Доброго времени суток!
Подскажите как на DFL-860 ограничить на всех wan доступ к определенному списку сайтов и есть ли возможность некоторым пользователям в локальной сети этот доступ оставить открытым?
Спасибо!

Используйте HTTP ALG
Для "избранных" создайте NAT правило выше без использования ALG

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Что-то не получается.
В ALG с AV/WCF в http-outbound добавил в BlackList сайт. В IP-правила в lan_to_wan1 добавил правило http_deny:
Действие: DROP
Сервис: http-outbound
Источник Назначение
Интерфейс: lan wans
Сеть: lannet all-net
Правило стоит вторым после drop_smb-all.
При активации изменений не могу попасть ни на один сайт вообще:( ICQ, QIP, MA, Skype работают, почта ходит
Подскажите что делаю не так пожалуйста.

Вам надо не drop, а NAT правило с использованием HTTP ALG делать, выше allow_standart. Сам ALG заблочит все что надо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Так создал HTTP ALG в которой запретил сайты - http_deny.
Создал сервис с этой ALG.
И в правила добавил в верху http_deny-rule все отлично! Никто не может зайти. Теперь надо создать для 4х лиц в локалке доспуп к этим заблокированным ресурсам. Можно сделать это NAT правило для группы? Или для каждого придется создавать отдельное исключение. Что указывать в качестве сервиса в этом правиле?

Да, именно, сделать NAT HTTP правило для группы и поместить правило выше того, что с блокирующим ALG.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А не подскажите как? Или пример покажите какой? Вот не получается и все тут... Создал правило с нат в нат отправителя себя поставил сервис http-outbound - закрылся всем доступ к сайтам, Мессенжеры продолжают работать.

Эээ... Давайте еще раз сначала - вам сайты блочить или IM?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сайты уже заблочил, за это вам спасибо. Теперь 3м пользователям внутри надо разрешить их.
Создал вот такое правило для разрешения

В нем в нате указал себя

При применении правила, у всех перестают работать все сайты... Где-то ступил, а вот где не могу понять. Еще не могу понять как NAT применять к группе

Вам адреса "избранных" надо указывать в "разрешающем" правиле вместо lannet, сервис - без ALG (например, http) и не трогайте ничего на вкладке NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Большое СПАСИБО! Все получилось!

Замечена такая закономерность: это правило стало блокировать, полностью или частично открытие mail.ru, хотя этот сайт не внесен в BlackList. ПОдскажите где грабли, пожалуйста?

В настройках созданного вами HTTP ALG снимите все галки strip.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо всем за консультации. Возникло еще 2 вопроса:
1. Какая разница между 860м и 800м? Прошу прощения, нашел ответ тут
2. Можно ли использовать Di-804 для создания тоннеля между ним и 860(800) или использовать dir-130(330)?
Вопросы обусловленный необходимостью создать VPN между головным офисом и регионами, с наименьшими затратами )))

1. 860 отличается лишь встроенным сигнатурником. Остальные функции после 2.25 одинаковы - все DFL теперь базированы на UTM.

2. Теоретически да, но все зависит от вашей конфигурации и запросов. Многие вещи вы не сделаете на DI/DIR, к тому же стабильность будет ниже на порядок.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc