我有一台在网关上运行的Debian服务器。 这运行鱿鱼创build网站块列表 – 例如。 阻止局域网上的社交networking。 也使用iptables。
我可以用squid和iptables做很多事情,但是有一些东西似乎很难实现。
1)如果我通过他们的http url阻止facebook,人们仍然可以访问https://www.facebook.com,因为默认情况下,squid不会通过httpsstream量。 但是,如果用户在其Web浏览器上将网关IP地址设置为代理,则https也会被阻止。 所以我可以做一件事情 – 使用iptables删除所有传出的443stream量,以便人们被迫在其浏览器上设置代理以浏览任何HTTPSstream量。 但是,有没有更好的解决scheme呢。
2)随着鱿鱼被封锁的网站数量的增加,我正计划整合鱿鱼卫士。 但是,好的squidguard列表不是免费的商业用途。 任何人都知道一个好的鱿鱼卫士清单是免费的。
3)阻止雅虎通,GTalk等。这些即时通讯软件的工作有这么多的端口。 你需要在iptables中删除大量的输出端口。 但是,新的端口被添加,所以你必须不断添加它们。 即使你的端口列表是最新的,人们仍然可以使用networking版的gtalk等。
4)阻止P2P。 到现在为止还没有弄清楚如何做到这一点。
对于1)和2)我认为你应该看OpenDNS。
对于3)和4)看snort的内联模式,或者你可以尝试PacketFence,我推荐你如果你有networking和Linux的经验(它不仅仅是阻止P2P)。
就阻塞P2Pstream量而言,请看Packetfence。 在linux.com有两篇文章。 一篇文章( http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control )涉及设置Packetfence和其他( http://www.linux .com / learn / tutorials / 391433-block-unwanted-traffic-with-packetfence )处理阻止不需要的stream量。