Блог порносайтов через файрвол?

Ты имеешь в виду, что если мы создадим access-list на веб-прокси... или из адресных списков??

[quote]правила перенаправления для порта 53[/code] Что, если у меня, скажем, 1000 клиентов, и их ПК настроены со статическими IP-адресами, шлюзом и DNS. Как перенаправить их DNS-настройки на конкретный DNS-сервер (SCRUB IT) или любой другой DNS-сервер (только кэширующий DNS-сервер)? Надеюсь, вы поняли, о чем я. Еще одна проблема: встроенный кэш DNS на Mikrotik заполняется через несколько часов после очистки кэша. Так что мне нужно правило для перенаправления/перенаправления любых DNS-запросов на отдельный только кэширующий сервер (BIND или DNSMASQ). Что вы предпочитаете: DNSMASQ в качестве только кэширующего сервера для DNS-запросов или BIND9? Ваша помощь была бы очень кстати.

Сначала нельзя блокировать порносайты множеством слов, потому что у нас было много проблем из-за этих правил. Но лучшая идея — составлять чёрный список для IP-адресов или доменов и поддоменов с использованием веб-прокси. Но что, если у нас будет более 3000 правил? Тогда мы исчерпаем оперативную память / процессор. Так что лучшее решение, которое мне удалось найти, — это попробовать Scrubit. Также нам пришлось заставить пользователей использовать наши DNS-серверы и убедиться, что пользователи не добавляют новые прокси вне нашей сети… В итоге согласен с ответом csickles’s. Ghassan

Прозрачный веб-прокси на Mikrotik RouterOS без кэширования. Нужно только создать access-list и отбрасывать все сайты с типичными словами в адресе — придётся немного подкорректировать список, но работает как часы.

Пришли мне список.

Я вам предоставлю все свои результаты. Сначала я попытался добавить более 8000 сайтов (порно – ie.ads – спам – шпионское ПО) в список доступа web-proxy. Мы заблокировали около 8000 вредоносных сайтов без каких-либо жалоб от наших клиентов, но возникла проблема с загрузкой процессора – нестабильный процент, от 20% до 80%. На следующей неделе я решил изменить подход, чтобы добиться лучших результатов: я начал удалять эти сайты из Web-Proxy и затем добавлял новое правило, которое блокировало список dst-адресов (Content Filter), а затем перенаправляло его на наш основной Webserver, который отображал нашим клиентам: "URL, к которому вы пытаетесь получить доступ, был признан небезопасным или содержащим неподобающий контент системой фильтрации контента". В итоге загрузка процессора стала лучше и снова стабильной. Ghassan.

Возможно, проще будет перенаправлять DNS пользователей HotSpot на OpenDNS, у них там есть "детский фильтр", который, по их словам, блокирует более 4 миллионов доменов: http://www.opendns.com/features/adult/

Можно составить длинный список доменов, которые можно блокировать через файрвол, но это не будет эффективно. Я импортировал на x86 с 128 ГБ ОЗУ около 400 000 сайтов, и файрвол просто не пропускает никакой трафик через себя. Пробовал с прокси и списками для блокировки, но это тоже очень тяжело для железа… Если вам это действительно важно, сделайте себе DNS-сервер, чтобы вся информация, поступающая из вашей сети, обращалась к нему для разрешения DNS (даже перенаправляя клиентов через него). И добавьте туда bogon IP-адреса (например, можно добавить 127.0.0.1), список которых можно найти в интернете, и дополните его "новыми" элементами. Может, так получится лучше. Что касается скорости, то точно будет быстрее. DNS-машина будет защищена и счастлива, если она не будет ничего больше делать. (Конечно, какая-то % ваших пользователей не будут рады, пока не получат свой порно… )

Список контроля доступа на werproxy. Просто создай правило, чтобы блокировать любые адреса, содержащие xxx в ir (путь= xxx), и тогда даже поиск в Google по xxx не будет работать.