В общем так... Скайп специально закрыть или открыть будет сложно, поэтому давайте считать что он нормально работает по открытому НТТР. Думаю, открыв HTTPS везде, вы его обеспечите нормальной работой, но сделаете огромную дыру в безопасности.

Папки в AddressBook, которые я предлагаю, можно не создавать, это я для удобства.

Также, я подразумеваю, что ftp для групп 2-3 тоже надо ограничить - тоже по IP адресам.

1. Objects > Services, создавайте сервис icq (если еще нет). Порт назначения 5190, TCP.

2. Objects > AddressBook > LocalNetwork (создайте папку), заведите всех локальных клиентов
Потом там же, объедините их в группы - lan_group_1 (ваша группа №1), lan_group_2 (ваша группа №2), lan_group_3 (ваша группа №3)

3. Objects > ALG - создаете новый НТТР ALG и заносите ограничения/разрешения. Подсказка - для создания whitelist надо добавить * как blacklist и потом разрешенные - как whitelist.
Если возможно, делайте одинаковые НТТР правила (ALG) для групп 2-3, это вам сильно облегчит жизнь. Если невозможно, делайте 2 ALG.

4. Objects > Services - создаете новый НТТР сервисы, http-1 & http-2, на основе соответствующих ALG.

5. Objects > AddressBooks > ExternalNetworks (создайте), добавляйте объекты-IP адреса или целые сети, на которые будет разрешен HTTPS, потом объединяйте их в группу allowed_https.

6. Objects > AddressBooks > ExternalNetworks (создайте), добавляйте объекты-IP адреса или целые сети, на которые будет разрешен FTP, потом объединяйте их в группу allowed_ftp.

7. Rules > IP Rules
# разрешим пинг в интернет для всех
NAT lan/lannet wan/all-nets ping-outbound
# группа 1
NAT lan/lan_group_1 wan/all-nets ftp_outbound
NAT lan/lan_group_1 wan/all-nets all_services
# группа 2
NAT lan/lan_group_2 wan/all-nets icq
NAT lan/lan_group_2 wan/all-nets http-2
NAT lan/lan_group_2 wan/allowed_ftp ftp_outbound
NAT lan/lan_group_2 wan/allowed_https https
# группа 3
NAT lan/lan_group_3 wan/all-nets http-3
NAT lan/lan_group_3 wan/allowed_ftp ftp_outbound
NAT lan/lan_group_3 wan/allowed_https https

Типа, так... Тут для группы №1 я специально разрешил ВСЕ, как вы писали. Если захотите, ограничьте по сервисам по аналогии.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

2 danilovav

огромное спасибо за развернутый "howto"

буду пробовать делать, надеюсь это сообщение вы писали не для соседней ветки а для этой