Встала типовая задача ограничить пользователям доступ к определенным сайтам.
Хотел решить это настройкой шлюза DFL-260E, но ограничивать нужно не всех, а лишь избранных пользователей :)
Вкладываться по деньгам, разумеется, никто не хочет.
Пока что вижу два варианта:
1. Установить на каждый комп из "черного списка" K9 web protection. Не знаю правда имплементируется ли он через GPO и как себя ведет дальше.
2. Установить Traffic Inspector на сервере с winserver 2008 или подобную программу.

Еще не приходилось работать с Traffic Inspector. Прошу помощи, возможно уже кто-то успешно и без лишних нервов решал подобную задачу.
Возможно есть очевидные решения, о которых я не знаю.
В общем, буду рад любым советам и помощи.

UGN, ИМХО, варианты есть проще, аналогичные вашим:
1. Установка на компы из "чёрного списка" бесплатной редакции "TMeter" с одинаковыми фильтрами.
2. Установка на раздающий Интернет компьютер бесплатной редакции TMeter, где настроить URL фильтрацию "чёрному списку".

Доброго времени суток!!! А если пойти другим путем, проксей, например Linux+Squid+SquidGuard прозрачно или непрозрачно...?
Там можно и по IP и по юзерам все это настроить....

Angry Demon , про TMeter спасибо. Посмотрю.
Инет раздает не комп, а шлюз dlink DFL-260E. Я же планировал просто поставить Traffic Inspector в режиме прослушивания (внешний шлюз). Не знаю как это влияет на пинг и доступность портов, надо тестировать.
Ruldik Тот же нюанс, Линукса нет вообще ни на одной машине, и докупать для этого дела системник тоже не вариант, да и зачем так сложно...

А если пойти другим путем, проксей, например Linux+Squid+SquidGuard прозрачно или непрозрачно...?
Проксю не хочу использовать, т.к. в офисе немаленький штат бухгалтеров с их Клиент-банками, Референтами и прочим хламом, который очень чувствителен к подключению. А такскоме чуть что не так, сразу вылезает ошибка в диагностике рабочего стола. И прочее.
Да и зачем создавать еще одну базу юзеров, хочу чтобы все бралось из AD.


UPD. Как я понял, бесплатная редакция TMeter имеет лимит: всего 3 адреса можно добавить в блок лист. Маловато.

Как я понял, бесплатная редакция TMeter имеет лимит: всего 3 адреса можно добавить в блок лист.
Неверно поняли. Максимальное число фильтров трафика.

Линукса нет вообще ни на одной машине, и докупать для этого дела системник тоже не вариант, да и зачем так сложно... »
можно использовать виртуальную машину.
Да и зачем создавать еще одну базу юзеров, хочу чтобы все бралось из AD. »
сквид работает с AD.
с их Клиент-банками, Референтами и прочим хламом, который очень чувствителен к подключению. »
их можно настроить мимо прокси.

так же сквид портирован на Windows :gigi: , правда опыта с ним и AD нет.
Хотел решить это настройкой шлюза DFL-260E, но ограничивать нужно не всех, а лишь избранных пользователей »
избранным пользователям можно назначить постоянный адрес, и создавать правила блокировки только для него.
Метод не работает, если у пользователей права локальных администраторов.

Неверно поняли. Максимальное число фильтров трафика. »
точно, сначала написал, потом полез проверять.

Вопрос: пробую заблочить Вконтакте. Добавляю в список URL vk.com, vk.com/*, vk.ru. *vk.com* и так далее.
Применяю. При наборе в адресной строке vk.com/feed доступа нет, вылезает кукиш и все как надо.
Но если открыть https://vk.com/feed то страничка доступна. Https трафик не мониторится?

В фирме еще процентов 20% компов на MacOS. Под них я что-то шейперов не нашел. Кто сталкивался?

Кальмар юзеров и с AD может тянуть... но если могут возникать такие грабли, то тогда не стоит...

