Нужен бесплатный файрволл для блокировки сайтов по списку. Что-то ничего не нашел, подходящего. Подскажите какой нибудь простенький, и чтобы настройки можно было запаролить.

отредактируй файл hosts

Squid

iptables + ufw + squid + squidguard

(4)+ на отдельной Ubuntu-машине

(0)Вариантов куча.
Все зависит от того как именно блокировать.
От кого? От ребенка, или человека несведущего в IT, или чтобы никто гарантированно не смог открыть.
Ну и сколько ты на это дело готов потратить в смысле денег на покупку или времени на настройку софта.


Самое простое перечислить ненужные сайты в хостс, указав в качестве айпишника локалхост.
Чуть посложнее, но надежнее - сделать то же самое с помощью штатного файервола виндовс, там и запаролить можно.

(0) Любой роутер это умеет.

(0) Обратись со своим списком в Роскомнадзор - это файрвол всея Руси :)

(8)А смысл? Они блокируют не лучше чем запись в хостс.
Т.е такая блокировка только для пятилетнего ребенка, или светловолосой домохозяйки действует. Остальные прекрасно ходят по этим сайтам.

(9) ну, не так уж там все легко. Навскидку я вижу только три варианта: TOR, VPN доступ от стороннего поставщика или воспользоваться провайдером, который нужный сайт заблокировать не успел. Причем первые два варианта не отличаются скоростью доступа. Может, я чего не знаю?

(10) ага, прокси

(11) это по сути аналог варианта 1 или 2.

(0)
(1) + показательная порка за одноклассников в рабочее время

(10)Ну в принципе описал все правильно.
Разве что прокси забыл указать.
Заходить нужно не напрямую, а через провайдера который не заблокировал, т.е любого забугорного.

Возникают только вопросы почему vpn это медленно? Мне лично 100мегабит хватает, да и что мешает больше сделать?
Ну и сложностей не так много - например включи в опере использование турбо режима, трафик будет сжиматься на серверах оперы, соответственно доступ к ресурсу будет идти с этих серверов, вот и обход блокировки простейший.

(12) да, но это не сложно
ну и плюсом анонимайзеры всякие - вообще для домохозяек

(14) О, вот опера это действительно интересный вариант.

что сделает пользователь когда ему закроют одноклассников? он откроет яндыкс и напишет "админ закрыл доступ к одноклассникам", решение найдётся за 10 минут даже в самых запущенных случаях.
поэтому
(1) + показательная порка

если запрещать, то надо идти от обратного - запретить всё, а к нужным сайтам доступ по служебной записке через руководителя.

(17)Если закрыли нормально то фиг.

(17)Кстати а чем отличаются по надежности  варианты закрыть все и закрыть только одноклассники?

(19) тем что на одноклассники можно попасть через незакрытые сайты

(18) нормально это как?

(21)Нормально, это нормально.
(20)Нет, если в адресной строке будет написано odnoklassniki или в названии сайта однокласники, то файервол обрубит.
Какая разница через какой сайт ты откроешь.

Обойти можно только через rdp, т.е зайти на удаленный компьютер по рдп, открыть там браузер и смотреть.
Но тут вопрос а кто тебе рдп откроет.

"Нормально, это нормально". Читаю: не знаю как, но мне закрыли.
По поводу опуса про файервол и rdp - гугл: "анонимайзер"

(23)Закрываю я :)
А нормально это в зависимости от ситуации.
Если надо чтобы и мышь не проскочила, то и мышь не проскочит.
Хорошие файерволы позволяют фильтровать по множеству параметров - протокол, адрес, домен, порт, приложение.
В случае хттп протокола в любом нормальном файерволе есть функционал фильтрации по контенту.
Т.е можно закрыть сайты у которых в названии или адресе встречается определенное словосочетание. И даже не обязательно в названии, можно искать и в теле сайта.

(23)Как тебе поможет анонимайзер, если у тебя будет фильтроваться все сайты  у которых в названии есть слово "одноклассник" ?

Анонимайзер делает только одно - позволяет зайти на ресурс анонимно. Т.е ни провадер не знает куда ты ходил, ни ресурс не знает откуда ты пришел.
Так же он позволяет обойти некоторые блокировки провайдера.
Но далеко не все.

(24) вот привязался к адресу, не ленись, сходи на пару анонимайзеров, посмотри что там в адресной строке

по контенту ты нифига не заблокируешь в случае с https

(25) https://www.google.ru/search?q=https+anonymizer

(25) Этак ты и кремлин.ру заблокируешь, где будет написано, что президент встретился со своими одноклассниками. Знаешь, что за такое бывает? За тобой сразу доктора пришлют. :)

(27)https спасет только на роутере, если блокировать на конечной машине то не спасает.

(29)А что нельзя?
Нефиг читать про похожденияя президента, работу работать надо.

(31) признайся, ты попробовал воспользоваться анонимайзером и обошёл свои же блокировки. потом ты посмотрел логи и увидел, что все в твоей конторе уже давно и поголовно ими пользуются.

