VPN服务器拦截可行性问题

有一台windows2003 VPN 服务器 ，双网卡连内外网，我想在服务器上做个最简单类似防火墙样的东西，拦截外网对内网的访问（这里只要求TCP、UDP，其他可有可无），并在界面上显示试图想访问内网的IP，界面上点击哪个IP，才允许它访问内网（该IP发送的TCP、UDP包放行）。NDIS能实现吗？
这里有几个疑问：
1、windows2003自带 VPN具体怎么工作？当其开通VPN功能后，底层不是已被它写入一些东西了？这时候我再进行改写岂不乱套了？
2、VPN服务客户本身有真实IP和临时分配IP之分，我怎么拦截能得到真实IP，临时IP又怎么得到呢？
3、就我要实现的功能而言，是直接在底层拦截好呢（哪一层，哪种方法好），还是对系统自带VPN进行二次开发（针对哪个文件开发，有什么可调用函数）？
本人刚刚接触NDIS，提问如有不妥，请多原谅，谢谢！