主页 / server / 问题 / 18898
Accepted
adopilot
Asked: 2009-06-04 08:17:34 +0800 CST

阻止社交网站的最佳做法

  • 772

在我们公司,我们有大约 100 台可以上网的工作站,从使用互联网做私人工作和在社交网站上浪费时间的角度来看,日常情况越来越糟糕。

心胸开阔,我不喜欢屏蔽 Facebook、YouTube 和其他类似网站,但我的同事每天都没有完成他们的任务,每当我查看他们的显示器时,他们正在运行 Internet Explorer 或 Mozilla Firefox,聊天诸如此类的事情。另一方面,当我们的互联网访问速度非常低时,我想阻止 YouTube。

以下是我的问题:

  • 其他公司会屏蔽社交网站吗?
  • 我是否需要专用设备,例如硬件防火墙或超级昂贵的路由器?或者我可以用我现有的 FreeBSD 6.1 自制路由器来做到这一点,它有两个 LAN 卡并将 NAT 配置为像路由器一样工作?

我试图使用ipfw和 routerfirewall来做到这一点,但没有成功。我的代码如下所示:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

我能做些什么来解决这个问题?

firewall freebsd webfilter

23 个回答

  1. Best Answer

    其他公司会屏蔽社交网站吗?

    是的,但这并不意味着这是一个好主意。《Predictably Irrational 》一书有一个有趣的讨论和几项研究的链接,这些研究基本上表明,如果你阻止少量的个人使用,它实际上会降低你的工作效率。如果人们认为他们的工作场所友好且像家一样,他们更有可能在家工作超过 40 小时。

    如果一个人造成问题,最好与该人合作,然后使用技术解决方案来简单地杀死破坏事物。技术并不能替代实际工作的经理。

    大多数过滤器很容易被绕过,你真的应该尽量避免与你的同事进行军备竞赛。在某些时候,你只会让你的防火墙变得如此敌对,他们将无法完成实际的工作,而且你可能仍然没有阻止防火墙周围的所有可能方式。

    我是否需要专用设备,例如硬件防火墙,超级昂贵的路由器,或者我可以使用我现有的 FreeBSD 6.1 自制路由器,配备两个 lan 卡,并将 nat 配置为像路由器一样。

    您可以安装 Squid+Squidguard 并强制所有流量通过代理。您可以设置 ACL 来阻止您不喜欢的网站。

    我建议您将 squid 设置为代理,没有 ACL 来阻止任何内容,只需查看日志即可。强制所有人通过代理(通知)。然后设置类似 SARG 的东西来构建报告。如果某人确实有问题,那么拥有一份好的报告将为员工的主管提供证据,证明他们需要开始解决问题。

    • 16

  2. 这应该通过你的纪律程序来处理,而不是你的防火墙。这是针对非技术问题的技术解决方案。

    • 15

  3. 你知道 RIAA 和 MPAA 是如何发布这些疯狂的数字,说明盗版花费了他们多少钱,基于这样一种愚蠢的假设,即如果盗版是不可能的,每个单位的盗版内容都会被购买?

    你假设如果在社交媒体上“浪费”时间是不可能的,那么你会做同样的事情,那么这些时间将花在做有成效的工作上。但除非这些是您所说的数据录入文员,否则我们可能谈论的是在工作中具有某种创造性/知识工作者方面的人,这意味着他们的生产力是一个看起来不一样的复杂事物就像装配线上的小部件捻线机一样。他们对社交媒体的使用可能很容易成为他们生产力的关键组成部分,攻击它可能是攻击使他们能够赚钱的东西。

    这甚至在我们将员工视为连锁帮派的囚犯对士气的影响之前。

    只是说,伙计。

    • 12

  4. 我们只会在浏览影响生产力的情况下屏蔽网站,并且我们接受当地管理层对此问题的看法(即使我们怀疑他们夸大其词)。

    我们使用代理服务器阻止网站;通常是 SQUID,它应该在您的防火墙上运行良好。我们在防火墙上设置了一条规则,阻止除服务器和代理服务器之外的所有主机的出站端口 80(有时是 443)。然后我们使用组策略在用户的 Internet Explorer 中配置代理。

    一些经理要求我们提供使用情况统计信息。大多数没有。

    JR

    • 8

  5. 使用OpenDNS。您应该能够使用它来阻止社交网站。否则,您应该考虑使用具有过滤功能的代理服务器。

    • 4

  6. 阻止事情的最好方法是让经理四处走动,花更多时间靠近那些没有完成事情的人。如果人们完成了工作,您为什么要关心他们访问了哪些网站或花费了多少时间?如果他们不这样做,就把它们写下来,让他们继续前进。

    • 4

  7. 用于限制流的数据包整形为我们的网络带来了很多好处。由于 3 个人拉 YouTube 视频不会干扰 MSDN 下载,因此没有人像社交网站那样关心。

    在决定解决方案之前,请务必找出真正的痛点。

    • 2

  8. 大多数人错误地认为网络过滤的目的是一心一意的——它不仅仅是“关于”生产力——尽管我已经看到了许多现实世界的例子,当应用温和的控制时,产量会大大增加。我为网络过滤供应商 SmoothWall 工作 - 所以虽然我可能有一些偏见,但我也很有经验!

    这些天,Websense 甚至在宣传“说是”——我们 (SmoothWall) 同意。你需要宽容。使用软块(只是提醒这是“非政策”或时间段是放松事情的两种方式。

    无论如何......正如我所说......不仅仅是生产力 - 我看到了由于滥用社交网络,滥用成人网站以及在这些情况发生时缺乏证据而引起的人力资源问题。

    最后......值得指出的是,并不是每个人的行为都像我们期望的那样 - 不是每个人都有“系统管理员/技术人员的心态”并且会更加努力,因为你给了他们面子书......害怕。

    • 1

  9. 您正试图向后阻止它。

    你不应该关心 TCP/IP 去主机,因为你有它。您应该阻止传入流量,即:

    ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

    或者只是阻止网络流量:

    ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

    但是,这不会阻止所有内容,因为地址www.youtube.com会转换为您的 DNS 找到的第一个 IP 地址,并且您的阻止会被负载平衡所消除。如果你想变得讨厌,你可以阻止整个网络。

    • 1

  10. 如果您的员工选择浪费时间而不是做他们的工作,为什么要取消他们可以浪费时间的数千种方法中的一种呢?

    也许问题出在人们认为他们可以以这种方式对待员工的工作环境中。

    • 1

相关问题