Межсетевой экран для внутренних сетей

У меня есть виртуализированная инфраструктура с разделенными сетями (некоторые физически, некоторые просто по VLAN) для трафика iSCSI, трафика управления VMware, производственного трафика и т. д.

Конечно, рекомендуется не разрешать доступ из локальной сети, например, к сети iSCSI, по очевидным причинам безопасности и производительности, то же самое касается и DMZ/LAN и т. д.

Проблема в том, что на самом деле некоторые услугиделатьвремя от времени требуется доступ к сетям:

• Серверу мониторинга системы необходимо видеть хосты ESX и SAN для SNMP
• Для доступа к гостевой консоли VSphere необходим прямой доступ к хосту ESX, на котором запущена виртуальная машина.
• VMware Converter требует доступа к хосту ESX, на котором будет создана виртуальная машина.
• Система уведомлений по электронной почте SAN запрашивает доступ к нашему почтовому серверу

Вместо того, чтобы полностью открывать всю сеть, я бы хотел установить межсетевой экран, охватывающий все эти сети, чтобы я мог разрешить только необходимый доступ.

Например:

• SAN > SMTP-сервер для электронной почты
• Управление > SAN для мониторинга через SNMP
• Управление > ESX для мониторинга через SNMP
• Целевой сервер > ESX для VMConverter

Может ли кто-нибудь порекомендовать бесплатный брандмауэр, который позволит делать подобные вещи без необходимости слишком глубокого редактирования конфигурационных файлов?

Раньше я использовал такие продукты, как IPcop, и, похоже, этого можно добиться с помощью этого продукта, если переосмыслить их идеи «WAN», «WLAN» (красный/зеленый/оранжевый/синий интерфейсы), но мне было интересно, есть ли другие приемлемые продукты для такого рода задач.

Спасибо.