Я, к счастью, использовал opendns для блокировки facebook в своей сети. Затем я начал думать о трюках, чтобы обойти эту блокировку, и, конечно, я прочитал здесь на serverfault, как заблокировать IP-адрес facebook. Но если кто-то использует tor или freegate?
Что я могу сделать?
решение1
То, что у вас есть, на самом деле не техническая проблема, это проблема управления, не пытайтесь сделать ее технической проблемой. Вам нужна политика приемлемого использования, которая четко определяет, что пользователи могут и не могут делать с ресурсами, предоставленными вашей организацией. Она также должна подробно описывать, какие шаги могут быть предприняты для обеспечения соблюдения AUP (мониторинг использования/аудит машин и т. д.) и каковы санкции за нарушение AUP.
решение2
Думаю, вам нужно спросить, почему вы пытаетесь заблокировать Facebook? Я предполагаю, что это корпоративная сеть, а не домашняя. Почему вы должны разрешать своим сотрудникам использовать MySpace, Twitter и Amazon, Friends-Reunited и т. д., но не Facebook? Такая корпоративная фильтрация контента (организация, в которой я работаю, тоже так делает) почти всегда бесполезна. Она пытается блокировать веб-сайты, которые считает грубыми. Почему? Я взрослый человек (большую часть времени), я могу справиться с грубыми словами. Моя организация пытается блокировать веб-почту, чтобы мы не могли отправлять информацию домой по электронной почте, но она не блокирует мою веб-почту ntl, потому что человек, устанавливающий правила, не подумал об этом. Она также не блокирует мой личный сервер веб-почты.
Я полностью поддерживаю компании, контролирующие использование веб-сайтов сотрудниками, и имеющие политику управления, которая определяет, что считается приемлемым использованием веб-сайтов, как связанным с работой, так и личным. Но автоматическая блокировка сайтов раздражает (особенно в случае ложного срабатывания) и в конечном итоге на самом деле не предотвратит ничего существенного. Избавьте себя от лишних хлопот, убедитесь, что прокси-вирус сканирует контент и загрузки, а ваш брандмауэр правильно настроен, а контроль за интернет-привычками ваших пользователей оставьте их менеджерам.
решение3
Чем сильнее вы пытаетесь его заблокировать, тем сильнее пользователи будут пытаться получить к нему доступ.
решение4
Ну, для начала (помимо того, что все остальные говорили о политике и управлении), вам следует заблокировать исходящий трафик в вашей сети за пределами того, что требуется (а я обычно не разрешаю клиентским машинам устанавливать прямые TCP/UDP-подключения где бы то ни было; в 99% случаев в этом нет необходимости, если у вас есть внутренний прокси-сервер), особенно UDP/TCP 53 к внешним DNS-серверам.
Я использовал фильтрацию уровня 3 и OpenDNS вместе с большим успехом у клиентов (таких как ваш), которые не рассматривают это как проблему управления (каковой она является). Однако, если они хотят заплатить мне, чтобы я пришел и настроил это, объяснив это, то пусть будет так.
Даже лучше, чем отключать исходящий DNS, будет настроить прокси-сервер (Squid — это бесплатный программный продукт с открытым исходным кодом, который также хорошо справляется с кэшированием; в зависимости от размера вашей сети, устаревшее оборудование рабочей станции, скорее всего, подойдет).
Теперь вы можете разорвать все прямые TCP/UDP-соединения от клиентов наружу и заставить всех использовать прокси (прозрачно, и они даже не заметят).