John_Alban

На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
На интерфейсах задать security-level:
!
interface gig0/0
description --to_ISP--
security-level 0
nameif untrust
!
int gig0/1
des --to_server--
security-level 100
nameif trust
!
конфиг NAT:
object network server_local
host 192.168.1.2
object network ISP_peering
host 111.111.111.111
!
object network out_nat
nat (trust,untrust) dynamic ISP_peering #либо через static режим
!
Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
access-list outside_access extended permit tcp any object server_local eq www
access-group outside_access in interface untrust

Естественно, это минимальный конфиг и для полного счастья его не хватит

Закрываю вопрос. Мое мнение - snort в качестве IPS на SPARC64 архитектуре работать не будет.. Как я не пытался его реанимировать - без толку. Так что проблему решил просто - перенес всё на x86 сервер.
Единственный момент - я не тестировал IPS в чистом briged режиме (на SPARC). Возможно, в нем и заработает, хотя я не уверен. Ощущение, что проблема во взаимодействии snort и DAQ драйверов именно на SPARC, так что если есть SPARC - то его можно использовать только как IDS сенсор.