Eu tenho um servidor Debian rodando no nível do gateway em uma LAN. Isto executa o squid para criar listas de bloqueio de sites - por exemplo. bloqueando redes sociais na LAN. Também usa iptables.
Sou capaz de fazer muitas coisas com o squid e o iptables, mas algumas coisas parecem difíceis de conseguir.
1) Se eu bloquear o Facebook através do URL http, as pessoas ainda poderão acessarhttps://www.facebook.comporque o squid não passa pelo tráfego https por padrão. No entanto, se os usuários definirem o endereço IP do gateway como proxy em seus navegadores, o https também será bloqueado. Portanto, posso fazer uma coisa: usar o iptables elimina todo o tráfego 443 de saída, para que as pessoas sejam forçadas a definir o proxy em seus navegadores para navegar em qualquer tráfego HTTPS. No entanto, existe uma solução melhor para isso.
2) À medida que o número de URLs bloqueados aumenta no squid, estou planejando integrar o squidguard. No entanto, as boas listas do Squidguard não são gratuitas para uso comercial. Alguém conhece uma boa lista de squidguard que é gratuita.
3) Bloqueie o Yahoo Messenger, gtalk etc. Existem muitas portas nas quais esses softwares de Instant Messenger funcionam. Você precisa descartar muitas portas de saída no iptables. No entanto, novas portas são adicionadas, então você deve continuar adicionando-as. E mesmo que sua lista de portas esteja atualizada, as pessoas ainda poderão usar a versão web do gtalk etc.
4) Bloqueio de P2P. Não consegui descobrir como fazer isso até agora.
Responder1
Para 1) e 2), acho que você deveria dar uma olhada no OpenDNS.
Para 3) e 4), procure no modo inline do snort ou você pode tentar o PacketFence, que eu recomendo se você tiver experiência em rede e Linux (ele faz muito mais do que apenas bloquear p2p).
Responder2
No que diz respeito ao bloqueio de tráfego P2P, dê uma olhada no Packetfence. Existem dois artigos em linux.com. O único artigo (http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control) trata da configuração do Packetfence e do outro (http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence) trata do bloqueio de tráfego indesejado.