Есть ли способ поставить между сеткой и интернетом файрволл, и при этом в настройке машин в сети ничего или почти ничего не менять?  ИНтернет присутствует в виде циски 2514. Администрирует ее провайдер. По договору мы в нее не лазим.  Обращаться к ним за изменеиями таблицы маршрутизации мне не хочется.  А без этого , если я поставлю промежуточный сервер одной платой к циске а другой к сети, правильной маршрутизации не будет - циска ищет машины сети прямо в подключенной к ней проволоке - ARP-запросы шлет. А там их уже нет. и никто ей не отвечает.

Если посылать циске фиктивные АРП-ответы где IP-адреса машин в сети а МАС один - входной платы сервера? Вроде тогда все должно маршрутизироваться как надо...

И вообще возможен ли файервол с сетевыми платами без собственных IP-адресов? Все, что приходит извне после фильтрации транслируется внутрь и соответственно  внутренний трафик после фильтрации выпускается наружу?