Вопросы Теги

Блокирование Facebook и MySpace IP-адресом

Я запустил бы с nfsstat и iostat.

Например, Вы могли бы хотеть смотреть:

watch -n1 'nfsstat -c'
iostat -n 1 1
11
задан 21 July 2011 в 22:56
8 ответов

Кого Вы используете в качестве своего поставщика DNS? Если можно переключиться на кого-то как OpenDNS (это свободно), они обеспечивают автоматический (и очень настраивающийся) блокирование сайтов социальных сетей, веб-почты, взрослое содержание и т.д.

Править: Вы ничего не должны изменять со своим ISP также.

21
ответ дан 2 December 2019 в 21:42
  • 1
    Указанный мой router' s записи DNS в OpenDNS и заблокированный это там (рабочими станциями является GPO, настроенный для использования Router' s DNS). Работает отлично и блокирует ВЕСЬ набор социальной сети. Facebook, MySpace, и т.д., плюс программы чата, и так далее –  SpaceManSpiff 5 August 2009 в 19:23
  • 2
    Что относительно скорости OpenDNS? Это в порядке? –  blank3 27 November 2009 в 10:37
  • 3
    @blank3: Они выполняют набор серверов, распределенных вокруг ' сетевая маршрутизация передачи любому из узлов использования, таким образом, it' s обычно довольно хороший. –  Nicholas Knight 27 November 2009 в 11:13
  1. Соберите журналы веб-действия пользователя.
  2. Перейдите к столу пользователя.
  3. Покажите им журналы и скажите им, если они не прекратят валять дурака на времени компании, то они будут уволены.
  4. Зарегистрируйте событие.

Вы могли бы даже быть продвинуты на управление, если Вы продолжаете это.;)

8
ответ дан 2 December 2019 в 21:42
  • 1
    Ooooh, тактичный... хе-хе-хе. Вопрос, хотя wasn' t действительно ' как делают я мешаю своим пользователям получить доступ к социальной сети sites' я считал его больше как: ' Как делают я отключаю пользовательский веб-доступ к сайтам domain' который мог говорить о штате или гостях, получающих доступ к подобным сайтам. У Вас есть точка хотя, таким образом, нет - от меня ;) –  l0c0b0x 5 August 2009 в 20:52
  • 2
    Затем, возможно, шаг 0 должен быть " Спросите если it' s конечный результат или средство, которое имеет значение " кроме того, на шаге 3, я didn' t говорят, что у Вас не должно было быть такта. Вы могли сказать, что Management сказал Вам препятствовать тому, чтобы они получили доступ к сайтам they' ve, просматривая, и, оставляют их для выяснения то, что это означает. –  Ernie 6 August 2009 в 00:19

На Вашей Cisco asa Вы может сделать следующее:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Я высоко предположил бы, что Вы читаете полное изложение на веб-сайте Cisco.

9
ответ дан 2 December 2019 в 21:42

Решение DNS походит на лучший ответ мне, но знать, что, конечно, они, скорее всего, все еще смогут получить доступ к сайтам через IP-адрес (Вы, вероятно, знаете от уровня Вашего вопроса, но другие, которые находят это на Google, не могли бы быть).

Во-вторых, взгляд на ответ Evan для дискретного ограничения пользователей в запущении определенных программ на компьютерах Windows о том, чтобы мешать пользователям запустить определенные программы. Я думаю, что Вы пытаетесь решить проблему управления с IT. Действительно они должны, вероятно, нанимать людей, которые достаточно ответственны для соблюдения независимо от того, что правила ясно даны понять, и они должны, вероятно, волноваться о них получающий их преуспевшие задачи и вовремя вместо того, какие веб-сайты они посещают в их время простоя. Блокирование этого материала, вероятно, просто собирается распространить негодование всюду по компании. Вы делаете, конечно, должны сделать то, что необходимо сделать, и это, вероятно, даже не ваше дело - но я думаю, что это нужно всегда рассматривать прежде, чем взять этот вид шага, если бы это уже не было.

4
ответ дан 2 December 2019 в 21:42
  • 1
    Да, я собирался сказать. Вопрос " возвратитесь к нам со своим results" приходит на ум, потому что первой вещью, которую люди собираются сделать, является they' ре, собирающееся получить доступ к Facebook на их сотовых телефонах вместо этого. –  Ernie 5 August 2009 в 20:21
  • 2
    Я абсолютно согласился бы, Kyle. Мы решаем проблему управления с IT. К сожалению, проблема не согласовывается управлением, и компания страдает в результате. Это - мой способ справиться из-под из-за ограничений в управлении сверху. –  Jack M. 5 August 2009 в 22:27

У моего клиента была эта точная проблема. Вот то, как мы занялись решением:

  1. Установленный поле IPCop со встроенным прокси Сквида и также установленный URLFilter прибавляют. Весь трафик теперь течет через поле IPCop.

