Começando com fácil, eu sei de nenhuma maneira a NAT GRE de entrada através do usuário de VMware, se aquela é uma exigência que você pode precisar de olhar um router virtual tal como o vyatta. Nesse caso seu usuário novo residiria em uma rede do anfitrião somente e todo o NATing ocorreria no vyatta.
É você um único subnet dentro de seu guarda-fogo? Se assim eu não ver nenhuma razão mudar simplesmente o mundo para satisfazer uma exigência do IP address para um único usuário.
Que sendo dito - uma “melhor prática” seria realmente ter três redes, chama as fora, dentro de, e DMZ. Nenhum tráfego permitido do Internet (fora) não deve ir diretamente à rede interna. Deve preferivelmente ir à rede de DMZ (de que seria sua rede 192.168.x.x). Todo o tráfego entre a rede de DMZ e a rede interna deve ser limitado por réguas do guarda-fogo.
Isto poderia ser executado com seu NetVanta - o que eu pude determinar dele suporta três relações, MACILENTO, ETH1, e ETH2 de que, do que você me disse, você está usando somente dois.
Você deve definitivamente mover sua instalação para uma máquina da classe do usuário com pelo menos o dois NICS. Eu sugeriria que você instalasse a versão livre de ESXi (um pouco do que o usuário de VMware) em seu usuário novo, a seguir configurasse um dos NIC em sua corrente dentro da rede, o outro NIC à rede nova de DMZ. Estabelecer então todo seu NATting e réguas do guarda-fogo para sua máquina nova de DMZ. Ser certo começ um usuário complacente para ESXi, VMware tem uma lista da compatibilidade da ferragem (HCL) em seu Web site que lhe dirá o que os iis suportaram.
Eu sei que eu apresentei um plethera das opções aqui - mas se você tem os fundos para um usuário novo a última opção seria o que eu recomendaria.
Esperar que isto ajuda
