Butunin Klim
Мдяя, судя по всему мы скоро переплюнем "Санта-Барбару"

Вот что я вам посоветую.
Самое простое и прозрачное решение.

Вставте (или купите) в GATE второй сетевой интерфейс.
Присвойте ему адрес 10.0.0.2 /24
Повесьте на этот интерфейс отдельный свич для изолированной сети.
Собственно так вы реализуете схему подобную той что обсуждалась с вами же тут http://forum.oszone.net/thread-69237.html

kim-aa
Спаибо реальная идею про еще один интерфейс

kim-aa
общие понятия мне известны. Я хотел бы подробности!!!
Вообще хотелось бы по-побольше примеров с указанными ip адресами на интерфейсах. Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.
Именно эти вещи меня интересуют.

1) предположим у меня есть достаточно WAN адресов для реализации DMZ без использования NAT
Для реализации любых сегментов сети Вам нужны не адреса, а сети (субсети).

2) Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.

А с чего Вы взяли что содержимое заголовков будет меняться? Вы же сами указали что Вы реализуете схему без NAT.
С точки зрения "внешнего" мира Ваши сервера прекрасно видны, иное дело что вы можете осуществлять фильтрацию на шлюзе DMZ-зоны (субсети).

С точки зрения внутренней сети (за NAT), Ваши сервера являются опять же внешними и ничем не отличаются от скажем oszone.ru

Пришли к выводу что легче сделать так.
Разбить на разные подсети на ОДИН сетевой интерфейс настройить 2 подсети задействовать протокол 802.1Q. купить сетевое оборудование 2 уровня но с IP MAC banding пример DES 3526 http://www.dlink.ru/products/prodview.php?type=13&id=407

По идеи должно работать.

А ваш фаервол поддерживает 802.1Q?
Вы же по сути создаете на нем субинтерфейсы с разными IP, причем каждый из них должен находиться в своей VLAN.

Если же вы просто настроите фильтрацию по MAC+IP+port, то непонятно на кой ляд Вам 802.1Q?

ДА потдерживает.
Ай пи мак бандинг для того что бы при изменении ip адреса swich блокировал все пакеты на этот ip адрес

Кому Интерестно как я это сделал нa dlink
Задача:
есть 3 влан
1- интернет шлюзы (1-8 порты)
2- сеть с поль (9-16порты)
3- сеть с пользователями (17-24 порты)

Задача:
Сдеоать так что бы 2-3 влан имели доступ на 1влан по портам 80 8080 110 25
Сделать так что бы 2-3 в лан не имели доступ друг к другу.

Я использовал обычный com консль
24портовый свич

config traffic_segmentation 1-24 forwarding_list 1-8
config traffic_segmentation 9-16 forwarding_list 1-16
config traffic_segmentation 17-24 forwarding_list 1-8,17-24
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 -
создаём профиль доступа для разрешения определённого TCP порта
config access_profile profile_id 1 add access_id 10 ip tcp dst_port 80
port 9-16 permit - создаём правило разрешающее с портов 9-16,
например, обращение к TCP порту 80
config access_profile profile_id 1 add access_id 20 ip tcp dst_port
25 port 9-16 permit
config access_profile profile_id 1 add access_id 30 ip tcp dst_port
110 port 9-16 permit
config access_profile profile_id 1 add access_id 40 ip tcp dst_port
8080 port 9-16 permit - разрешаем остальные TCP порты
create access_profile ip tcp dst_port_mask 0x0000 profile_id 2 -
создаём профиль доступа для запрещения всех остальных TCP портов
config access_profile profile_id 2 add access_id 10 ip tcp dst_port
0 port 9-16 deny - создаём правило запрещающее с портов 9-16,
например, обращение к любым другим TCP портам

начинают появляться подводные камни.
При блокировке всех портов кроме см выше.
Компьютер начинает очень сильно тормозить. Подскажите порты отвечающите за хождение нормального трафика внутри сети НО ЧТО БЫ доступа к рессурсам небыло

Бууу. Какой трафик вы обзываете "нормальным"?
Если Win, то блокируйте 135-139 (UDP&TCP), 445(TCP)
Еще я бы блокировал, RDP, ICA, RAdmin, telnet, ssh - в общем все удаленной управление

А доступ к шаренным ресурсам за какой порт отвечает?

Butunin Klim
Сказать по правде я так к вопросу не подходил.
Ищите по форуму или в Сетевых технологиях или в Microsoft Windows NT/2000/2003

Не верно сформулировал вопрос.
Какой порт отвечает за доступ к принтарам и папкам сети.
Сам же и отвечаю
445
138
TCP