同一个switch下的re-router应用

我看一般的UTM最常走router模式，里面电脑是NAT，外面进来要有port forwarding，内外封包都一定要通过UTM，所以UTM可以过滤分析，这点我比较好理解。

不过我在untangle看到这篇文章：
http://www.techrepublic.com/blog/net...t-for-smbs/658
"Untangle's free Re-Router gateway for Windows is good bet for SMBs"
看起来是说在switch下，虽然每一台电脑网路地位相同，但用很像ARP欺骗的技术（他说是合法的，这要怎么分？）可以达到保护，而且其他电脑完全不用设定什么。
不过如果其他电脑有锁ARP之类的，这些电脑是否就没法接受untangle的保护了？

而我也想请问如果今天把这种UTM装在本机的虚拟电脑内，只有一张虚拟网卡bridge到实体网卡，因为外面看起来也像是两台在switch下面，请问可以使用re-router技术保护实体的本机吗？

另外一开始我说的的router模式下，因为无论如何都要通过UTM电脑，如过外面想攻入内部网路，我目前只想到「要不是里面电脑有木马，要不就得攻破UTM」，这样应该没错吧？那以这种re-router的模式，就算成功把gateway导向UTM电脑，但实体网路线却是直接对外，请问和router模式比起来，从外面有哪些其他技术可能会攻破内部网路呢？

你不要想的那么复杂他的模式就是两种
一种是router mode
一种是bridging mode
就是这样而已
什么ARP spoofing的功能讲一大堆
就是bridging mode这么简单