Block HTTP and HTTPS for some PCS

If your Astaro/Sophos is configured to use Web Filtering in transparent mode with HTTP and HTTPS scanning enabled, you must deny these specific clients the right to use it.  When you instill your firewall rule to block the clients from using HTTP/HTTPS outbound otherwise, it still succeeds to connect because it is hitting the web filter (proxy service) on the Sophos.  This service is governed by  the USR_INPUT chain, not the USR_FORWARD chain that you're modifying with your firewall rules.

What you need to do is add the clients that shouldn't be able to use the proxy service to the Skip transparent mode sources list under Web Protection -> Web Filtering -> Advanced.  Then uncheck the Allow HTTP/S traffic for listed hosts/nets box directly below.  Once done, these hosts will not be able to use the proxy to get service.

EDIT:  Exception isn't what you want.  Bolded the change.  Thanks BAlfson for the correction!

Ok, I get it, I did it and it worked in firewall rules have disabled http, https and dns for the rand machines that are nothing more by proxy.
But I must allow these machines to access only the McAfee website, what should I do? Well I created a rule above all, for these machines, releasing only http to the destination host dns mcafee.com, but it did not work, forgot something?

I await!

Ok, I get it, I did it and it worked in firewall rules have disabled http, https and dns for the rand machines that are nothing more by proxy.
But I must allow these machines to access only the McAfee website, what should I do? Well I created a rule above all, for these machines, releasing only http to the destination host dns mcafee.com, but it did not work, forgot something?

I await!

The Web Proxy implicitly sets it's own required packetfilter rules. As they are from order in fron of you manual created block rules, they will not work.

You can use proxy profiles to solve your issue

create 2 proxy profiles.
1. Profile
Source Networks is a network group containing all hosts, which have limited or blocked access to internet
Choose as Filter Action (Filter Assignement) the default block filter action, if all webtraffic has to be blocked. Otherwise create your own filter action in whitelist mode (DEFAULT EVERYTHING BLOCKED), and allow required sites as the McAffee update sites in the whitelist.

2. Profile
Source Networks are your allowed networks
Choose you required filter actions (filter assignements)

As the proxy profiles are ordered, and processes one for one until first match, you restricted hosts should be blocked / limited as defined, the other clients in the network gets the defined access to Internet.

Hello, thanks for the help. In fact the use of profiles Webfilter is the best solution, did the tests and it worked well.

When I create the profile Webfilter to a specific network range, this profile will always have priority over the default profile, correct? The rest of the machines, which are in other ranges, will always use the default profile.

I have a doubt: I created a profile, and attaches to a range adjusted to block all websites then liberated only Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat site, only that whatever comes after. Com.br such as www .terra.com.br / news, news Sophos blocks the session, it is as if the access was only released to Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat and nothing else, tried using this way: * terra.com.br * in rule profile, but it did not work, have any tips on how I can release a certain website and all its contents?

Hello, thanks for the help. In fact the use of profiles Webfilter is the best solution, did the tests and it worked well.

When I create the profile Webfilter to a specific network range, this profile will always have priority over the default profile, correct? The rest of the machines, which are in other ranges, will always use the default profile.

I have a doubt: I created a profile, and attaches to a range adjusted to block all websites then liberated only Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat site, only that whatever comes after. Com.br such as www .terra.com.br / news, news Sophos blocks the session, it is as if the access was only released to Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat and nothing else, tried using this way: * terra.com.br * in rule profile, but it did not work, have any tips on how I can release a certain website and all its contents?

...
When I create the profile Webfilter to a specific network range, this profile will always have priority over the default profile, correct? The rest of the machines, which are in other ranges, will always use the default profile.

In fact, if you're using profiles, the default profile isn't active at all (it's source network settings are ignored). The Filtersettings itseld are used in the "default filter action", and can be used in Profiles to - for example - creating a minimalistic access fallback rule.

I have a doubt: I created a profile, and attaches to a range adjusted to block all websites then liberated only Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat site, only that whatever comes after. Com.br such as www .terra.com.br / news, news Sophos blocks the session, it is as if the access was only released to Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat and nothing else, tried using this way: * terra.com.br * in rule profile, but it did not work, have any tips on how I can release a certain website and all its contents?

try
^https?:\/\/www\.terra\.com\.br\/.*

if it releases all sub sites, but blocks Terra - Notcias, vdeos, esportes, economia, diverso, msica, moda, fotolog, blog, chat, add

^https?:\/\/www\.terra\.com\.br