[vasketsov]

ser13
блин, въехал.
значит, так, если без прокси.
если решишь ограничивать доступ локально (файрволом), то необходимо будет запретить весь "ненормальный" трафик на гейт. Нормальный, скажем - это SMB для Windows Network + для входа/выхода/... в домен.

То есть, сделать такие правила:

прот.    напр.     порты(л.-уд.).    уд. адр.
UDP      IN-OUT   137-137                 ANY
UDP      IN-OUT   138-138                 ANY
TCP       IN           139,445-ANY         ANY
TCP       OUT        ANY-139,445         ANY
(это обеспечит работу Nethood и всех необходимых шар)

затем здесь разрешить то что требуется для NetLogon-а (не помню ща точно)

далее для избранных разрешить:
TCP       OUT   ANY-80                 ANY (это типа http-трафик)
и еще что надо типа ftp, dns, ...

и в конце запретить все неописанное правилами выше.


а вообще-то это все на самом NAT-е делаться должно, только не скажу точно что именно там надо делать.