Есть в сети TMG 2010 используется как прокси сервер. Пользователи сидят в разных вланах, соответственно настроен интервлан роутинг. Таким образом у клиентов прописан шлюз ака адрес влан интерфейса маршрутизатора, а на маршрутизаторе прописан маршрут по умолчанию (то есть адрес прокси).
Клиенты сидят как SecureNAT. Разрешены DNS/HTTP/HTTPS...
Заметил неприятную вещь. Если в настройках браузера прописать сторонний прокси (с портом который разрешен на TMG, а это как пример 80 порт), то ограничения url фильтрации настроенные на TMG2010 не отрабатываются, да и вообще сам факт выхода в инет через другой прокси не есть гуд.

Как закрыть данную дырку пока не очень представляю. Есть у кого идеи?

Нашел выход.
Отключаем маршрут по умолчанию. На клиентах указать прокси-сервер. Остается вопрос с приложениями которые не могут работать через прокси (как пример клиент банк), но это решается пропиской конкретного маршрута для выбранного приложения.
Итог. Даже если в настройках браузера прописать сторонний прокси, трафик никуда не уйдет.
Тем не менее возникла новая проблема с автопоиском прокси. Создал новую тему.