O firewall da estação de trabalho do Windows ignora cegamente qualquer coisa que tenha passado pelo ICS. A configuração do firewall se aplica apenas à máquina local. Você precisa configurar firewalls em todos os computadores que usam a Internet via ICS ou você precisa de um servidor "real" (ou de um firewall / roteador decente, como pFsense , por exemplo ) onde isso pode ser feito. BTW, se houver alguém na sua rede que saiba coisas de TI, eles podem contornar sua restrição usando o túnel criptografado via máquina externa. A melhor solução é usar o roteador / firewall que pode fazer proxy com autorização. Desta forma, você pode bloquear todas as conexões de saída e forçar os usuários a serem autorizados através de proxy a ficarem online, além de ser muito mais fácil assistir tráfego externo pelos usuários e detectar conexões ilegais no firewall que tentam picar NAT (com ajuda de túneis IPv6) como teredo) para contornar suas regras.