Blockieren von HTTPS- und P2P-Verkehr

Ich habe einen Debian-Server, der auf Gateway-Ebene in einem LAN läuft. Darauf läuft Squid, um Sperrlisten von Websites zu erstellen – zum Beispiel um soziale Netzwerke im LAN zu blockieren. Verwendet auch iptables.

Ich kann mit Squid und Iptables eine Menge machen, aber ein paar Dinge scheinen schwierig umzusetzen.

1) Wenn ich Facebook über die http-URL blockiere, können die Leute trotzdem darauf zugreifenhttps://www.facebook.comweil Squid standardmäßig keinen HTTPS-Verkehr durchlässt. Wenn die Benutzer jedoch die Gateway-IP-Adresse in ihrem Webbrowser als Proxy festlegen, wird auch HTTPS blockiert. Ich kann also eines tun: Mit iptables allen ausgehenden 443-Verkehr löschen, sodass die Benutzer gezwungen sind, einen Proxy in ihrem Browser einzurichten, um HTTPS-Verkehr zu durchsuchen. Gibt es dafür jedoch eine bessere Lösung?

2) Da die Anzahl der blockierten URLs in Squid zunimmt, plane ich, Squidguard zu integrieren. Die guten Squidguard-Listen sind jedoch nicht für die kommerzielle Nutzung kostenlos. Kennt jemand eine gute Squidguard-Liste, die kostenlos ist?

3) Blockieren Sie Yahoo Messenger, Gtalk usw. Es gibt so viele Ports, auf denen diese Instant Messenger-Software funktioniert. Sie müssen viele ausgehende Ports in iptables löschen. Es werden jedoch neue Ports hinzugefügt, sodass Sie diese weiterhin hinzufügen müssen. Und selbst wenn Ihre Portliste aktuell ist, können die Leute immer noch die Webversion von Gtalk usw. verwenden.

4) P2P blockieren. Ich habe bisher nicht herausgefunden, wie das geht.