Блокировка HTTPS и P2P-трафика

Блокировка HTTPS и P2P-трафика

У меня есть сервер Debian, работающий на уровне шлюза в локальной сети. Он запускает squid для создания списков блокировки веб-сайтов — например, для блокировки социальных сетей в локальной сети. Также использует iptables.

Я могу делать многое с помощью Squid и Iptables, но некоторые вещи кажутся мне трудновыполнимыми.

1) Если я заблокирую Facebook через их http URL, люди все равно смогут получить доступhttps://www.facebook.comпотому что squid по умолчанию не проходит через https-трафик. Однако, если пользователи устанавливают IP-адрес шлюза в качестве прокси-сервера в своем веб-браузере, то https также блокируется. Поэтому я могу сделать одно — с помощью iptables отбросить весь исходящий трафик 443, так что люди будут вынуждены устанавливать прокси-сервер в своем браузере, чтобы просматривать любой HTTPS-трафик. Однако, есть ли лучшее решение для этого.

2) Поскольку количество заблокированных URL-адресов в squid увеличивается, я планирую интегрировать squidguard. Однако хорошие списки squidguard не бесплатны для коммерческого использования. Кто-нибудь знает хороший список squidguard, который бесплатный.

3) Заблокируйте yahoo messenger, gtalk и т. д. Существует так много портов, на которых работают эти программы обмена мгновенными сообщениями. Вам нужно удалить множество исходящих портов в iptables. Однако добавляются новые порты, поэтому вам нужно продолжать добавлять их. И даже если ваш список портов актуален, люди все равно могут использовать веб-версию gtalk и т. д.

4) Блокировка P2P. Пока не разобрался, как это сделать.

решение1

Для пунктов 1) и 2) я думаю вам следует рассмотреть OpenDNS.

Для пунктов 3) и 4) рассмотрите встроенный режим snort или попробуйте PacketFence, который я рекомендую, если у вас есть опыт работы с сетями и Linux (он делает гораздо больше, чем просто блокирует p2p).

решение2

Что касается блокировки P2P-трафика, посмотрите на Packetfence. На linux.com есть две статьи. Одна статья (http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control) занимается настройкой Packetfence, а другой (http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence) занимается блокировкой нежелательного трафика.

Связанный контент