Na firewall-u zabranis sve osim onoga sto zelis da pustas napolje. I dodas samo pravilo da za destination port 80 sme da ide samo ISA.

@Gazzu

Za koje potrebe ti treba tako nesto

Nije tako lako. Moras zabraniti upotrebu mobilnih telefona ili ce saobracaj ka netu ici preko njih. A valjalo bi i da pocupas USB i CD-ove jer ce tu lako butovati op.sistem po zelji .... A valjalo bi i kutije racunara zakljucati na neki nacin .....

Ma ne vredi to tako. To stalno ponavljamo. Potrebna je odluka uprave da se to sankcionise i slicna odluka korisnika da to ne rade. Znaci: u ponedeljak donesete odluku da je to (nesto) zabranjeno. U subotu odstampate listing ko je i gde isao i koliko se zadrzao - da korisnici znaju da se to vidi i prati. Iduci ponedeljak jos jednom podseti na ozbiljnost zabrane i sledeci listing nosis u obracun plata ....

Ali prvo moras naterati korisnike da idu kroz proxy (with firewall rules)... i nezabraniti nista... samo pravis report-ove... Naravno, treba reci korisnicima da se vrsi monitoring onoga sta rade na internetu.... A posle je na upravi firme da odluci da li ce dozvoliti to sto korisnici rade ili ne...
Ti ne treba da odlucujes nista u vezi ogranicavanja internet sadrzaja. Jednom recju boli te uvo. Ako upravi odgovara da ljudi trose vreme i resurse firme onda neka rade korisnici sta hoce.

Pa nije bas da ne treba nista ....

Kod svih kriminalnih aktivnosti na mrezi ti si kriv dok se drugacije ne dokaze ( kad se upali fabrika prvo uhapse inzinjera koji je odgovoran za strujne instalacije, e, ako mnogo smrdi na benzin - onda ga puste). Zezam se ali ozbiljno, ako te FOX tuzi da je sa tvoje mreze skinut neki njihov film, gledaj da znas koji je korisnik to uradio i da imas napismeno da si obavestio upravu o tim aktivnostima ...

Da, to sam i rekao... imaj logove i report-ove. Ako se upali fabrika, a ti znas ko se igrao sa zicama... skinuces odgovornost sa sebe kao strujnog inzinjera.
Cuvaj svoje du.e, a ako direktor nema nista protiv toga da mu radnici provode pola radnog vremena na social network site-ovima, nema razloga da ti brines zbog toga...

Prvo da se zahvalim svima na odgovorima.
Ovako stoje stvari. Ja u firmi imam oko 40 udaljenih mesta sto na spoljnoj IP adresi sto na VPN-u. Ta mesta koriste neke servise. Neki rade preko weba neki ne. Dok nisam stavio ISA server imao sam gomilu problema sa korisnicima po pitanju virusa ( vole ljudi da idu na porno sajtove). Obavestio sam nadlezne, ali nista od kaznjavanja ili slicnih stvar,. Nije da se to jednom dogadjalo bilo ih je na desetine i svaki put nista. E ovo moram da vam kazem: Jednom sam isao u Sabac u 8 uvece zbog jednog takvog lika, a u favoritima sam mu nasao toliko porno sajtova da ja toliko favorita nisam video na jednom kompu.

Tako da od pretnje nista. Ja mislim da bi mi samo propustanje ise kroz ruter reslio problem samo za VPN - korisnike, ali bi i dalje imao problem da progurm servise kroz isu.

Sada je malo jasnije. Gazda ima love i spreman da je trosi na put do Sabca i pauze u radu. Iz nekog razloga nije mu u interesu da talasa u furmi. Infrastruktura vrlo komplikovana i izgleda rasla neplanirano , sama od sebe.

Moj ti je savet da trazis pare za neki Norton ili Zonealarm. Em ces se zastititi od virusa , em imas mogucnost da deci zabranis porno, haking, drags ili stalivec ... bez obzira gde ili kako izlaze. Cackanje po tim programima zavrsava uglavnom blokadom celog racunara.

Veza ISA i Ciska je bas dobra, ali ce jos vise zakomplikovati i ovako slozenu topologiju. Posebno je opasna tvoja zelja da korisnici iz spoljnog sveta idu kroz tvoj proksi. Velike su sanse da ti je taj proksi poseceniji nego sto se ti nadas....