В общем есть сеть (машин 15), для и-нета поставлен dir300 (прошивка 1.05beta). ip у компьютеров статические.

Раньше разделение инета строилось просто - у некоторых компов был прописан роутер шлюзом, у остальных - нет.

Сейчас для этих "остальных" компьютеров необходимо разрешить доступ для обновления винды и антивируса.

Вобщем вопрос такой - можно ли такое сделать сетевым экраном, и если да то как?

ЗЫ Я пытался выставить первое правило на запрет всех протоколов, а потом разрешать определенным ип-шникам доступ - полный - или только определенные порты... но не получилось (комп с "полным" доступом никуда не мог пробиться)

перебор правил в любом файрволе (и этот - не исключение) идёт сверху вниз до совпадения с условиями в правиле. После совпадения - анализ пакета прекращается.
Потому логично понять - запрещающие правила надо располагать после разрешающих.

_________________
прежде чем орать "кАзлы" - прочтите, наконец, инструкцию.... (c)