Ciao,
ho letto solo ora la risposta e ti ringrazio moltissimo Fabio.
Alla fine la configurazione che avevo indicato, ero riuscito a crearla "ad occhio", e rispecchia esattamente i criteri che mi avevi indicato (e con buon risultato!).
Considerato che questa casistica è comune a molte realtà, indico i passi seguiti nel caso possa servire anche da altri.
La configurazione che ho adottato, parte dal principio che avrò 3 (o più) reti di cui 1 sarà per i client e 2 dedicate ai server (DMZ e INTRANET nel mio caso) usando quindi 3 porte fisiche più la (o le…) WAN.
innanzitutto la prima cosa è stata quella di verificare che il cablaggio non creasse dei ponti fisici tra le reti, caso che mi è successo e che mi ha costretto a ricostruire l'armadio di rete (non voglio sapere con che criteri certi tecnici lavorino...), particolare importante per non trovarsi a "combattere" con problemi di routing asimmetrici, che nel mio caso degradavano le connessioni fino a far crashare la pfsense tanto era alta la congestione di banda.
A questo punto ho settato indirizzi e classi relativi ad ogni singola interfaccia ed attivato le porte, passo successivo ha riguardato gli outbound nat...
In questo caso si è reso necessario l'attivazione dell' "AON" con poche ma semplici regole (5 in questo caso):
2 regole per si che
non vi sia NAT tra client verso intranet e DMZ
non vi sia NAT tra Intranet verso DMZ
3 regole per fare in modo che ogni rete possa uscire sul web (nel mio caso ho usato anche ip wan specifici in base alla rete sorgente)
Infine, impostando le regole di NAT (solo su DMZ) ho potuto aprire i vari servizi necessari sul web (Apache, FTP, etc…), mentre per i servizi INTRANET è stato sufficiente fare una regola generica sul filtro "da ovunque verso ovunque" senza NAT, in maniera da usare il firewall in modalità "esclusiva" su questa zona.
Il risultato è che ora:
qualsiasi client può "parlare" con i server restando nella rete interna, utile per evitare problemi di sicurezza in WAN e per sfruttare la velocità degli switch
i server INTRANET NON possono comunicare direttamente con i client mentre possono farlo verso la DMZ ed internet
i server DMZ comunica SOLO tramite WAN (quindi verso internet)
David