>> Имеется распределённая сеть из кучи сегментов (подсетей)(естесственно за натом с проксями шахматами и поэтессами) находящихся в разных зданиях, даже на разных этажах, добеса пользователей с таким-же зоопарком устройств от компов на 98-х, до iPad - ов, а так-же хитрыми железками для видеоконференцсвязи и по Вашему получается я должен пойти ко всем и и каждому и настроить им на их устройствах фаерволл???

во-первых - как CPE и способ предоставления связи провайдером связан с корпоративной сетью ?

во-вторых - нет, вы обязаны "пойти" по всем и каждому ввереному вам устройству, составляющему вашу сетевую инфраструктуру (сервера, маршрутизаторы, коммутаторы, "хитрые железки для видеоконференцсвязи" и тп.), и настроить firewall'ы на них, а заодно и сконфигурировать их исходя из стандартизационных рекомендаций, корпоративной политики и здравого смысла.
то есть, выполнить свои профессиональные обязанности.

в-третьих - не помешало бы перестать использовать логическую фальшь, ввиде приравнивания NAT'а к firewall'у ("естесственно за натом с проксями шахматами и поэтессами"© в этом нет ничего "естественного").

вообще к чему это всё было ? выглядит так, как-будто вы используете NAT не просто между своей сетью и uplink'ом, но и на всех межсегментных соединениях внутри всей своей сети, а теперь шокировано узнаёте отсюда, что мол, оказывается, NAT - не есть функция фильтрации трафика.
вас, наверное, разорвёт, когда к вам придёт озарение, что NAT - есть, по-сути своей, красивое название для руинов уничтоженных понятий "локальный адрес" и "изолированный сегмент", уничтоженных путём игнорирования правила, по-которому маршрутизация пакетов в/вовне такой/го сегмент/а или такие/их адреса/ов запрещается, без исключений. но не велика потеря.

в свете чего предлагаю новую мантру для повторения местным апологетам NAT'а, гуру DoubleThink'а:
"NAT - не firewall, а технологический ублюдок, рождённый из ситуации 'когда маршрутизировать нельзя, но если очень хочется - то можно'"