[GAMA123]

только https? что бы при этом работали другие сайты http?
или все же хочешь по конкретным адрессам убить

[dartne]

ну лучше конечно конкретные ресурсы, или накрайняк просто https.
Есть пользователи, которые научились ходить на ресурсы по https, squid блокирует у меня только http,вот и хочу политиками им https Закрыть

[GAMA123]

dartne, конкретные ресурсы, это для прокси или Forefront microsoft

могу подсказать как сделать что бы могли зайти только на нужные вам сайты, и никакие другие не откроются

+ вопрос: домен или рабочая группа? кому запрещать будем? пользователям или компам

[dartne]

GAMA123, домен,Squid,Iptables

[jameszero]

dartne
GPO здесь вряд ли поможет.
Блокируйте на шлюзе:

Код:

iptables -I FORWARD -p tcp --dport 443 -j DROP

Если нужно закрыть конкретные сайты, вот пример блокировки вконтакта:

Код:

iptables -I FORWARD -p tcp -d 82.96.196.0/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 87.240.128.0/18 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 87.240.128.0/19 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 87.240.160.0/19 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 93.186.224.0/21 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 93.186.232.0/21 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.142.192.0/20 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.142.192.0/21 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.142.200.0/21 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.142.201.0/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.142.202.0/24 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.213.0.0/17 --dport 443 -j DROP
iptables -I FORWARD -p tcp -d 95.213.0.0/18 --dport 443 -j DROP

[dartne]

jameszero, Тут печалька, у пользователь DHCP Динамические IP, придется всем 400 пользователям назначать статику, постоянно отслеживать, у кого есть доступ, у кого нету, постоянно мониторить на каком IP какой хост, работающий по https живет

Как вариант рассматриваю GPO с запретом на редактирование прокси, и прокси какой нибудь 127.0.0.1, чтобы пользователь не смог сам менять
Но опять же, если особо умный пользователь запустит "левый" браузер, то придется мониторить таких пользователь и баник по EXE запуск подобных браузеров...

[WindowsNT]

Я правильно понимаю, что вы отключите для клиентов половину сайтов (в том числе весь интернет-банкинг), и всё в порядке, вам за это ничего не будет?

[mwz]

Цитата dartne:

у пользователь DHCP Динамические IP »

IP выделяются вашим же сервером на W2008 R2, его DHCP?

Тогда настройте сеть нормально, прописав имеющихся клиентов в таблицу статических адресов по MAC-адресам (в настройках DHCP-сервера можно экспортировать список текущих клиентов и использовать его для прописывания статических адресов методом Copy/Paste; возможно даже можно использовать список целиком – но сюда не лазил).

При этом любому из клиентов можно будет здесь же настроить индивидуальные ограничения или особенности, типа: "А вот этому можно иметь доступ к внутренней сети – но в интернет ни шагу!", "А мне идти в интернет не через общий шлюз по умолчанию, а через резервный шлюз", "А вот этому перекрыть стандартный порт https" и т.д.

Список таких адресов можно сохранить затем в отдельный файл на свой компьютер, чтобы при возникновении проблем или вопросов практически мгновенно получать ответ на вопросы типа: "А кто это там у нас безобразничает с такого-то адреса?".

Разовая работа (ну и поддержание в актуальном состоянии при появлении новых клиентов и удалении выбывших, типа напрочь сломавшихся компьютеров) – зато позже ещё не раз это пригодится.