如題
我是公司的MIS
人事要求我把facebook封鎖不給員工使用
我就照著這篇
http://www.mobile01.com/topicdetail.php?f=110&t=1257498&p=7
第67個回覆的方法照著用
用好之後 我在server上ping facebook是ping到他有成功轉到我設定的ip
但我用我的筆電 (區網內的)
還是可以上facebook ping是ping到facebook的IP
我們是用2003server做DHCP 我這樣設定DNS請問有哪裡有錯嗎?
為什麼區網內的都沒套用到設定?
用 DNS 無法完全擋,因為以下的方式就可以跳過:
1.設非公司的 DNS:您的電腦還 ping 到 facebook,就可能是因為設外部的DNS。解決之道是,公司的防火牆要擋內部使用者設公司外的DNS,即是把內部連到外部的tcp/udp 53 port 都擋起來,而強迫使用者用公司的DNS。
2.如果知道某domain,或自行申請的domain,設其他名稱指到 facebook 的IP,用那名稱連出去,就輕易避過 公司DNS的限定。
3.在自己的電腦設 hosts 的檔案,設其他名稱,指到 facebook 的 IP,這樣也一樣避開。
之前站上有討論過擋 facebook 的問題,
擋 IP 範圍,或用網路設備來限定流量是有效的解決方式:
請問 有邦友阻擋 Facebook 成功嗎?
阻擋Facebook流量簡單分享-轉載
雖然這個方法對一些懂的人不是很有用,不過公司內懂的人畢竟不多就是了
而且 User Group 是不能自己設 DNS 的,所以大致來說還算有用
比較麻煩的是 hosts 和 proxy XDDD
proxy的確是不易擋,曾設想:公司只可出去 port 80,那就不能設 非 port 80 的 proxy。那麼如果有 port 80 的 proxy,就可以跳出去了。
如果公司有設 transparent proxy ,是不是也無法擋 port 80 的 proxy?
如果 我在公司外有個 ssh server 用 port 80 的話,公司又有 transparent proxy,我這樣是不是一樣連到 port 80 的 ssh server ?
我知道有許多方法可以檔
但我檔那個只是要對付一些不太懂網路的內勤人員
至於那些RD我就管不到了
畢竟我擋了 如果他還是在玩 被人事我想是他家的事情
因為小弟公司人數不到15人 所以不用鎖到這麼誇張
而且我比較想知道 為何我設定好只套用在server上ˊˋ
要確定 Client 的電腦僅使用你的 DNS Server
Client 端有時會有 DNS Cache,可下 ipconfig /flushdns 來清除
DHCP 發配的 DNS 是否是你的 DNS Server
題外話,#67 有個缺點,就是如果 User 可設定別的 DNS 就可以繞出去,兩個作法: a. 不開放 User 可改 Tcp/ip 內容,b. 記得在防火牆阻擋非經授權的 DNS 流量。
(不過還有是 Proxy 問題就是了 XD)
以下是 iThome online 上的一篇報導,可以參考
如何阻擋Facebook
而我是利用DNS 查到 Facebook 有兩大段ip
直接將兩段Facebook IP 擋掉
69.63.176.0/20
204.15.20.0/22
1.除非限制使用者無法修改網路設定、使用proxy,否則用dns是無法阻擋的
2.既然人數不多,且確認能維護hosts、用戶網路設定,則可以(網頁proxy還是擋不了)
3.目前最佳方式:限制流量、上班時間封鎖(需使用防火牆,例如URL過濾)
我之前的工作紀錄,參考看看,你可以用,因為都是使用IP封鎖