[Borland]

Недавно решал сходную задачу: нужно было пропустить одну машину через мой шлюз так, чтобы ни она не видела остальной сети, ни остальная сеть не видела её. При том, что адресное пространство единое (10.xx.0.0/16). Шлюз трогать нельзя - администрируется не мной.
Решение было найдено на аппаратном уровне - нарезкой VLAN'ов на свитче (BayStack 350T - древний, но надёжный) :
VLAN1 - входят 3 порта. 1 - роутер, 2 - "левый" комп, 3 - остальная сеть
VLAN2 - входят порты 1 и 2
VLAN3 - порты 1 и 3
На портах прописывается PVID (Primary VLAN ID), соответственно:
port1 - VLAN1
port2 - VLAN2
port3 - VLAN3

Результат: с порта 1 (роутера) видны моя сеть и "левая" машина;
с порта 2 виден роутер и всё, что за ним, моя сеть - не видна;
с порта 3 виден роутер и всё, что за ним, "левая" машина не видна.

В схеме задействовано всего 3 порта (коммутация сети у меня осуществляется другим оборудованием), но ничто не мешает задействовать аналогичным образом и все остальные порты свитча.

В вышеприведённом примере сервер вешается на порт1, подсети на порты 2 и 3 - и задача решена.

Задействование остальных портов:
VLAN1 - все порты
VLAN2 и VLAN3 - как удобнее, например порты 1-6 VLAN1, остальные VLAN2.
Порты с PVID 1 будут видны в обоих подсетях, порты с PVID 2 и 3 будут видны в своих VLAN и с портов с PVID1. Порты с PVID 2 не будут видеть портов с PVID 3.


Главный недостаток решения - управляемые свитчи такого класса весьма недёшевы...
Сейчас нашёл аналогичный девайс следующего поколения (BayStack 450T) в продаже по цене 289 у.е... _http://www.acomputer.ru/site/Site2.asp?id=2051