что то я не понял про картинки.) выкладываю куда?.)) ладно, всё приходиться делать самому.) вот тут рисунки (
ftp://wertyg.homeftp.net/myUpload/worf/) и они тут будут не до бесконечности. срок годности две недели.) если я про них не забуду.))
1 - инет(HTTP;DNS;ICQ;POP3;SMTP и прочее) у тебя должен быть разрешён по умолчанию у меня так как на рис1. т.е создано правило. обрати внимание:
а - синим обведено то что я считаю инетом.) у меня это два правила но можно и совместить их.
б - фиолетовым обведено для кого они в моём и твоём случае лучше чтоб были для сетевого экрана покрайней мере все нижеприведённое для такого случая.)
в - в последствии тебе пригодиться правило разрешающее подключаться к сетевому экрану из локальной сети по порту 3128 он же HTTPproxy в "службах" и 53 он же DNS. у меня вся локальная сеть подключается без ограничения(как видно из рис1 обведено коричневым) и потому такие правила не нужны.
2 - идёшь вот сюда рис2, рис3. контролируеш наличие точек\галочек как на рисунках. таким образом мы будем разрешать адреса и кэшировать вэб для ускорения доступа и экономии пропускной способности. потом сюда рис4. красным отмечено то что обязательно должно быть включено для авторизации пользователей. синим опциональные компоненты только в том случае если у тебя авторизация через домен NT или AD.
3 - создаёшь группы рис5. набиваешь туда пользователей.
4 - создаёшь соответствуюшие правила рис6. правило для тех у кого полный инет создавать ненужно. потому как по-умолчанию на них запреты из "политики НТТР" не действуют.
5 - настраеваешь клиентов:
шлюз по умолчанию это ИП твоего сетевого экрана
предпочитаемый DNS тоже ИП сетевого экрана
в обозревателе вэб-страниц указываешь прокси ИП твоего сетевого экрана и порт 3128 если ты не изменил его на шаге 1.)
з.ы. писал на быструю руку,) доступ к инету может быть реализован и иным способом. в моём описании возможны ошибки. пробуй и пиши если что не так. ага и главное в этой статье я не учитываю прочие настройки которые ты сознательно или безсознательно сделал на сетевом экране.))
всё вышеперечисленное только для НТТР. обрати внимание что в такой конфигурации другие сервисы(SMTP,ICQ,POP3 и тп.) работать у пользователей не станут. для того чтоб они работали нужно создать правило трансляции адресов вида источник=группа\пользователь\всё; назначение=интернет(интерфейс); служба=нужный тебе сервис; трансляция=по-умолчанию или исходящий интерфейс.
