Настроить NAT на том серваке. Настроить там файрвол. И подключить его к инету.

Я не думаю, что NAT его сильно загрузит.

4 терминала не должны сильно перегрузить сервак, но все равно, лучше использовать отдельную машинку, поскольку она смотрит в инет. на ней поставить две сетевухи и организовать шлюз. поставить нат, фаервол, прокси и систему обнаружения атак.
еще один резон: майкрософт не любит, когда на одном серваке крутится слишком много сервисов. если что-то начнет глючить, гораздо сложнее будет найти причину.

>я про firewall. Как я понял - на нём лежит задача распознавания всяческих атак и прочих ненадлежащих действий? (могу и заблуждаться)

есть фаерволы совмещеные с системой обнаружения атак, натом и антивирусом. есть фаерволы, работающие только как пакетные фильтры. что выбрать зависит от аппаратного обеспечения и бюджета (отсутствием такового) на покупку лицензий.

>Т.е. swich тогда убираем?
нет. одна сетевуха из фаервола смотрит в инет, вторая на свитч в который воткнуты локальные компы. можно инет воткнуть в свитч, отфильтровать ненужные порты, в него воткнуть фаервол (на него буде меньше нагрузки), а из второй карточки фаервола на другой (внутренний) свитч/хаб.

>А СУБД куда? Её надо из инета видеть. Пропускать её трафик через обе сетевухи?

СУБД на внутренней машинке. на шлюзовой машине настраиваешь нат, а на фаерволе открываешь нужные для БД порты.

>Можно ли считать свич пакетными фильтром?

исли не брать в расчет самые древние, то да.

...Канарейки9
Простота прежде всего.
У меня, есть распридилитель (он смотрит в нет и фильтрут пакеты, анти вир на нём же) на нём всего одна карта, она кинута на свичь (их у меня два : )..) ну а к свечам терминалы пресабачены, на терминалах (я помоему говорил енто раньше, и не только я) прописуеш свой расприделитель как шлюз, и получаш инет, да. чуток не забыл, сена Вин гейт енто всё на растпредилителе!!!
Мой совет. есле тебе не нужен распредилитель как рабочий (на своём я работаю) ставь 2-ве карты, и *никс. Она так точно не будет тормозить нечего.
Для примера, у меня 24 рабочих базы, все ходят через: (пень3 900, рам 500, сеть 100) и я на нём ещё шпилю...
......

...Inck-Vizitor
Сори за использывание термина не по сути, рабочии базы. (я помоему потом поправился)  : )) нет, айпи конечно только один внешний, также локальный один! А вот поставить шлюз прова они не могут, потому как инет только через меня, он то не кинут на свичь!!!
И так, что ты конкретно имел в виду, что тебе интересно!?
(помоему я всё объяснил, и ещё раз за неправельное использование терминологии) меня иногда клинет в этом плане...

...Inck-Vizitor
Я говорю что инет в любом случии идёт через меня, а я кинут на свичь!!! вот...
Канеш одна, и она на свичё, а как ты по другому можеш представить, и что ту понимать.
Поясняю тупо, (админ-получает инет, он есть шлюза для других, потому он и висит на свиче (да, кстате какие такие старые, тоесть древние) к свечам как нестранно подключены рабочии) вроде так, или не так, теперь даже не одного термина!!!!
Я ващето вёл к тому , что как он не старался он не перегрузит систему!!! И хотел посоветовать поставить Или Линух, или БСД. Но есле грамотно поставить В2000 серв то тоже нечё!!!
Усё!!

>Может лучше на шлюзе сделать portmap для СУБД?
можно и так, но более безопасное решение предлагается здесь:
http://forum.securitylab.ru/forum_posts.asp?TID=1740
но это уже при дастаточном бюджете.