> Правильно будет отправить сервера в DMZ.
> Организовать ее можно с помощью ZBPF и VLAN.

За ZBPF .. спасибо .. вообще считал, что зоны можно использовать только на ASA
но предлагаю вернуться к "нашим баранам" ..
пусть
1. сеть 192.168.1.0/24 DMZ
2. Сервер 192.168.1.2 Proxy
3. Сервер 192.168.1.3 MTA
4. Есть правило access-list 1 permit host 192.168.1.2
4. Есть правило access-list 2 permit host 192.168.1.3

Как можно запустить чтобы правило с ACL 1 ходил через IP X.X.X.2, а правило с ACL 2 ходил через IP X.X.X.3 ?

Заготовка для  ZBFW

ip inspect log drop-pkt
zone security LAN
zone security INET
object-group service IPSEC 
 esp
 ahp
 udp eq isakmp
 udp eq non500-isakmp
 gre
object-group service good_ICMP
 icmp echo
 icmp echo-reply
 icmp parameter-problem
 icmp unreachable
 icmp source-quench
 icmp traceroute
 icmp time-exceeded
ip access-list extended zbfc_ICMP
 permit object-group good_ICMP any any
class-map type inspect match-any zbfc_ICMP
 match access-group name zbfc_ICMP
ip access-list extended zbfc_IPSEC
 permit object-group IPSEC any any

class-map type inspect match-any zbfc_IPSEC
 match access-group name zbfc_IPSEC
class-map type inspect match-any zbfc_INET_IN_SELF
 match protocol ssh
 match protocol ntp
policy-map type inspect zbfp_INET2LAN
 class class-default
  drop
policy-map type inspect zbfp_INET2SELF
 class zbfc_INET_IN_SELF
  pass
 class zbfc_IPSEC
  pass
 class zbfc_ICMP
  pass
class-map type inspect match-any zbfc_DROP_OUT
 match protocol bittorrent
 match protocol pptp
 match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
 match protocol ftp
 match protocol tcp
 match protocol udp
 match protocol icmp
policy-map type inspect zbfp_LAN2INET
 class zbfc_DROP_OUT
  drop log
 class zbfc_INSPECT_OUT
  inspect
 class class-default
  pass
zone-pair security zp_INET2LAN source INET destination LAN
 service-policy type inspect zbfp_INET2LAN
zone-pair security zp_INET2SELF source INET destination self
 service-policy type inspect zbfp_INET2SELF
zone-pair security zp_LAN2INET source LAN destination INET
 service-policy type inspect zbfp_LAN2INET
! interface Vlan1
!  zone-member security LAN
! interface TunXX
!  zone-member security LAN
! interface Dial1
!  zone-member security INET

Если нужно пропускать входящий траффик из зоны INET в зону LAN, то нужно создать класс и добавить в соответствующий полиси-мап. В правилах класса адрес дестинейшена внурти использовать внутренний, так как ZBFW работает после трансляции адреса.

>>  ip address X.X.X.3 255.255.255.248 secondary
> это лишнее

если уберу, как будут работать подключение IN/OUT с адреса x.x.x.3 ??

> или входящий аксес-лист повесить на Gi0/0, разрешающий только нужный траффик на адрес
> X.X.X.3

прощу прощения, может что то я не понял.

есть блок адресов, хочу чтобы исходящий внешний трафик был с разных IP адресов (прокси один, почта, другой и т.д.)
Задачу с входящим трафиком решил так:
ip nat inside source static tcp 192.168.1.10 25 X.X.X.3 25 extendable

Исходящий трафик задан правилом:
ip nat inside source list 1 interface GigabitEthernet0/0 overload
но все улетает с адреса х.х.х.2, а мне надо чтобы для почты исходящий адрес был: х.х.х.3, а для всего остального х.2