Смотрите есть некая сеть
в сети есть АРМ с двумя сетевыми интерфейсами (ну ето пояиг) одни смотрит в тырнет другой внутрь сети, пусть его ип 192.168.0.1. во внутренней сети есть тоже АРМ с двумя интерефейсами, один смотри внутрь данной сети а другой в другую (пусть 172.16.0.1 и 168.172.0.1). И второй АРМ работает как мост и не дает доступа на себя.