то есть грубо говоря надо поставить фаервол и прокси сервер... я правильно понимаю...
тогда на фаерволе нужно чтобы поддерживалась функция блокирования указанных портов... а на прокси чтобы фильтровал запросы на сайты внесенные мной в черный список ну и конечно же фильтровала доступ к контенту (ну там stream media, flash анимация)...
ну и хотелось обсудить те порты которые нужны для работы людей а какие нет...

если для вас это неинтересная тема то для меня она самой главной важности...
прошу помочь разобраться с этим бардаком блин...

почитал про нее... так то да интересное решение...
хотелось бы выслушать ваши решения проблемы открытых портов ну и вообще как у вас реализован доступ в интернет...

У меня шлюз под линукс. Порты запрещает-разрешает iptables, он же натит. Для фильтрации контента и ограничений скорости - squid (для http) и frox (для ftp).

Политика iptables по умолчаию - все нельзя.
А что все-таки можно: Ответные пакеты - разрешены все. Входящие соединения фильтурются.

1)  На сам шлюз (INPUT)
а) извне входящие соединения  разрешены только на 22 порт tcp (ssh).  Низя даже пинг.
2) изнутри (от локальной сети) входящие соединения  разрешены  на 80, 8080,8888, 8081, 8000 tcp (http порты, на них у меня висит сквид, проксирование прозрачное). Еще - разрешены входящие на на 2121, 40000:42999 tcp (для frox - тоже проксирование прозрачное), 3128 tcp (для взаимодействия frox и squid), 53 udp (для кэширующего DNS),  tcp 139 и udp 137 - для самба.  
3) исходящие вовне от шлюза (OUTPUT) - c 80, 8080,8081,8888,8000,21,53 портов, ICMP можно только type 8 и 11. От локалхоста и с внутренней сетевой исходить разрешаю всему, ччему угодно.

2) Транзитные пакеты от клиентов в инет (FORWARD). Это все, кроме htp ftp - этих я тут дропаю, чтобы какие умники сквид не обошли. Можно 25, 110 tcp - почта (как же без нее!), 5190 tcp, 4000 udp - ICQ (если нужно), 22 - ssh (если нужно), 2074 udp - web microphone (если нужно), 443 tcp - https  (если нужно). Еще разрешен ICMP можно только type 8 и 11.

Все остальное пока не понадобилось.

Это - под линукс, но порты и протоколы они и в африке те же , так что вышесказанное годится и под виндовуз.  

Запрет на всякие интересные сайты, ограничения по скорости на закачку файлов в зависимости от ич расширения - в squid (есть и под винду - бесплатный) и frox.  

В принципе, если в сети всего 28 компов, то без прозрачного проксирования можно и обойтись, если не влом прописыать 28 раз проксик в браузерах. Тогда фрокс не нужен, сквид и один справится.

MS ISA Server 2004