Ich habe einen Debian-Server, der auf Gateway-Ebene in einem LAN läuft. Darauf läuft Squid, um Sperrlisten von Websites zu erstellen – zum Beispiel um soziale Netzwerke im LAN zu blockieren. Verwendet auch iptables.
Ich kann mit Squid und Iptables eine Menge machen, aber ein paar Dinge scheinen schwierig umzusetzen.
1) Wenn ich Facebook über die http-URL blockiere, können die Leute trotzdem darauf zugreifenhttps://www.facebook.comweil Squid standardmäßig keinen HTTPS-Verkehr durchlässt. Wenn die Benutzer jedoch die Gateway-IP-Adresse in ihrem Webbrowser als Proxy festlegen, wird auch HTTPS blockiert. Ich kann also eines tun: Mit iptables allen ausgehenden 443-Verkehr löschen, sodass die Benutzer gezwungen sind, einen Proxy in ihrem Browser einzurichten, um HTTPS-Verkehr zu durchsuchen. Gibt es dafür jedoch eine bessere Lösung?
2) Da die Anzahl der blockierten URLs in Squid zunimmt, plane ich, Squidguard zu integrieren. Die guten Squidguard-Listen sind jedoch nicht für die kommerzielle Nutzung kostenlos. Kennt jemand eine gute Squidguard-Liste, die kostenlos ist?
3) Blockieren Sie Yahoo Messenger, Gtalk usw. Es gibt so viele Ports, auf denen diese Instant Messenger-Software funktioniert. Sie müssen viele ausgehende Ports in iptables löschen. Es werden jedoch neue Ports hinzugefügt, sodass Sie diese weiterhin hinzufügen müssen. Und selbst wenn Ihre Portliste aktuell ist, können die Leute immer noch die Webversion von Gtalk usw. verwenden.
4) P2P blockieren. Ich habe bisher nicht herausgefunden, wie das geht.
Antwort1
Für 1) und 2) sollten Sie sich meiner Meinung nach OpenDNS ansehen.
Sehen Sie sich für 3) und 4) den Inline-Modus von Snort an, oder probieren Sie PacketFence aus, das ich empfehle, wenn Sie Netzwerk- und Linux-Erfahrung haben (es kann viel mehr, als nur P2P zu blockieren).
Antwort2
Was das Blockieren von P2P-Verkehr betrifft, sehen Sie sich Packetfence an. Es gibt zwei Artikel auf linux.com. Der eine Artikel (http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control) befasst sich mit der Einrichtung von Packetfence und der andere (http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence) befasst sich mit der Blockierung unerwünschten Datenverkehrs.