Как поступить, если выход в Интернет необходимо ограничить для определённых пользователей (домена)?
PERMIT user -> any:some_ports NAT (Ext.IP)
Машина с KWF при этом должна быть в домене, а для внутреннего интерфейса KWF должны быть выставлены соответствующие правила для нахождения в домене.
Можно поступить проще (вызывает аналогию с любителями не входить в домен – и подчиняться его политикам, скриптам и пр., а просто завести локальную учётку с совпадающими данными в домене), а именно создать Address Group, куда включить группу IP, разрешённых к выходу в Инет. В Users завести юзеров и ассоциировать каждого со своим IP – и будет вам статистика безо всяких доменных авторизаций. Правда, в этом случае допустим только один юзер на один IP..