我想阻止人们绕过 Opendns 和 squid 代理阻止,使用 ssh 隧道连接到他们家里的 PC 来访问 Facebook。我知道我可以通过与老板交谈来解决这个问题,但我还想更好地了解技术上如何实现。
答案1
您需要在防火墙上为所有 TCP 和 UDP 端口设置出口(出站)过滤,除非要求允许(邮件服务器、代理服务器、DNS 服务器等)。
答案2
如果您的用户能够创建通往家用设备的 SSH 隧道,那么您将无法使用技术做到这一点,除非您可以夺走允许他们这样做的工具。您所能做的就是与他们展开军备竞赛。
你必须让你的管理层参与进来——这确实是他们要处理的问题。
答案3
基本上,你无法解决这个问题。当有一个开放端口时,人们可以创建隧道。我自己通过 tcp 443 使用 OpenVPN,因为它始终处于开放状态。替代方案是通过其他协议,如 icmp 或 dns。
如果用户足够聪明,你就无法封锁部分互联网。(好吧,也许中国可以 ;))如果你不想让员工上网,就封锁他们的网页浏览。如果他们需要上网,你就必须接受他们可以上网的事实。最后的手段是惩罚所有上 Facebook 的人,但我个人不想在这样的公司工作……
答案4
这更多的是政策问题,而不是技术问题。您正确地指出了一种显而易见的方法,可以让用户绕过您在技术上对网络施加的任何限制。
一定比例的用户将无法弄清楚隧道方法,使用 DNS 黑名单或类似方法应该更容易控制这些用户。绕过限制的技术用户需要用不同的方法处理。
在沿着这条路走得太远之前,请考虑一下为什么你需要阻止这种交通。