Ничего не могу понять. Описываю по шагам, что и как делал. Читал вчера на эту тему форум весь день. Читал найденный на форуме док по настройке ALG на DFL-200.

Прошивка версии 2.12.00.44-1877. Сеть вида 192.1.1.0/24. Интернет работает без нареканий. Все прочие настройки, кроме lan и wan – по умолчанию.

Требуется запретить группе пользователей доступ на все сайты, кроме одного, к примеру, yandex.ru. Кроме того, запретить качать оттуда pdf-файлы.

Что я делаю:
1. Address Book-> InterfaceAddresses
Создаю адреса из группы, пока пусть два:
Name Address
Inet-120 192.1.1.120
Inet-220 192.1.1.220

Создаю группу адресов: Inet_Allow Inet-120, Inet-220

2. ALG->Add->HTTP ALG
Вписываю только имя http_only_yandex на первой закладке. В File Integrity -> Block selected file types добавляю pdf.

Add -> HTTP ALG URL
Action URL Comments
Whitelist yandex.ru/*
Whitelist *.yandex.ru/*

3. Services -> Add -> TCP/UDP Service
Создаю службу:
Name: http-outbound-my
Type: TCP

Source: 0-65535
Destination: 80

ALG: http_only_yandex
Max Sessions: 1000

4. Rules->IP Rules->lan_to_wan->Add

Добавляю правило, указываю пока не группу адресов, а один. Таблица выглядит так:

# Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_yandex NAT lan Inet-120 wan all-nets http-outbound-my
5 allow_standard NAT lan lannet wan all-nets all_services

Последнее 5е правило для НАТ пока отключаю, применяю конфигурацию.
Набираю http://www.yandex.ru/, вижу очень большие тормоза при открытии страницы. Но все же открывается. Ищется очень медленно, со страшными тормозами и битыми картинками (т.е. видимо что-то фильтует).

Добавляю в Whitelist *.rambler.ru/* rambler.ru/*
Перезапускаю фаер, пробую грузить рамблер – не грузится.

Включаю правило для НАТ по умолчанию. Грузится теперь все, что забъешь в адресную строку

Ради интереса меняю Whitelist на Blacklist, получаю Forbidden на яндекс.

1. Ткните пожалуйста, где я не прав.
2. Должен ли фаер выдавать на прочие сайты Forbidden, если определены только Whitelist? Или в данном случае «Сервер не найден», “Невозможно отобразить страницу”- нормальная реакция?
3. Немного не понимаю, каков порядок просмотра правил. Если ситуация попадает под оба правила, будут выполнены оба или наиболее подходящее?

В общем, я тут много всего понаписал, старался подробнее, но все сводится к одному – как правильно настроить ограничение для группы IP (не для всех)?

Вайт лист можно не делать, сделать только блэк, будет ходить везде кроме блэк. Если в Блэк запретить все, вот тогда вайт нужен, вайт лист он главнее блэк. И нормально работает, Работает у меня на 210 поставил правило HTTP первым, прикрутил к нему ALG прошива такая же, то что надо блочит, никаких траблов.

Каким образом в блеке запретить все?

из своего опыта:
1) disable пока достаточно плохо работает, лучше по старинке просто удалять правило на время теста
2) на прошивках 2.05-2.11 у меня были проблемы с блэк/вайтлистами - то все подряд открывал, то открывал то, что нужно+как не бился, сайты длинка и майкрософта. Поддержка тогда уверяла меня, что я глючу. Однако в 2.12 подобных багов пока не замечено.
3) в любом случае прописывайте блэклист для "*", а потом в вайтлисте то, что хотите разрешить. Тогда всегда будет forbidden для запрещенных сайтов.
4) AFAIK, будет выполнено наиболее подходящее правило.
5) Если нужен конкретный результата срочно, то просто измените 5-ое правило, указав там в качестве сурснета только те адреса, которым можно все. Тогда не будет по крайней мере вопросов о том, какое правило срабатывает.

Спасибо за ответы. Действительно, сначала надо запретить все, а потом открыть только нужное. Иначе получается полный бред, у меня так же как и у SteveSmith, случайным образом открывались некоторые сайты.

Все запретить просто, прописать в блэк */* и все.