iT邦幫忙

0

用DNS封鎖facebook的問題

nitozy 2009-10-27 18:10:3934682 瀏覽

如題

我是公司的MIS

人事要求我把facebook封鎖不給員工使用

我就照著這篇

http://www.mobile01.com/topicdetail.php?f=110&t=1257498&p=7

第67個回覆的方法照著用

用好之後 我在server上ping facebook是ping到他有成功轉到我設定的ip

但我用我的筆電 (區網內的)

還是可以上facebook ping是ping到facebook的IP

我們是用2003server做DHCP 我這樣設定DNS請問有哪裡有錯嗎?

為什麼區網內的都沒套用到設定?

24
逮丸逮丸
iT邦大師 1 級 ‧ 2009-10-28 07:48:13
最佳解答

用 DNS 無法完全擋,因為以下的方式就可以跳過:
1.設非公司的 DNS:您的電腦還 ping 到 facebook,就可能是因為設外部的DNS。解決之道是,公司的防火牆要擋內部使用者設公司外的DNS,即是把內部連到外部的tcp/udp 53 port 都擋起來,而強迫使用者用公司的DNS。
2.如果知道某domain,或自行申請的domain,設其他名稱指到 facebook 的IP,用那名稱連出去,就輕易避過 公司DNS的限定。
3.在自己的電腦設 hosts 的檔案,設其他名稱,指到 facebook 的 IP,這樣也一樣避開。

之前站上有討論過擋 facebook 的問題,
擋 IP 範圍,或用網路設備來限定流量是有效的解決方式:
請問 有邦友阻擋 Facebook 成功嗎?
阻擋Facebook流量簡單分享-轉載

wonton iT邦高手 6 級 ‧ 2009-10-28 07:56:41 檢舉

雖然這個方法對一些懂的人不是很有用,不過公司內懂的人畢竟不多就是了
而且 User Group 是不能自己設 DNS 的,所以大致來說還算有用
比較麻煩的是 hosts 和 proxy XDDD

proxy的確是不易擋,曾設想:公司只可出去 port 80,那就不能設 非 port 80 的 proxy。那麼如果有 port 80 的 proxy,就可以跳出去了。
如果公司有設 transparent proxy ,是不是也無法擋 port 80 的 proxy?
如果 我在公司外有個 ssh server 用 port 80 的話,公司又有 transparent proxy,我這樣是不是一樣連到 port 80 的 ssh server ?

nitozy iT邦新手 5 級 ‧ 2009-10-28 10:23:43 檢舉

我知道有許多方法可以檔
但我檔那個只是要對付一些不太懂網路的內勤人員
至於那些RD我就管不到了
畢竟我擋了 如果他還是在玩 被人事我想是他家的事情

因為小弟公司人數不到15人 所以不用鎖到這麼誇張

而且我比較想知道 為何我設定好只套用在server上ˊˋ

16
wonton
iT邦高手 6 級 ‧ 2009-10-28 07:52:52
  1. 要確定 Client 的電腦僅使用你的 DNS Server

  2. Client 端有時會有 DNS Cache,可下 ipconfig /flushdns 來清除

  3. DHCP 發配的 DNS 是否是你的 DNS Server

  4. 題外話,#67 有個缺點,就是如果 User 可設定別的 DNS 就可以繞出去,兩個作法: a. 不開放 User 可改 Tcp/ip 內容,b. 記得在防火牆阻擋非經授權的 DNS 流量。
    (不過還有是 Proxy 問題就是了 XD)

14
jackytsao
iT邦研究生 1 級 ‧ 2009-10-28 09:41:01

以下是 iThome online 上的一篇報導,可以參考
如何阻擋Facebook
而我是利用DNS 查到 Facebook 有兩大段ip
直接將兩段Facebook IP 擋掉
69.63.176.0/20
204.15.20.0/22

14
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2009-10-28 10:43:40

1.除非限制使用者無法修改網路設定、使用proxy,否則用dns是無法阻擋的
2.既然人數不多,且確認能維護hosts、用戶網路設定,則可以(網頁proxy還是擋不了)
3.目前最佳方式:限制流量、上班時間封鎖(需使用防火牆,例如URL過濾)
我之前的工作紀錄,參考看看,你可以用,因為都是使用IP封鎖

http://bigcandy.blog.ithome.com.tw/post/2158/40226

10
lirick42
iT邦新手 1 級 ‧ 2009-10-29 13:18:04

我在想說,是否可以去鎖各類遊戲的開發商伺服器?

這樣會比鎖臉書來的容易?

例如把6wave給鎖掉?

10
jones0227
iT邦新手 4 級 ‧ 2009-10-29 20:25:57

建議還是有WEB Filter的相關設備會比較能夠解決你的問題!
因為百密還是一疏呢~

我要發表回答

立即登入回答