Блокировка HTTPS и P2P-трафика

У меня есть сервер Debian, работающий на уровне шлюза в локальной сети. Он запускает squid для создания списков блокировки веб-сайтов — например, для блокировки социальных сетей в локальной сети. Также использует iptables.

Я могу делать многое с помощью Squid и Iptables, но некоторые вещи кажутся мне трудновыполнимыми.

1) Если я заблокирую Facebook через их http URL, люди все равно смогут получить доступhttps://www.facebook.comпотому что squid по умолчанию не проходит через https-трафик. Однако, если пользователи устанавливают IP-адрес шлюза в качестве прокси-сервера в своем веб-браузере, то https также блокируется. Поэтому я могу сделать одно — с помощью iptables отбросить весь исходящий трафик 443, так что люди будут вынуждены устанавливать прокси-сервер в своем браузере, чтобы просматривать любой HTTPS-трафик. Однако, есть ли лучшее решение для этого.

2) Поскольку количество заблокированных URL-адресов в squid увеличивается, я планирую интегрировать squidguard. Однако хорошие списки squidguard не бесплатны для коммерческого использования. Кто-нибудь знает хороший список squidguard, который бесплатный.

3) Заблокируйте yahoo messenger, gtalk и т. д. Существует так много портов, на которых работают эти программы обмена мгновенными сообщениями. Вам нужно удалить множество исходящих портов в iptables. Однако добавляются новые порты, поэтому вам нужно продолжать добавлять их. И даже если ваш список портов актуален, люди все равно могут использовать веб-версию gtalk и т. д.

4) Блокировка P2P. Пока не разобрался, как это сделать.