Решить ошибку invalid_http_syntax на DFL-260E можно за 3 шага. Главная причина проблемы — HTTP ALG (шлюз прикладного уровня) применяется к зашифрованному HTTPS-трафику (порт 443), что документация NetDefendOS прямо запрещает . Ниже — точный алгоритм для Web Interface.
🛠 1. Отвяжите HTTP ALG от HTTPS-сервиса (обязательно)
Официальное руководство DFL-260E гласит:
«The https service cannot be used with an HTTP ALG since HTTPS traffic is encrypted» .
Что делать:
Убедитесь, что в сервисе, который обрабатывает порт 443, в поле ALG не выбран никакой HTTP ALG.
Web Interface:
Objects → Services → (выбрать ваш сервис для HTTPS, например «https» или кастомный)
Проверьте поле ALG — там должно быть пусто или «none».
Если там выбран HTTP ALG — удалите его и нажмите OK.
⚠️ Важно: Никогда не применяйте HTTP ALG к сервисам с портом 443 или любым другим зашифрованным протоколам.
🔎 2. Проверьте IP Rules, использующие ошибочный сервис.
Ошибка в логе возникает, когда правило файрвола ссылается на сервис, у которого в настройках прописан HTTP ALG, но фактически трафик идёт на 443 порт (HTTPS).
Проверка:
Rules → IP Rules
Найдите все правила, где в колонке Service указан проблемный сервис (например, http_content_filtering, http_alg или ваш кастомный).
Если этот сервис предназначен для HTTPS — создайте отдельный сервис для HTTPS без ALG и замените его в правиле.
Создание правильного сервиса для HTTPS:
Objects → Services → Add → TCP/UDP Service
Name: https_no_alg (или любое понятное имя)
Type: TCP
Destination Port: 443
ALG: оставить пустым или выбрать none
OK
Замена в правиле:
Зайдите в правило NAT/Allow, которое вызывает ошибку.
Вкладка Service → выберите новый сервис (https_no_alg) вместо старого.
OK → Save and Activate.
🚪 3. Если вы используете удалённое управление — смените порты.
Ваш лог показывает соединение с WAN на порт 443. Это часто означает, что кто-то пытается зайти на WebUI самого DFL-260E из внешней сети.
На DFL-260E нельзя одновременно использовать порты 80/443 для удалённого управления И пробрасывать их внутрь — возникнет конфликт .
Решение: перевести управление на нестандартные порты.
Web Interface:
System → Remote Management → Advanced Settings
HTTP Port: изменить, например, на 8080 (оставить доступным только из LAN)
HTTPS Port: изменить, например, на 8443
На вкладке Interfaces — снимите галочку с WAN для HTTP, оставьте только для HTTPS (или тоже ограничьте trusted-сетями).
OK → Save and Activate.
После этого для входа в шлюз извне используйте https://ваш_внешний_IP:8443.
🧪 4. Дополнительная диагностика (если не помогло)
Если шаги 1-2 выполнены, но ошибка повторяется:
А. Проверьте, не создан ли HTTP ALG вручную и не назначен ли на 443
Objects → ALG — если видите HTTP ALG с нестандартными настройками (например, blacklist), проверьте, к какому сервису он привязан. По инструкции, для включения контент-фильтрации HTTP ALG назначается ТОЛЬКО на порт 80 . Если такой ALG висит на порту 443 — исправьте.
Б. Используйте CLI для принудительного сброса настроек стека (редко)
Если вы ранее экспериментировали с ALG, можно сбросить настройки стека (не сбрасывая конфиг):
text
set Settings ConnTimeoutSettings AllowBothSidesToKeepConnAlive_UDP=n
(это из инструкции по SIP, но иногда помогает очистить «залипшие» ALG-сессии) .
После — activate и commit.
✅ Итог:
Убрать HTTP ALG из сервиса на порт 443.
Заменить сервис в IP-правилах.
Сменить порты удалённого управления, если используется доступ к шлюзу с WAN.
После этих действий ошибка invalid_http_syntax на DFL-260E возникать не должна.