Ich soll im Auftrage eines Firmenchefs bestimmet Webseiten für die Mitarbeiter sperren (z.B. Facebook, Youtube, Yappi usw.). Diese Mitarbeiter arbeiten alle am selben Terminalserver. Mir fiehl da spontan die Hosts-Datei ein. Allerdings fände ich es eleganter, wenn die gesperrten Webseiten nicht einfach nur nicht erscheinen würden, sondern wenn es eine verständliche Meldung dazu geben würde (z.B. per Webseite). Das Aufsetzen eines extra Webservers oder DNS kommt aus Aufwandsgründen nicht infrage. Auf selbigem Server läuft auch ein Apache zu Testzwecken und fürs Intranet. Aber wie trage ich in die Hosts-Datei nicht nur die alternative IP (127.0.0.1) sondern auch noch irgend ein Verzeichnis ein? Denn die "Abgelenkten" sollen ja nicht auf der Startseite von irgendwelchen Tests landen ... ???
>Das Aufsetzen eines extra Webservers oder DNS kommt aus Aufwandsgründen >nicht infrage. Dann gibt's auch keine elegante und verständliche Meldung ...
Man liest viel raus, vielleicht wäre ein Windows AD Kurs mal was für dich wenn du die Arbeit schon machen sollst.
http://httpd.apache.org/docs/2.2/vhosts/examples.html Ansonsten Proxyserver... Aber das ist wohl auch zuviel Aufwand... mfg Andreas
Frank schrieb: > Das Aufsetzen eines extra Webservers oder DNS kommt aus Aufwandsgründen > nicht infrage. Das ist kein Aufwand. Ein Proxy für kleine Arbeitsgruppen benötigt wenig Ressourcen, kann man auf einem ausgedienten PC installieren oder notfalls in einer VM. Minimalistisches Debian plus Squid plus SquidGuard ergeben eine vernünftige Lösung, die zudem einfach über Blacklists zu pflegen ist. Wahrscheinlich meinst du eher den Einarbeitungsaufwand. Aber wenn du dazu nicht bereit bist, sollte jemand anders den Job erledigen.
> eine vernünftige Lösung, die zudem einfach über Blacklists zu > pflegen ist. Findige Leute finden immer ein Loch im Zaun. Man sollte stets Aufwand und Nutzen im Verhältnis sehen. Offensichtliche Sachen sperren ist zwar möglich, könnte aber ungewollt auch Nebenwirkungen auf andere Anwendungen haben.
Sowas sah ich auch mal. Dann hatten die Mitarbeiter private Modems in der Schublade, und tauschten das Telephon temporaer gegen das Modem aus ...
Komplett blocken geht nicht, da gibts immer Bastellösungen. Aus meiner Sicht ist DNS hier noch die hübscheste Methode mit wenig Aufwand. Da könnt man dann mit einer anderen IP als 127.0.0.1 auch auf eine Ersatzseite umleiten... Alles was man dafür braucht sind rudimentäre Netzwerk-Kenntnisse und eine Linux-Kiste (da reicht schon ein Router).
Elf von Dreizehn schrieb: > Sowas sah ich auch mal. Dann hatten die Mitarbeiter private Modems in > der Schublade, und tauschten das Telephon temporaer gegen das Modem aus Das setzt aber einen analogen Telefonanschluß voraus.
DNS verbiegen heißt Zensur oder schädliche Nebenwirkungen. Zum Beispiel wurde "xs4all" vor Jahren auch mal verboten. Dumm war nur, daß genau unter dieser Adresse gleichzeitig eine wichtige Transistordatenbank lag, was dann einigen Ärger einbrachte ...
oszi40 schrieb: > DNS verbiegen heißt Zensur oder schädliche Nebenwirkungen. Es wurde nach eine praktikablen Lösung gefragt, nicht nach den moralischen Hintergründen. oszi40 schrieb: > was dann einigen Ärger einbrachte Implementierungsdetails.
Uhu Uhuhu schrieb: > Das setzt aber einen analogen Telefonanschluß voraus. OK, dann eben einen UMTS-Stick. fonsana
fonsana schrieb: > OK, dann eben einen UMTS-Stick. Dem kann man durch Sperren des USB-Systems vorbeugen.