В фирме еще процентов 20% компов на MacOS. Под них я что-то шейперов не нашел. Кто сталкивался? »
я сталкивался, только не с шейперами - они для резки скорости.
блокировал сайты по имени, но вот какая штука получилась - правило не работало для OS X, ибо он разрешал имена в IPv6, а мой роутер его не поддерживал (не мог блокировать).
Для Win 7 правило в это же время прекрасно работало.
так что будьте внимательны:
nslookup vk.com

Address: 192.168.1.201

Не заслуживающий доверия ответ:
╚ь*: vk.com
Addresses: 2a00:bdc0:3:103:1:0:403:907
2a00:bdc0:3:103:1:0:403:906
2a00:bdc0:3:103:1:0:403:905
87.240.131.97
87.240.143.241
87.240.131.99

можно использовать виртуальную машину. »
это бэк-оффис, там дохлое оборудование, дешевенький сервак из Юлмарта, 20+ юзеров. Всё ПО должно быть белое, без кряков. Может ошибаюсь, но вроде как только VirtualBox есть бесплатный. Да и как-то многовато возни для такой задачки.

так же сквид портирован на Windows »
вы про SquidNT? Тоже опыта нет. Вообще, я так понимаю, если шлюз у меня DFL а не сервак, то для того чтобы использовать такие решения как сквид, надо сначала на железке завернуть трафик на сервер, а на сервере уже ставить прокси или сквид. Опять таки, как то сложновато. Я не совсем айтишник, и моих скромных познаний явно не хватит для этого.

я сталкивался, только не с шейперами - они для резки скорости. »
а можно поконкретнее? с названиями и прочим ? :)

Всё ПО должно быть белое, без кряков. Может ошибаюсь, но вроде как только VirtualBox есть бесплатный. »
hyper-V бесплатный и входит в состав Windows 2008, правда, если у вас процессор не поддерживает виртуализацию - он не поможет.
вы про SquidNT? »
да. я как то настраивал, но только без авторизации.

как сквид, надо сначала на железке завернуть трафик на сервер »
групповой политикой можно настроить прокси сервер для IE и Chrome. Для FF - если у них в шаблонах есть, но я не помню.
если делать прозрачный прокси - то нужно заворачивать трафик с роутера. я такие варианты не очень люблю, другое дело - прописать адрес сквида как шлюз по умолчанию на клиентских компьютерах.

Да и как-то многовато возни для такой задачки »
ну кому возня и костыли, а кому на 30 минут работы.

а можно поконкретнее? с названиями и прочим ? »
Шейпинг (https://ru.wikipedia.org/wiki/%D0%A8%D0%B5%D0%B9%D0%BF%D0%B8%D0%BD%D0%B3_(%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D 0%BA%D0%B0))
прокси сервер (https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80)

Доброго времени суток.
Все зависит, наверное, от масштабов - количество сотрудников, которым необходимо резать доступ и будет ли это количество расти.
Если смотрите в сторону прокси Squid - учтите, что прозрачный режим (транспарент) не поддерживает аутентификацию, если нужна интеграция с AD - соответственно будете назначать прокси групповой политикой (шаблоны для google chrome и mozilla существуют, если используете IE - вообще проблем не будет). Аутентификация поддерживается NTLM и Kerberos, на блоге есть замечательная серия статей по настройке Squid, вот вводная статья (http://www.k-max.name/linux/squid-proxy-v-linux/), вот рубрика (http://www.k-max.name/category/linux/squid/). Сам впервые делал именно по этой серии, но также добавил режик - бесплатный редиректор, который имеет свои бан листы по категориям (порно, видео и т.д.), пополняемые комьюнити этого самого режика (http://rejik.ru/).
Если делать на перспективу - это, пожалуй, один из лучших бесплатных вариантов. Если ищите где завести машину - виртуализация вам в помощь, существует бесплатная версия гипервизора от VMware - ESXi, если гипервизор не управляется vCenter`ом и нет других продуктов VMware, то разберетесь быстро, все интуитивно понятно. Поддержка функции intel-vt или amd-v процессором хоста не обязательна, без нее просто не сможете крутить 64-х разрядных гостей, но сам процессор должен быть 64-bit x86, если собираетесь использовать что-то новее ESX 3.5 (хотя все более-менее современные процессоры удовлетворяют этому требованию).

Но если открыть https://vk.com/feed то страничка доступна.
Метод тыка, конечно, хорош, но почитайте, наконец, Руководство (http://tmeter.ru/tmeter/manual/). URL фильтр не работает по https. Это можно делать в правилах фильтра.

Может ошибаюсь, но вроде как только VirtualBox есть бесплатный.
Ошибаетесь. Бесплатны, например, Microsoft Hyper-V Server, Citrix XenServer, VMware ESXi.

Тему можно закрывать.