Предлагаю поломать голову над следующей задачей:

Дано: Сеть, 50 раб. станций с w2k (ip: 192.168.14.x), на 2х серверах с w2k server sp3 подняты AD с итегрированным DNS.
Еще на одной машине установлена w2k server и две сетевые карты.
Есть еще маршрутизатор Cisco 3600 series, который одним интерфейсом смотрит в локалку (192.168.14.33) а другим - в инет. Cisco подключен к свитчу наравне с остальными устройствами сети.
Таким образом, все пользователи локалки имеют доступ к инету после прописки шлюзом Cisco (192.168.14.33).
И все бы ничего, но меня это не устраивает. Надоть файерволл поставить. НО! Конфигурирование
Cisco - это самое логичное решение, и оно здесь не подходит по бюрократическим причинам. То есть лезть в нее я не имею право.
Зато я имею право подключить ее к сетевой карте той самой машины с 2-мя карточками и как-то наладить между ними раутинг.
Возможно ли это и как такой финт ушами провернуть? Можно подробно :-)

BOXP
Проблем я не вижу.
Втыкаешь Циску в сервак с двумя сетевухами, настриваешь маршрутизацию м\у этими сетевухами, атким образом чтоб правила маршрутизации проходили и через ФайерВолл. Прописываешь на все машины шлюзом вторую сетевуху сервера ( та что смотрит у тебя в локалку).
Плюсы такого варианты очевидны 0) Ты сможешь ставить прокси сервер, программно ограничивать трафик, считать его и т.д.
Про настройку роутинга читай Хелп по Винде, файеер и прокси по выбору.

Да есть проблема, есть.
Смотри - две карты компа и Cisco в одной подсети. Делаем tracert: пакет перенаправляется на шлюз (сетевая карта в локалке), тот должен перенаправить на следующий шлюз. А что прописано шлюзом? Если вторая карта (которая смотрит на второй шлюз), то нифига не происходит. Если адрес компа-шлюза (то есть первого маршрутизатора, то это адрес этой самой карты, то есть зацикливается...).
Короче, поставил маршрутизатор w2k server и туплю теперь...

BOXP
В моём понимание всё должно быть так:

Весь трафик с сети поступает на сетевуху сервера смотрящую в локалку, с неё весь трафик идёт на сетевуху смотрящую на Циску. Циска обрабатывает полученный трафик и то что надо шлёт в Инет...
Так то у тебя еще либо Маскардинг либо НАТ подняты на Циске ))

Bugs
Ну даже если и поднят НАТ что это даст то???  НАТ ведь поднимется на нужные интерфейсы (на исходящий) и на работу внутри сети это не должно влиять.
Все должно работать.

Никогда раньше маршрутизацию не нестраивал, потому мозги просто дымятся.

Bugs пишет:

"Проблем я не вижу.
Втыкаешь Циску в сервак с двумя сетевухами, настриваешь маршрутизацию м\у этими сетевухами, атким образом чтоб правила маршрутизации проходили и через ФайерВолл. Прописываешь на все машины шлюзом вторую сетевуху сервера ( та что смотрит у тебя в локалку). "

А можно подробнее? То есть что прописывать на 2 сетевых интерфейсах сервера и какие именно маршруты должны быть прописаны во вкладке "IP-маршрутизация"? Будет громкий "сенкс"...

Zx
Настраиваешь таким образом (я с Виндой не работал, только с Юниксом).
Eth1 - сетевуха смотярщая с сервака в локалку
Eth2-  сетевуха смотярщая с сервака на Циску

1) На всех машинах прописываешь в качестве шлюза Eth1
2) На серваке настриваешь маршрутизацию таким образом, что весь трафик тупо передаётся на Eth2 (т.е. Eth2 стоит шлюзом у Eth1)
3) У Eth2 шлюзом ставишь Циску

З.Ы. Чтоб пользователи не могли прописать Циску в качестве шлюза, целесообразно прописать на порт Циски и на Eth2 адреса другой подсети например 10.0.0.0

В принципе ты можешь обойтись даже одной сетевухой на сервере (на Линуксе по крайне мере можно назаначть на одну сетевуху любое кол- во ИП адресов и привил маршрутизации к ним ).
Меня не было по этому и не отвечал, щас постараюсь отвечать оперативно

Да, я именно так и делал. И работает оно только так. Вот только:

"Чтоб пользователи не могли прописать Циску в качестве шлюза, целесообразно прописать на порт Циски и на Eth2 адреса другой подсети например 10.0.0.0 "

А где это у циски прописать, я ведь в нее залезть не могу. Хотя, если подскажешь, как в IOS 12.1 изменить ip cisco, а также список dns и ntp - буду вери признателен. А то бумажек масса, и английский, хотя и знаю, а докопаться трудно - и боюсь чего-нить изгадить - не моя ведь вещь, надо все делать быстро и незаметно... :-)

Еще кстати: а реально на то, что получилось надставить ISA Server и какие особенности у подобного прожекта?

BOXP
На Циске стоят пароли, их надо знать.
Давай уточним топологию сети ))
В Циску включен только Eth2?
Если так то ни каких проблем нет )))
Весь трафик и так пойдёт через сервак )))

Проверил пароль "cisco" - как ни странно - подошло :-)

Пока киска включена в свитч на общих основаниях. Eth2 - тоже. Как я полнимаю, Eth2 можно включить непосредственно в киску, используя хитрый патчкорд - я такой уже сделал на всякий... Подключаю киску прямо в Eth2 - не работает... Чего-то не хватает...

BOXP
Нет для включения Циски в комп нужен как раз простой патч- корд, такой же как для подключения компов к активке.