Блок ssh туннелирующая навигация в моей LAN
Можно включить IMAP и синхронизировать его или с другим сервером IMAP или с maildir файлами.
Некоторые инструменты: offlineimap mailsync imapsync isync. Я использовал offlineimap для IMAP <-> maildir <-> синхронизации IMAP.
Необходимо установить выход (исходящая) фильтрация на брандмауэре для всех портов TCP и UDP кроме, где разрешено требованием (почтовый сервер, прокси-сервер, сервер DNS, и т.д.).
Если у Вас есть пользователи, которые способны к созданию ssh туннели к их домашнему оборудованию затем, Вы не собираетесь быть способными сделать эту технологию использования, если Вы не можете убрать инструменты, которые позволяют им делать это. Все, что можно сделать, вводят в гонку вооружений с ними.
Необходимо будет включить управление - это действительно - их проблема для контакта с.
Basicly, Вы не можете зафиксировать это. Когда там открытый порт, люди могут создать туннели. Я сам использую OpenVPN через tcp 443, потому что это всегда открыто. Альтернативы по другим протоколам, как icmp или DNS.
С достаточно умными пользователями Вы не можете заблокировать части Интернета. (Хорошо, возможно, Китай может ;)) Если Вы не хотите, чтобы рабочие пошли онлайн, блокируете просмотр веб-страниц. Если им нужен он для их задания, необходимо жить с тем, что они могут добраться на Facebook. Последнее средство создает штрафы за всех, кто действительно идет для сидения в Facebook, но я лично не хотел бы работать в компании как этот...
Gravyface является правильным.
Иначе возможно, DPI (Глубокая проверка пакетов) мог иметь шаблон для идентификации туннелей от другого трафика SSH, но это устройство является дорогостоящим.
Возможно, Вы могли использовать TOS (Тип Сервиса), чтобы определить объемный SSH от интерактивного SSH и применить некоторые плохие правила QoS. Вниз сторона - то, что Вы повлияли бы на scp/sftp сессии также.
- Интерактивный TOS SSH = 0x10 (16 десятичных чисел);
- Увеличьте объем SSH (например, SCP, SFTP) TOS = 0x08 (8 десятичных чисел).
Туннели должны упасть оптом.
Это - больше вопроса политики, чем технический. Вы правильно указываете на очевидный метод для пользователей для обхода любых ограничений, которые можно установить для сети технически.
Некоторый процент пользователей не сможет выяснить туннельный подход, и это должно быть легче содержать с черными списками DNS или эквивалентный. С техническими пользователями, которые обошли бы Ваши ограничения, нужно иметь дело в другом методе.
Рассмотрите, почему необходимо заблокировать этот трафик перед перемещением слишком далеко вниз этой дороги.