Tröte schrieb: > Komplett blocken geht nicht, da gibts immer Bastellösungen. Freilich geht das. Proxy und Redirector. Icke ®. schrieb: > Squid plus SquidGuard Außerdem Surfen übers Standardgateway per Firewall verbieten und die Userrechte mit Gruppenrichtlinien einschränken, sodaß die nicht tricksen können. Aus die Maus. > Aus meiner Sicht ist DNS hier noch die hübscheste Methode > mit wenig Aufwand. Nein, das ist quick and dirty. Genau genommen noch nicht mal quick, denn die Verwaltung ist bei vielen URLs eher aufwendig. Für SquidGuard kann man vorgefertigte Blacklists im Textformat verwenden und nach Belieben eigene Einträge hinzufügen oder löschen.
Icke ®. schrieb: > Freilich geht das. Proxy und Redirector. Da kann man immer noch über nen DNS-Tunnel frei vorbeisurfen. Aber wie schon gesagt, irgendwie geht es immer. Oder willst du den Mitarbeitern ihre Handys einsammeln? Icke ®. schrieb: > Aus die Maus. ...denkt der beschränkte Admin. Icke ®. schrieb: > Nein, das ist quick and dirty. Genau genommen noch nicht mal quick, denn > die Verwaltung ist bei vielen URLs eher aufwendig. Kommt drauf an, über was für eine Infrastruktur wir hier reden. Ich denke nicht, dass der TO in einem Betrieb mit mehr als 20 Mitarbeitern sitzt, sonst würde man ihm diesen Job nicht zuteilen. Die Frage des TO hörte sich nach sehr wenigen URLs an.
Je mehr Löcher man zustopft, desto findiger werden die Leute. Die besprochenen Lösungen hier mögen für manche Hausfrau eine große Hürde sein, für Proxyfreunde und PC-Bummi-Leser eher weniger.
Tröte schrieb: > Oder willst du den Mitarbeitern ihre Handys einsammeln? Es geht um einen Terminalserver im Speziellen... Frank schrieb: > Diese Mitarbeiter arbeiten alle am selben Terminalserver. ...und nicht um die privaten Geräte der Mitarbeiter. Wenn der Admin bei Verstand ist, verbietet er den Usern eines TS sowieso alles, was sie nicht unbedingt zum Arbeiten brauchen. Mit GPOs kann man da schon viel machen. Wenn Surfen nur über HTTP-Proxy erlaubt ist, fallen diverse Tunnel schon mal aus oder lassen sich zumindest nachweisen. Für maximale Sicherheit arbeitet man eben nicht mit Black- sondern mit Whitelists. Ja, das ist Administrationsaufwand und schränkt die User sowie evtl. die Produktivität ein. Deswegen muß vorher mit der Geschäftsleitung abgeklärt werden, ob sie Sicherheit oder Freiheit für die User wollen. Ent- oder weder, es gibt keinen goldenen Mittelweg. Gewiß werden ganz spitzfindige Leute dennoch irgendwo ein Loch entdecken. Für diese gibt es dann noch den Weg arbeitsrechtlicher Konsequenzen. Auch dabei hilft ein Proxy mit seinen Logs.
LOL Also wie das im Vertrag geregelt ist bleibt dem Arbeitgeber vorbehalten. Wenn auf der Kiste schon ein apache läuft einfach eine passende HTML-Seite mit einem bestimmten Port verdüdeln und das dann in die hosts eintragen. QuicknDirty :-P
oszi40 schrieb: > Irgendwann platzt der Dein Proxy wegen der vielen Logs :-) Ja, wenn ich nicht aufräume, vielleicht in 100 Jahren.
Tröte schrieb: > oszi40 schrieb: >> DNS verbiegen heißt Zensur oder schädliche Nebenwirkungen. > > Es wurde nach eine praktikablen Lösung gefragt, nicht nach den > moralischen Hintergründen. Ich würde zuerst einmal mit den Mitarbeitern reden. Nicht einzeln, sondern im Team. Also der Chef sagt wie es jetzt ist, wie er es zukünftig haben will und was passiert wenn das auf freiwilliger Basis nicht so funktioniert.
Ui ... das ist ja eine richtig heftige Diskussion. Es geht in der tat um eine kleine Biotech-Firma, bei der es den Chef einfach stört, dass bei den meist jungen Laboranten z.B. ständig Facebook offen ist. Generell soll der Zugang zum Internet aber möglichst weit offen bleiben, damit z.B. Recherchen gemacht werden können. Der Terminalserver ist der einzige Server, der ständig läuft, neben einem QNAP-NAS. Als DSL-Router und Telefonanlage kommt ein Draytek 2820 IPPBX zum Einsatz - also nirgendwo Platz für einen extra DNS oder Proxy. Es handelt sich auch nicht um "Hacker" und sie haben nur Benutzerrechte. In sofern würde die Hosts-Datei vollkommen ausreichen, wäre da nicht der Wunsch nach einer Mitteilung per Ersatzseite ... Vlt. findet sich ja irgendwo noch ein Stoppschild von Zensursula im Web :-)
Folgendes in die Hosts und es hat sich ausgefacesbookt:
1 | # Globales Blocken von Facebook
|
2 | |
3 | 127.0.0.1 66.220.153.13 # Haupt ip von Facebook |
4 | 127.0.0.1 69.171.234.7 # FB External Hit |
5 | 127.0.0.1 69.63.189.76 # Apps Facebook |
6 | 127.0.0.1 on.fb.me |
7 | 127.0.0.1 on.fb.com |
8 | |
9 | 127.0.0.1 de-de.facebook.nl |
10 | 127.0.0.1 de-de.facebook.de |
11 | 127.0.0.1 de-de.facebook.net |
12 | 127.0.0.1 de-de.facebook.com |
13 | 127.0.0.1 de-de.facebook.com.au |
14 | |
15 | 127.0.0.1 www.de-de.facebook.nl |
16 | 127.0.0.1 www.de-de.facebook.de |
17 | 127.0.0.1 www.de-de.facebook.net |
18 | 127.0.0.1 www.de-de.facebook.com |
19 | 127.0.0.1 www.de-de.facebook.com.au |
20 | |
21 | 127.0.0.1 nl-nl.facebook.nl |
22 | 127.0.0.1 nl-nl.facebook.de |
23 | 127.0.0.1 nl-nl.facebook.net |
24 | 127.0.0.1 nl-nl.facebook.com |
25 | 127.0.0.1 nl-nl.facebook.com.au |
26 | |
27 | 127.0.0.1 www.nl-nl.facebook.nl |
28 | 127.0.0.1 www.nl-nl.facebook.de |
29 | 127.0.0.1 www.nl-nl.facebook.net |
30 | 127.0.0.1 www.nl-nl.facebook.com |
31 | 127.0.0.1 www.nl-nl.facebook.com.au |
32 | |
33 | 127.0.0.1 www.facebook.nl |
34 | 127.0.0.1 www.facebook.de |
35 | 127.0.0.1 www.facebook.net |
36 | 127.0.0.1 www.facebook.com |
37 | 127.0.0.1 www.facebook.com.au |
38 | |
39 | 127.0.0.1 facebook.nl |
40 | 127.0.0.1 facebook.de |
41 | 127.0.0.1 facebook.net |
42 | 127.0.0.1 facebook.com |
43 | 127.0.0.1 facebook.com.au |
44 | |
45 | 127.0.0.1 m.facebook.nl |
46 | 127.0.0.1 m.facebook.de |
47 | 127.0.0.1 m.facebook.net |
48 | 127.0.0.1 m.facebook.com |
49 | 127.0.0.1 m.facebook.com.au |
50 | |
51 | 127.0.0.1 ok.facebook.nl |
52 | 127.0.0.1 ok.facebook.de |
53 | 127.0.0.1 ok.facebook.net |
54 | 127.0.0.1 ok.facebook.com |
55 | 127.0.0.1 ok.facebook.com.au |
56 | |
57 | 127.0.0.1 www.ok.facebook.nl |
