>>мне кажется что все просто... сложнее будет с настройкой узлов.
>Да я думаю что вы правы. Сложность вы имеете ввиду в настройки
>политик FW?
>
>Как я вижу решений три:
>
>1) Использовать на пограничном шлюзе NAT 1:1
>2) Использовать Маршрутизатор и договариваться c ISP чтобы прописывали роутинг
>3) Bridge (Как пример выше, либо примерно как здесь http://securityportal.ru/network/FilterBridge.html)
>
>Благодарю за ответ. сначала нужно четко сформулировать задачи, потом на бумаге или еще где-нибудь нарисовать схему и проследить как будут ходить пакеты в оба направления, как для хостов защищенной сети, так и для DMZ. Просмотреть все возможные варианты, а потом уже приступать к настройке. обычно после первых двух этапов остается очень мало воросов :)
1. NAT нужно поднимать для SECLan,т.е. на шлюзе-2 т.к. за этим шлюзом находится сеть с "серыми" адресами, а для хостов в DMZ NAT не нужен, т.к. они имеют "белые" адреса и поэтому видны с Internet без преобразования адресов.
2. с провом надо будет договариваться если ты будешь разбивать свою подсеть, а если нет то не надо договариватья.
3. можно и так.