Назад | Перейти на главную страницу

Блокировка HTTPS- и P2P-трафика

У меня есть сервер Debian, работающий на уровне шлюза в локальной сети. Это запускает squid для создания списков блокировки веб-сайтов, например. блокировка социальных сетей в локальной сети. Также использует iptables.

Я могу делать много вещей с помощью squid & iptables, но некоторые вещи кажутся труднодостижимыми.

1) Если я заблокирую facebook через их http-адрес, люди все равно смогут получить доступ https://www.facebook.com потому что по умолчанию squid не проходит через https-трафик. Однако, если пользователи устанавливают IP-адрес шлюза в качестве прокси в своем веб-браузере, https также блокируется. Таким образом, я могу сделать одно - использование iptables отбросит весь исходящий трафик 443, чтобы люди были вынуждены устанавливать прокси в своем браузере, чтобы просматривать любой трафик HTTPS. Однако есть ли для этого лучшее решение.

2) Поскольку количество заблокированных URL-адресов в squid увеличивается, я планирую интегрировать squidguard. Однако хорошие списки squidguard не бесплатны для коммерческого использования. Кто-нибудь знает хороший бесплатный список кальмаров.

3) Заблокируйте Yahoo messenger, gtalk и т. Д. Есть очень много портов, на которых работают эти программы Instant Messenger. Вам нужно отбросить много исходящих портов в iptables. Однако добавляются новые порты, поэтому вам придется их добавлять. И даже если у вас текущий список портов, люди все равно могут использовать веб-версию gtalk и т. Д.

4) Блокировка P2P. До сих пор не мог понять, как это сделать.

Для 1) и 2) я думаю, вам следует изучить OpenDNS.

Для 3) и 4) изучите встроенный режим snort, или вы можете попробовать PacketFence, который я рекомендую, если у вас есть опыт работы с сетью и Linux (он не только блокирует p2p).

Что касается блокировки P2P-трафика, обратите внимание на Packetfence. На linux.com есть две статьи. Одна статья (http://www.linux.com/learn/tutorials/386610-install-packetfence-for-powerful-network-access-control) занимается настройкой Packetfence, а другой (http://www.linux.com/learn/tutorials/391433-block-unwanted-traffic-with-packetfence) занимается блокировкой нежелательного трафика.