Фильтрация DHCP-трафика
 

Всем привет, прошу совета.
Есть общая сеть, состоящая из двух отделов - бухгалтерии и секретарей. В сети есть сервер для бухгалтерии и общий роутер в интернет. Свитчи неуправляемые. На сервере поднят DHCP-сервер для бухгалтерии (эта сеть построена первой), на роутере также работает DHCP-сервер для секретарей. Возможно ли разделить фаерволлом эти два отдела так, чтобы секретари не получали IP-адреса от сервера бухгалтерии, а бухгалтеры не получали адреса от роутера? При этом роутер нужен всем и адресация в сети общая. Чтобы было более понятно, схему прилагаю.
Возможна ли такая конфигурация и будет ли на фаерволле работать NAT или обязательно давать отделам разные адресные пространства?

Мсье знает толк в извращениях.
В сети должен быть один DHCP.
У вас есть сервер. На сервере настраиваете DHCP, DNS и контроллер домена. Компьютеры получают адреса по DHCP и вносятся в базу DNS.
Затем вы вводите компьютеры в домен и настраиваете правила доступа к сетевым ресурсам.
Бухгалтеры работают со своими ресурсами, секретари - со своими.
Всё.

Если же вам всё-таки хочется использовать две разных сети, тогда у них должен быть разный диапазон адресов. Иначе просто не будет работать маршрутизация между сетями.
Если вам нужно "защитить" подсеть бухгалтерии от остальной сети, тогда на файрволле должен быть включен NAT.
В этом случае никакой дополнительной настройки файрволла не понадобится, поскольку широковещательные пакеты DHCP через маршрутизаторы не проходят.