natd, ipfw, squid, dansguardian

[Dan Lukes]

michal_sjx wrote:
> Vytipoval bych si seznam anonymnich proxy s 443 (sorbs.net databaze a
> podobne). Na FW bych blokoval odchozi packey na takove adresy:443.
> Vysledkem bude, ze https na seznam, banky, vodafone .. pujde hladce a v
> pripade, ze se nekdo bude chtit pripojit na zablokovanou proxi, nedocka se.
> Myslim, ze se bude jednat o jednotky uzivatelu co se pripojuji na
> anonymni https proxy a tak neni problem je nejakou dobu sledovat(traffik).

	V jedne financni instituci resim v priuncipu stejny problem (uzivatele 
maji zakazano pouzivat MSIE, krome nekolika vyjmenovanych destinaci) a 
tak mam dojem, ze by to mohlo jit podobne - i bez proxy, kdyz na to prijde.

	To se proste odchozi provoz zakaze vyjma povolenych cilovych adres - 
takze zamestnanec, ktery prijde na to, ze se nekam spojit nemuze si 
rekne, a do seznamu se prida dalsi destinace. Ono toho nebude tolik. 
Navic, dokonce i v pripade, ze s tim nebudete spojovat vubec zadne 
komplikace (jako treba zkoumani na co ten zamestnanec spojeni na prave 
tuto cilovou adresu potrebuje) dojde k ucricemu omezeni provozu (o 
nektere cilove adresy si proste nikdo nerekne ani za techto liberalnich 
podminek).

	Takze uz mate dve reseni - netransparentni proxy (s pripadnou 
automatickou konfiguraci), coz bych ja preferoval, a primy provoz s 
globalne udrzovanym seznamem cilovych destinaci ...

					Dan