Depende do que você precisa para permitir a saída desses servidores. Supondo que você esteja usando o padrão de filtragem em interfaces de membros e não a ponte em si, apenas certifique-se de não permitir tráfego para sua sub-rede de LAN nas regras de firewall da DMZ. Se você precisar permitir algum tráfego de saída na DMZ para qualquer destino, adicione uma regra de bloqueio acima de todas as suas regras de aprovação com o destino da sub-rede da LAN para garantir que essas regras não se apliquem ao tráfego destinado à LAN.