С фаерволами в корп. сетях пока работать не доводилось, а тут привалило щастье - у клиента меняется провайдер, ну и по ряду причин встал вопрос об установке железки с двумя сетевыми для фильтрации трафика наружу ( как я понимаю, такие еще называют edge или inline firewall ) вместо имеющегося простого прокси сервера на сквиде.
При этом нет большого желания делать НАТ, хочется всю адресацию оставить как есть ( имеем IP диапазон из 10.x.y.z ), причём, если такое возможно, настроить это дело так, чтобы в крайнем случае - при смерти этой железки - была бы возможность всех клиентов временно воткнуть непосредственно в гейт к провайдеру, в обход локального прокси, ну и фаера при этом тоже ( разве что с изменением гейта в дхцп сервере ? ).
Короче, было : ЛВС, днс/дхцп, сквид --- гейт ( роутер ) провайдера
Стало : ЛВС, днс/дхцп --- NIC1- фаервол, сквид - NIC2 --- гейт ( роутер ) провайдера
Насколько я понимаю, фаер делаем на iptables ( их вроде можно настроить даже не вручную, а одной из имеющихся тулз ). Как мне кажется, набор правил будет достаточно несложный, хочется порезать весь р2р трафик и оставить преимущественно http и т.п. Вопрос в том, как именно поступить с адресацией на NIC1 и NIC2 и что придётся менять на клиентах.