как ограничить доступ vpn клиента

[alexp_mac]

Может кто сталкивался:
как ограничить доступ vpn клиента, чтобы во внутренней сети он имел доступ только к конкретному хосту(серверу). С фильтрами не все так просто как кажется, и вообще можно ли пользоваться фильтрами в этом случае?

Сделал фильтр deny vptunnel ->any, any->vptunnel, добавил exception фильтр vptunnel->внутренний_host для ncpip, причем для ncpip фильтр-то только с vptunnel на внутренний хост, причем фильтр не stateful, т.е. только в одну сторону, а все работает(всмысле vpn клиент видит сервер,читает файлы причем никаких других фильтров для ncpip нет).

Вообщем засада какая-то.