Имеется DSA, который через WAN интерфейс (реальный ip address xxx.xxx.xxx.xxx ) связывается с Radius (реальный ip address yyy.yyy.yyy.yyy). На public интерфейсе сидят пользователи с приватными адреса, доступ которым в интернет разрешается после авторизации на Radius. После авторизации пользователи выходят в интернет посредством NAT на DSA c реальным адресом xxx.xxx.xxx.xxx. На Radius сервере поднят firewall, на котором открыты udp порты 1812,1813 для адреса xxx.xxx.xxx.xxx. Вопрос в следующем. DSA по-умолчанию запрещает ли доступ пользователям с приватными адреса на yyy.yyy.yyy.yyy:1812 и yyy.yyy.yyy.yyy:1813?
Если нет, то возможно ли с помощью firewall на DSA запретить пользователям доступ к yyy.yyy.yyy.yyy:1812, yyy.yyy.yyy.yyy:1813?

Вариант подключения Radius сервера к приватному интерфейсу DSA принципиально не подходит.

Можно, воспользуйтесть функциями firewall.

Проверено. Действительно firewall можно настроить, так чтобы он защишал порты Radius от доступа к нему пользователей с public порта. Но при настроенном таким образом firewall, nmap все равно показывает, что такие порты открыты.