  2. Трудно кодированный общий IP-адрес к их добавочному телефонному номеру для очевидного факта, что это сделало это ПУТЕМ легче идентифицировать преступников. Мы также изменили все настройки сервера DNS для указания на OpenDNS. (Далее фильтрующие варианты возможны с OpenDNS, но оказалось, что они не требовались, в конце концов.)

  3. Удаленный (и запрещенный) использование всех общедоступных клиентов IM, таких как Yahoo Messenger, MSN, AOL, ICQ, и т.д., и т.д. Вместо этого мы установили безопасный сервер XMPP только для компании под названием SecuredIM так, чтобы весь трафик IM был зарегистрирован и, как гарантировали, будет связью от компании к компании только.

  4. SecuredIM также имеет уникальную способность делать снимки экрана рабочих столов каждые XX минуты. Если сотрудник подозревался в том, чтобы лентяйничать (на основе журналов IPCop), изображение стоило 1 000 слов. Выберите снимки экрана, мог быть заархивирован и послан по электронной почте для более позднего обзора (или дисциплинарное действие).

  5. Мы заблокировали Facebook, MySpace, Hulu и два или три других главных злоупотребления через URLFilter на поле IPCop.

  6. Ручной обзор (и больше сайтов, заблокированных при необходимости) приблизительно в течение недели.

  7. Открытый "освобождают/разблокируют" перемещение в течение обеда ( 12:00 - 13:00).

К концу недели компания была общим преобразованием. Производительность увеличилась существенно и никто так, как жаловался.

Как с любой компанией, всегда существует 1-2 мятежника там, которые думают, что это - "игра".

Когда nytimes.com был заблокирован они перешли к другому новостному сайту. Когда это было заблокировано, они выбрали еще один. Другие прекратили перемещаться и подняли хобби, такие как Пасьянс и Минный тральщик, но снимки экрана SecuredIM поймали это (IPCop не мог, очевидно).

В течение двух недель (и несколько обсуждений работодателя/сотрудника включая дисциплинарные меры для упрямых людей) все работало гладко и работало гладко в течение почти двух лет.

URL:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

ПРИМЕЧАНИЕ СТОРОНЫ:

Как забавная история стороны. Приблизительно год спустя электрическая неисправность в здании заставила источник питания на поле IPCop выходить, и это было за 2-3 дня до того, как новое поле IPCop могло быть помещено на месте.

Мы нашли, что потребовалось меньше чем 48 часов для сотрудников для возвращения к их старым/исходным перемещающимся привычкам и производительности для отбрасывания.

Это был вполне общественный опыт.:-)

5
ответ дан 2 December 2019 в 21:42
  • 1
    +1 для потрясающего объяснения. К сожалению, прокси был чем-то, чего мы избегали из-за включенного времени. Это - лучшее решение в конечном счете, но мое время, вероятно, лучше проведено, программируя (который является моим заданием, в конце концов... Don' t спрашивают). –  Jack M. 5 August 2009 в 22:31
  • 2
    О, мой, походит на ужасное место для работы в. –  Karolis T. 16 September 2009 в 17:11

Возможно, вместо того, чтобы блокировать IP-адреса, Вы могли направить имена хостов к localhost, то есть, отредактировать Ваш файл хоста, таким образом, это смотрит что-то как:

www.facebook.com     127.0.0.1

Это остановило бы истинный IP-адрес Facebook, и т.д. когда-либо ищась.

-2
ответ дан 2 December 2019 в 21:42
  • 1
    I' m надеющийся делать это на сетевом уровне, не на отдельных машинах. –  Jack M. 5 August 2009 в 19:13
  • 2
    Или если Вы имеете внутренний сервер DNS, устанавливаете поддельные записи для Facebook и MySpace в здесь –  Sam Cogan 5 August 2009 в 19:13
  • 3
    Мы don' t выполняют наш собственный DNS, мы используем наш ISP' s. –  Jack M. 5 August 2009 в 19:14
  • 4
    Можно ли поместить средство передачи между пользователями и ISP? –  Dan Carley 5 August 2009 в 19:17

Если у Вас нет времени или штата для создания собственного решения, Вы могли бы рассмотреть продукт под ключ.

Мы используем Threatwall eSoft, который делает отличную работу по управлению доступом (через IP или URL). Довольно легкий настроить с флажками для всех общих типов сайтов, плюс способность добавить Ваше собственное и иметь белый список. Они имеют различные пакеты в наличии (наш также фильтрует спам, например).

Не связанный с eSoft, кроме как клиент, Dave

0
ответ дан 2 December 2019 в 21:42

Я проявил другой подход к решению этой проблемы.

Вместо того, чтобы иметь ASA дешифруют трафик, который я создал вперед зона поиска на моем локальном сервере DNS для "facebook.com" и оставил весь пробел записей DNS. Если Вы хотели бы, можно всегда указывать на сайт на внутреннюю веб-страницу, говоря пользователю, они пытаются получить доступ к сайту, который запрещается политикой компании.

Я надеюсь, что это помогает.

2
ответ дан 2 December 2019 в 21:42

Теги

Похожие вопросы