Ну вот наконец стал хоть что-то понимать в этом девайсе. Настройки фаервола в нем несколько отличаются от других девайсов DI-XXX, видимо это следствие прошивки полуторагодичной давности. А в мануале по нему полный ноль. Приведу свои наблюдения, может кто поправит, а может это поможет какому-нибудь обладателю этой головоломки.

1. Сообщение в логе "Unrecognized access ... " не имеет никакого отношения к фаерволу. Оно возникает когда снаружи на порт NAT, для которого не задан port mapping, приходит незатребованный пакет. Сообщение в какой-то мере отражает ситуацию. Действительно без порт-мэпинга непонятно кому он адресован, те адресат нераспознан.

2. Предустановленное правило Default Deny выглядит:"Deny *.* LAN,192.168.0.1 *,*"
В соответсвии с ним блокируются пакеты адресованные непосредственно шлюзу. Какой-то смысл в этом видимо есть, но, главное, это правило не оказывает никакого влияния на траффик между WAN и остальными адресами LAN. Как следствие, когда задаешь виртуальный сервер (например TCP 50000 192.168.0.2,50000), никакого разрешающего правила фаервола для него вовсе не требуется, тк Default Deny ему ничуть не мешает. В девайсах с более новыми прошивками Default Deny, как я понял из форума и мануалов, выглядит иначе и блокирует весь трафик из WAN в LAN. Именно поэтому там при задании виртуального сервера автоматически создается соответсвующее разрешающее правило фаервола. Я несколько дней ломал голову над этим отличием, почему на 704UP не наблюдаю ничего похожего .

3. Поключение к провайдеру по PPTP не исключает работу фаервола. Туннель как я понимаю заканчивается перед NAT, пакеты прошедшие NAT попадают на фаервол. Если фаервол их блокирует, то в логе остается запись. Но вот лог фаервола совершенно бредовый. Скажем я задал правило "Deny WAN,* LAN,192.168.0.2 TCP,50000". В логе видим "Unallowed acces to 2.0.168.192:6 rule=3". То что 2.0.168.192 это 192.168.0.2 задом наперед, я допер довольно быстро. Но что значит :6 не понял до сих пор. На номер порта непохоже А что еще может быть непонятно.

Вот такие наблюдения.

:6 - это номер протокола, то есть TCP

О, спасибо за пояснение. А то я, пока не разберусь во всем досканально, покоя не имею

Значит в итоге имеем, что когда фаервол блокирует пакет, в лог пишется адрес назначения (задом-наперед), номер протокола и номер правила. Порт не пишется. Может, конечно, это только для правил в которых указан один порт, потому что его однозначно по номеру правила можно вычислить. Надо будет попробовать задать правило с диапазоном портов и посмотреть, что будет в логе. Адрес/порт источника тоже не пишутся, а жалко.

Вот много слышу жалоб на зависание. У самого 704UP. Нареканий полно. Прошивке полтора года. Мануал на аглицком. По мануалу нифига не понять. Про настройку фаервола вообще отписка. Лог фаервола убогий. Все методом тыка пришлось уяснять. Но, вообщем, как инет шлюз он вполне работоспособен. За две недели круглосуточной эксплуатации никаких зависаний. Хотя и виртуал сервер задействован, и туннели для игрушек, и к прову подключен по PPTP. Как там у него принт-сервер не знаю, не пробовал. Видно от экземпляра к экземпляру большой разброс. Жаль только не видно сетку провайдера.

PS. Может это еще от оборудования и настроек на другом конце зависит?

PPS Да, кстати, хочу задать вопрос знатокам. Правда-ли, что получить у прова честный статик адрес за его NAT можно толко через VLAN или по PPTP?

Да, конечно зависит от условий, в которых используется устройство. Поэтому то мы всегда и просим описать все детали.

_________________
С уважением -- Александр Шебаронин.

"Совсем честный" - ДА.
Полукривой можно получить, если пров. сможет сделать статическую трансляцию АДРЕСА (именно адреса, а не порта). Но для этого у него к внешнему порту NAT'а должен быть "прибит" пул адресов и его оборудование должно это уметь.

Под "честным адресом" я имел ввиду прежде всего, чтобы я мог без всяких согласований с провайдером открыть доступ из инета к любому порту в любое время. Для этого, вроде (я не спец, но пытаюсь разобраться), небходимо обойти NAT провайдера (или упросить его сделать port-mapping всех портов на мой адрес в его сети ) "Получестный" адрес, по методу описАнному выше не даст ведь желаемого?

Получестный -- это как раз и есть маппинг всех портов. То есть Static NAT

_________________
С уважением -- Александр Шебаронин.