmz to wan1