我很高兴能使用 opendns 来屏蔽我网络上的 Facebook。然后我开始思考绕过这一屏蔽的技巧,当然,我在 serverfault 上读到了如何屏蔽 Facebook 的 IP 地址。但如果有人使用 tor 或 freegate 呢?
我能做些什么?
答案1
你遇到的其实不是技术问题,而是管理问题,不要试图把它变成技术问题。你需要有一个可接受的使用政策,明确定义用户可以使用组织提供的资源做什么和不能做什么。这还应该详细说明可以采取哪些步骤来执行 AUP(监控使用情况/审计机器等)以及违反 AUP 的制裁是什么。
答案2
我认为你需要问为什么要屏蔽 Facebook?我假设这是一个公司网络,而不是家庭网络。为什么你应该允许员工使用 myspace、twitter 和 amazon、friends-reunited 等,但不允许使用 Facebook?这种公司内容过滤(我工作的组织也这样做)几乎总是毫无意义的。它会试图屏蔽它认为粗鲁的网站。为什么?我是一个成年人(大多数时候),我可以应付粗鲁的言语。我的组织试图阻止网络邮件,以防止我们通过电子邮件将信息发回家,但它不会阻止我的 ntl 网络邮件,因为设置规则的人没有想到这一点。它也不会阻止我的个人网络邮件服务器。
我完全赞成公司监控员工的网络使用情况,并制定管理政策来说明什么是可接受的网络使用情况,包括工作相关的和个人相关的。但自动阻止网站很烦人(尤其是在误报的情况下),最终实际上不会阻止任何重大事件。省去麻烦,确保代理病毒扫描内容和下载,并且防火墙配置良好,将监督用户的互联网习惯的工作交给他们的经理。
答案3
你越努力阻止它,用户就越努力尝试访问它。
答案4
好吧,首先(除了其他人所说的政策和治理之外),您应该阻止网络上超出要求的出站流量(并且我通常不允许客户端机器在任何地方建立直接 TCP / UDP 连接;当您拥有内部代理服务器时,99% 的时间都没有必要),尤其是 UDP / TCP 53 到外部 DNS 服务器。
我曾使用过第 3 层过滤和 OpenDNS,在很多客户(比如您的客户)那里取得了成功,他们没有把这当作管理问题(事实上是)。但是,如果他们愿意在解释后付钱让我来设置,那就这样吧。
比放弃出站 DNS 更好的方法是设置代理服务器(Squid 是开源/免费的,并且在缓存方面也做得很好;根据您的规模,老化的工作站硬件可能没问题)。
现在,您可以删除从客户端到外部的所有直接 TCP/UDP 连接,并强制每个人都使用代理(透明地,他们甚至不会注意到)。