(28)Вот эти ключевые слова режутся в первую очередь.

(33) не, ну ты наивный.
ну я дома поищу и адреса на бумажке принесу. или с телефона

(32)Нет.
Не откроешь ты лишнего в конторе. Задача закрыть одноклассники как правило не ставиться, ставиться задача закрыть все лишнее.
Поэтому анонимайзеры, соцсети, и всякие подозрительные ресурсы закрываются уже на уровне фильтрации днс, а потом уже идет более жесткий отлов.
Хотя не везде так жестко, у некоторых наоборот открыто все, хозяин барин, как захотит, так и сделаем.

(34)А не проще зайти со смартфона?
Все публичные прокси легко идентифицируются.
Поэтому единственная возможность - это сделать свой проксик, чисто для себя, тогда есть шанс.

(35) это, если админу нечем заняться больше и он сидит такой весь занятый и фаервол теребит.

по моему опыту самыми эффективными способами являются:
1. не закрывать ничего, печатать логи и показывать пользователю (можно поорать для острастки), если не понимает - отнести директору
2. закрывать всё, открывать по служебке

Просто чем жестче ограничения, тем чаще приходится настраивать, а следовательно и анализировать логи.
Сразу возникнет вопрос - что это за адрес куда пользователь ходит чаще всего и нужен ли он для работы.
Поэтому даже свой нигде не засвеченный анонимазер тоже надолго не поможет.
Поэтому гораздо проще купить смартфон с диагональю как у телевизора и сидеть в интернете с него.

3-й вариант, параноидальный, часто практикуется в банках - отдельные компьютеры для выхода в интернет.

(38) вот я и говорю, если админу больше нечем заняться, он будет красноглазить над логами и настройками.

(37)Не всегда.
Все зависит от кучи нюансов.
Для админа фикси вполне  логично.
Для приходящего админа главное правило - желание заказчика.
Как скажет так и сделаем, надо будет каждый день логи смотреть, будем смотреть. Почему бы не смотреть если за это платят?

Хотя лично я считаю что блокировка ресурсов на производительность труда нифига не влияет.
Чаще приходится не закрывать, а  ставить приоритеты, чтобы однокласники не забивали трафиком и без того узкий канал

Раньше в конторах практиковали закрытие ресурсов чисто из экономии трафика , а сейчас практически у всех мегабитные каналы и трафик анлим даже для многих юриков - не проблема.

На последней работе, админа достало то, что пользователи постоянно, то блокиратор словят, то вирусню. Несмотря на антивирь и прочие заморочи. Сначала, тоже поигрался с блокировкой.
А в итоге был использован способ (37).1.
В свою почту на мэйле зайти боялись.

(41)Трафик то не проблема, но канал не резиновый.
Если на мегабите сидит пять человек, и двое из них смотрят видео вконтакте, то трем другим в интернете делать нечего.
А покупать пять мегабит довольно накладно.
Тут приоритет и выручает.

А от кучи вирусов кстати спасает фильтация на уровне DNS, на большинство страниц где вирусню обычно ловят юзеры просто не попадают.

От вирусов спасет хорошо просто блокировка по расширениям , запрещаеш скачивать *.exe и уже хорошо.

(44)А смысл? Если нет админских прав, то пофиг.
Если есть, то можно и в pdf'ке вирусню словить.
Поэтому я практически никогда не режу по расширениям, за редкими исключениями. Наоборот раздражает, когда нельзя экзешник скачать.

В экзешнике страшна не вирусня , а какой нибудь очередной шифровальщик одинэсовых баз и прочей вордовоэкзельной требухи. Эти проги обычно антивирус не отлавливает и админские права им не нужны что бы творить безобразия.

(46)Антивирус не отлавливает по той простой причине, что вирусов там нет.
А с экзешником - если есть  права на запуск левых экзешников, то запрет на скачивание не поможет, можно скачать упакованный, распаковать и запустить.
С шифровщиками можно бороться только правами, резервным копированием.

(4) прозрачная авторизация реализована?

(47) jump, ты голова

почитал, аж мозг взбудоражился

умные вещи говоришь, но есть нюансы

(31) У кого-то ведь работа такая - читать про похождения президента. :)

яндекс днс, офигиьельная штука

(53)+ есть еще аналоги которые работают на том же принцепе, даже с фильтрацией https запросов....

(54) Боюсь что фильтрация https запросов невозможна без того ,  что юзер этого не заметит , как минимум браузер у него должен ругнуться на несоответствие сертификата.

адблок в фф режет 99% вирусов, пользователи просто не лезут, куда не хотят. От яндекса и мейлру только не спасает

(53)+100
До него пользовался SkyDns но он гораздо более коммерческий, хотя тоже неплох.

(55)Нет.
По той простой причине что сертификат нормальный.
Реализуется например утилитой sslstrip.
Т.е браузер видит что с сертификатом все ок, начинает устанавливать ssl соединение, обмениваться ключами там и прочее.
Утилита перехватывает и выкидывает запросы браузера, а соединение устанавливает сама, после чего отдает браузеру ответы.