小企業利用自架 DNS + OpenDNS 管理公司員工可上網站

slime 2012-08-31 13:03:16 ‧ 7284 瀏覽

分享至

很多公司都會有管理政策, 不想讓員工用公司內的電腦上 MSN , Facebook 等,
如果要買一台 L7 Filter 大概 5,6 位數的經費跑不掉, 可是公司內才不到 10 個人,
難到就沒有更經濟的作法嗎?
有啊, 不過 MIS/IT 人員要善用工具.

工具:

IP 分享器一台(至少有 port 過濾功能)
內部 DNS 主機一台(以 Pentium !!! 等級 + 512M 架 Linux 即可, 這台順便當 NAS )

原理:

上網最重要的是有 IP , 並透過 DNS 查詢到該網路主機的 IP .
既然如此, 只要 DNS 回報無此 IP , Client 就無法向該主機連線了.

基本型實作:

以 Linux 架設一台 DNS 主機(IP 為 192.168.1.1 )(技術部份省略), 並設定 Forwarder 到 ISP 的 DNS 主機(舉例: 中華電信為 168.95.1.1).
將 IP 分享器設定: 只有 192.168.1.1 可以對外連線到 DNS .
公司內的其他電腦, DNS 指向 192.168.1.1
這樣就可以做到在 DNS 主機上控管可以查詢的資料, 比如在 DNS 主機上設定:

www.facebook.com A 127.0.0.1

這樣公司內的電腦就連不上 www.facebook.com 了.

進階型實作:
不過各種色情(劃線)社群網站很多啊, 還有 Plurk, Twitter, 微博, balabala, 每一種都要去知道 Domain Name , 再一一列清單會不會太累了? 那就借用其他公司的服務吧. 有間 OpenDNS 公司有提供家用版的鎖定功能. (詳細說明請自行搜尋)
只要先申請好 OpenDNS 帳號, 設定一組 IP (通常是 WAN 端的 IP ), 再把公司內部的 DNS 主機, Forwarder 指向 OpenDNS , 這樣公司 DNS 內沒有防堵的, OpenDNS 上面會有第二層防堵, 就省事多啦.

不過這些都只是技術應用啦, 完整的管理還需要收服人心, 說服員工做事至少到及格程度, 不然大家都改帶智慧型手機上網, 這方法就無效了....

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 則留言

willhomwtw

iT邦研究生 5 級 ‧ 2012-08-31 14:01:40

其實現在有很多的 linux fw 可易做到對你所說的網站或服務做過濾....如 ipaop 或日 untangle
直接利用 linux fw 當 gateway ...應該可以做到你要的需求.

回應 1
檢舉

slime iT邦大師 1 級 ‧ 2012-08-31 15:43:50 檢舉

感謝補充. 這也是一個可行的方法.

這是幫朋友公司架網站, 剛好是實作上用到的技術.

登入發表回應

gssbn0088

iT邦新手 3 級 ‧ 2012-08-31 14:02:29

工具:

IP 分享器一台(至少有 port 過濾功能)
內部proxy主機一台(以 Pentium !!! 等級 + 512M 架 Linux+squid 即可)
原理:
區域電腦內的瀏覽器設定proxy設定指向proxy伺服器及連接埠
利用黑名單方式可以將網站、網頁列入，即可防止連線<-----請參考鳥哥的proxy設定網頁
利用squid的規則設定可以限定什麼IP、什麼時間可上網、什麼網站/頁可以連線
基本型實作:
以 Linux 架設一台proxy主機(IP 為 192.168.1.1 )及連接埠 3128, 並設定 Forwarder 到 ISP 的 DNS 主機(舉例: 中華電信為 168.95.1.1).
將 IP 分享器設定: 只有 192.168.1.1 可以對外連線到 DNS .
公司內的其他電腦瀏覽器設定proxy設定指向proxy伺服器如192.168.1.1及連接埠 3128
這樣就可以做到在proxy主機上控管可以查詢的資料

回應 2
檢舉

slime iT邦大師 1 級 ‧ 2012-08-31 15:46:36 檢舉

用 proxy 的黑白名單也是一個方式, 也可以跟 DNS 過濾搭配使用, 不過最好搭配:

自動把 80 與 443 轉向 proxy (或其他達到 transparent proxy )
使用自動 proxy 組態.
架構上會稍微大一點點.

gssbn0088 iT邦新手 3 級 ‧ 2012-09-01 08:23:14 檢舉

原來還有這種進階作法，感謝slime大大的指導與提醒，～感恩啊

登入發表回應

insider

iT邦研究生 5 級 ‧ 2012-08-31 16:37:33

Untangle should work!

回應
檢舉

登入發表回應

slime

iT邦大師 1 級 ‧ 2012-09-02 02:13:59

補充一下:
之前也有試過 IPCop/PfSense/Untangle 等主機式軟體防火牆, 後來分析幾個狀況:

主機要有 Mail Server / NAS / 自動備份 NAS / 產出 Mail Log 給主管等功能.
要有 port mapping 到 MailServer / 對內有 DHCP / DNS 等服務.
(非必要)若要架 proxy 最好有 Transparent proxy 或有提供 proxy.pac
要有無線網路
以這樣的需求, 大概可以架構:
a. 全能主機*1(含proxy) + 無線基地台*1
b. (MailServer+NAS)*1 + 無線IP分享器*1 (放棄 proxy)
而從技術上考慮:
如果主機有任何狀況(特別是硬碟), 需要同時處理 OS + 資料, 若還要加上網路較複雜, 如果以全功能主機上, 網卡沒有標示, 若接錯線的故障排除也會增加複雜度.
若網路以無線 IP 分享器, 故障替換較快, 市場替換品也多.
剛好朋友公司申請光纖, 電信業者有送 2WAN 無線基地台.
朋友公司是小公司, 無專職MIS/IT.
所以最後決定採用單主機 + 電信業者送的無線基地台.