很多公司都會有管理政策, 不想讓員工用公司內的電腦上 MSN , Facebook 等,
如果要買一台 L7 Filter 大概 5,6 位數的經費跑不掉, 可是公司內才不到 10 個人,
難到就沒有更經濟的作法嗎?
有啊, 不過 MIS/IT 人員要善用工具.
工具:
原理:
基本型實作:
以 Linux 架設一台 DNS 主機(IP 為 192.168.1.1 )(技術部份省略), 並設定 Forwarder 到 ISP 的 DNS 主機(舉例: 中華電信為 168.95.1.1).
將 IP 分享器設定: 只有 192.168.1.1 可以對外連線到 DNS .
公司內的其他電腦, DNS 指向 192.168.1.1
這樣就可以做到在 DNS 主機上控管可以查詢的資料, 比如在 DNS 主機上設定:
www.facebook.com A 127.0.0.1
這樣公司內的電腦就連不上 www.facebook.com 了.
進階型實作:
不過各種色情(劃線)社群網站很多啊, 還有 Plurk, Twitter, 微博, balabala, 每一種都要去知道 Domain Name , 再一一列清單會不會太累了? 那就借用其他公司的服務吧. 有間 OpenDNS 公司有提供家用版的鎖定功能. (詳細說明請自行搜尋)
只要先申請好 OpenDNS 帳號, 設定一組 IP (通常是 WAN 端的 IP ), 再把公司內部的 DNS 主機, Forwarder 指向 OpenDNS , 這樣公司 DNS 內沒有防堵的, OpenDNS 上面會有第二層防堵, 就省事多啦.
不過這些都只是技術應用啦, 完整的管理還需要收服人心, 說服員工做事至少到及格程度, 不然大家都改帶智慧型手機上網, 這方法就無效了....
其實現在有很多的 linux fw 可易做到對你所說的網站或服務做過濾....如 ipaop 或日 untangle
直接利用 linux fw 當 gateway ...應該可以做到你要的需求.
感謝補充. 這也是一個可行的方法.
這是幫朋友公司架網站, 剛好是實作上用到的技術.
工具:
用 proxy 的黑白名單也是一個方式, 也可以跟 DNS 過濾搭配使用, 不過最好搭配:
原來還有這種進階作法,感謝slime大大的指導與提醒,~感恩啊
補充一下:
之前也有試過 IPCop/PfSense/Untangle 等主機式軟體防火牆, 後來分析幾個狀況: