我在 LAN 上有一个在网关级别运行的 Debian 服务器。它运行 squid 来创建网站阻止列表 - 例如,阻止 LAN 上的社交网络。还使用 iptables。
我可以用 squid 和 iptables 做很多事情,但有些事情似乎很难实现。
1)如果我通过其 http url 阻止 Facebook,人们仍然可以访问https://www.facebook.com因为 squid 默认不通过 https 流量。但是,如果用户在其 Web 浏览器上将网关 IP 地址设置为代理,则 https 也会被阻止。所以我可以做一件事 - 使用 iptables 丢弃所有传出的 443 流量,这样人们就被迫在其浏览器上设置代理才能浏览任何 HTTPS 流量。但是,有没有更好的解决方案呢?
2) 随着 squid 中被阻止的 URL 数量增加,我计划集成 squidguard。但是,好的 squidguard 列表不能免费用于商业用途。有谁知道哪个好的 squidguard 列表是免费的吗?
3) 阻止 Yahoo Messenger、gtalk 等。这些即时通讯软件需要使用很多端口。您需要在 iptables 中删除大量传出端口。但是,新端口不断增加,因此您必须不断添加它们。即使您的端口列表是最新的,人们仍然可以使用 gtalk 等的 Web 版本。
4) 阻止 P2P。到现在还没搞清楚该怎么做。
答案1
对于 1) 和 2),我认为您应该研究一下 OpenDNS。
对于 3)和 4),请查看 snort 的内联模式,或者您可以尝试 PacketFence,如果您有网络和 Linux 经验,我推荐您使用它(它的功能远不止阻止 p2p)。
答案2
至于如何阻止 P2P 流量,请查看 Packetfence。linux.com 上有两篇文章。一篇文章(http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control) 处理设置 Packetfence 和其他 (http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence)负责阻止不必要的流量。