How to block acces to internet for specifi of group computers

What version of UTM - 9.206-19?  Are you using AD-SSO in Transparent or Standard mode?  Would it be possible to isolate these PCs on a separate VLAN?  Can you prevent the users from changing their IP?

Cheers - Bob

Helo, right now I am using UTM 9.208-8
Astaro is connected via SSO to my AD and webfiltering runnig in Transparent-Mode.
This clients are inside my network. It was production PC and I dont want allow them acces to the web, but if it login to this computer with web acces account the internet works. 
I try to create firewall rule for block any to internet for specifi host with static IP. The webfiltering not accepted.

I'm still wrapping my head around this too as it appears to limit fine grained control of systems BUT, from what I can tell, if you're using transparent proxy then manual firewall rules are ignored.

If I turn off my proxy then my firewall rules seem to work as expected. With it on, I can't seem to limit connectivity.

So, having said that.. If you're using transparent proxy then you likely won't be able to prevent an internal system from accessing the web ( at least, from what I can determine )

EDIT: I believe I've found a solution when using the web filter in transparent mode..

In Web Protection > Web Filtering Profiles > Filter Actions create a new rule.
Call it 'Block All' or the name of your choice. 
Choose the radio button for 'Block all content, except as specified below'
Save it.
Choose the tab Filter Profiles
Add profile and call is 'Block All outbound web traffic' or the name of your choice.
in 'Allowed Networks' remove 'internal network' and replace with the machines that you wish to block.
Choose the 'Policies' tab and enable 'Block All'
Save.

You can test in the 'Test Policy' page:
Enter the originating machine IP and a URL that you'd like to test.
You should see "Result: Blocked" in the right pane.

Proxy handles traffic before firewall, so the easiest solution in your case would be to put the hosts into "Skip transparent mode source hosts/nets" (Filtering options ->Misc) and uncheck "Allow HTTP/S traffic for listed hosts/nets".

After that they will drop to your firewall rules.

Vilic, does doing this bypass the proxy entirely for the hosts in 'Source' or just interrupt the flow to allow proxy > firewall > endpoint?

Thanks!

Is this work for standart mode proxy too.

Vilic's comment applies only to Transparent mode.  In Standard mode, the bypass is done in the client's LAN Settings, Advanced.

#2 in Rulz discusses the order of packet processing.

Cheers - Bob

You think make firewall rule to drop traffic from source hosts to internet ?

Summary:

In Standard mode, if no proxy is configured, Firewall will handle client traffic.

• In Transparent mode, if host is listed in "Skip transparent mode source hosts/nets" and  "Allow HTTP/S traffic for listed hosts/nets" is unchecked, Firewall will handle client traffic.

If there is no matching Firewall rule for outbound Web surfing, client will be dropped. In that case you don't have to make explicit Drop firewall rule.

Thanks Vilic for your reply. I'm still trying to wrap my head around this though.
If a host is listed in 'Skip...source' and 'Allow..' is unchecked, does the proxy filter rules still apply to his host or is it bypassed entirely?

Not certain if, when a host is added to this list, if it's: 
Host > Proxy > Firewall
or just
Host > Firewall

Thanks again!