Например можно разделить локальную сеть на несколько. Например порубив на vlan'ы и все эти виланы разруливать на DFL. Например каждому vlan'у давать доступ в интернет, а доступ в другие - закрыть. Естественно коммутационное оборудование должно уметь 802.1q.. ну или воротить несколько кабельных сетей -))

В более развитом варианте можно посмотреть в сторону 802.1X и иметь полное счастье в плане прошенных и непрошенных гостей с их автоматическим разделением по сетям разного уровня доступа. Тогда потребуется что-нить типа radius либо на базе AD, либо на базе любых других конструкций централизованной авторизации.

В общем как стало понятно никаких спообов порезать сеть для отдельно взятого ее элемента средствами фаервола нет. Это конечно легко объясняется тем, что компы в локали обращаются друг к другу напрямую .
Конечно если запихнуть комп в отдельный влан - тогда возможно все - но это не интересно так.. под каждый комп сети чтоль тогда влан строить?

короче .. никак.

Это очевидно. Так же как дверью подъезда нельзя регулировать перемещение жильцов внутри квартир.

Строят и так, но для случаев типа провайдер-абоненты. Только немного на более другом оборудовании, т.к. DFL серия жестко ограничена лицензиями на количество vlan и циферки эти минимальны (8/16 для 260/860).

Да и смысла городить такой огород нет. По крайней мере в рамках построения офисных сетей. Это давно уже все разжевано и эшелонировано. И межсетевой экран - это совсем не первый эшелон, скорее последний и чуть-чуть предпоследний.

Топикстартер, Вам дали простое и доступное для понимания сравнение из бытовой жизни.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...