прошу совета о создании шлюза
 

Есть достаточно крупная сеть на 70 машин, все в домене. проблема в том, что ДК включает в себя огромное количество функций. Хочу вынести шлюз на отдельный комп(В силу бесплатности предпочтительнее linux решение). Необходима возможность через AD определять куда пользователю можно, а куда нельзя.
Очень прошу совета, больничка у нас бюджетная, денег на ПО никто не даст

Do.Fr., насколько я помню, Squid может работать с авторизацией в AD, если вас интересуют именно *nix-решения. Гляньте.

Как вариант купить домашний\офисный роутер. На виртуальной машине (или отдельном компе) настроить упомянутый сквид.
Если у вас нет опыта в Linux решениях, то хотя бы интернет будет в случае трудностей с Linux через роутер.
настройка авторизации squid 3.0 в AD по протоколу Kerberos в домене 2008 R2
настройка авторизации squid 2.7 в AD по протоколу NTLM в домене 2008
статьи по настройке ограничений в интернете много. Ограничения будут не через AD, а через сам сквид. В AD будет только авторизация.
Есть графический интерфейс для ограничений - SAMS. Но к сожалению проект закрыт. Возможно, есть аналоги.

Я рекомендую установить на отдельном хосте дистрибутив Vyatta.
Данный дистрибутив является фаервол-ориентированным.
В его состав уже интегрирован SQUID.

Для ознакомления и экспериментов можно скачать с официального сайта виртуальную машину с предустановленной Vyatta.