58 | 127.0.0.1 www.ok.facebook.de |
59 | 127.0.0.1 www.ok.facebook.net |
60 | 127.0.0.1 www.ok.facebook.com |
61 | 127.0.0.1 www.ok.facebook.com.au |
62 | |
63 | 127.0.0.1 a.ok.facebook.nl |
64 | 127.0.0.1 a.ok.facebook.de |
65 | 127.0.0.1 a.ok.facebook.net |
66 | 127.0.0.1 a.ok.facebook.com |
67 | 127.0.0.1 a.ok.facebook.com.au |
68 | |
69 | 127.0.0.1 www.a.ok.facebook.nl |
70 | 127.0.0.1 www.a.ok.facebook.de |
71 | 127.0.0.1 www.a.ok.facebook.net |
72 | 127.0.0.1 www.a.ok.facebook.com |
73 | 127.0.0.1 www.a.ok.facebook.com.au |
74 | |
75 | 127.0.0.1 login.facebook.nl |
76 | 127.0.0.1 login.facebook.de |
77 | 127.0.0.1 login.facebook.net |
78 | 127.0.0.1 login.facebook.com |
79 | 127.0.0.1 login.facebook.com.au |
80 | |
81 | 127.0.0.1 www.login.facebook.nl |
82 | 127.0.0.1 www.login.facebook.de |
83 | 127.0.0.1 www.login.facebook.net |
84 | 127.0.0.1 www.login.facebook.com |
85 | 127.0.0.1 www.login.facebook.com.au |
86 | |
87 | 127.0.0.1 www-10-01-snc2.facebook.nl |
88 | 127.0.0.1 www-11-01-snc2.facebook.nl |
89 | 127.0.0.1 www-10-03-ash1.facebook.nl |
90 | 127.0.0.1 www-12-08-ash1.facebook.nl |
91 | 127.0.0.1 www-13-08-ash1.facebook.nl |
92 | |
93 | 127.0.0.1 www-10-01-snc2.facebook.de |
94 | 127.0.0.1 www-11-01-snc2.facebook.de |
95 | 127.0.0.1 www-10-03-ash1.facebook.de |
96 | 127.0.0.1 www-12-08-ash1.facebook.de |
97 | 127.0.0.1 www-13-08-ash1.facebook.de |
98 | |
99 | 127.0.0.1 www-10-01-snc2.facebook.net |
100 | 127.0.0.1 www-11-01-snc2.facebook.net |
101 | 127.0.0.1 www-10-03-ash1.facebook.net |
102 | 127.0.0.1 www-12-08-ash1.facebook.net |
103 | 127.0.0.1 www-13-08-ash1.facebook.net |
104 | |
105 | 127.0.0.1 www-10-01-snc2.facebook.com |
106 | 127.0.0.1 www-11-01-snc2.facebook.com |
107 | 127.0.0.1 www-10-03-ash1.facebook.com |
108 | 127.0.0.1 www-12-08-ash1.facebook.com |
109 | 127.0.0.1 www-13-08-ash1.facebook.com |
110 | |
111 | 127.0.0.1 www-10-01-snc2.facebook.com.au |
112 | 127.0.0.1 www-11-01-snc2.facebook.com.au |
113 | 127.0.0.1 www-10-03-ash1.facebook.com.au |
114 | 127.0.0.1 www-12-08-ash1.facebook.com.au |
115 | 127.0.0.1 www-13-08-ash1.facebook.com.au |
116 | |
117 | 127.0.0.1 static.ak.fbcdn.nl |
118 | 127.0.0.1 static.ak.fbcdn.de |
119 | 127.0.0.1 static.ak.fbcdn.net |
120 | 127.0.0.1 static.ak.fbcdn.com |
121 | 127.0.0.1 static.ak.fbcdn.com.au |
122 | |
123 | 127.0.0.1 www.static.ak.fbcdn.nl |
124 | 127.0.0.1 www.static.ak.fbcdn.de |
125 | 127.0.0.1 www.static.ak.fbcdn.net |
126 | 127.0.0.1 www.static.ak.fbcdn.com |
127 | 127.0.0.1 www.static.ak.fbcdn.com.au |
128 | |
129 | 127.0.0.1 login.facebook.nl |
130 | 127.0.0.1 login.facebook.de |
131 | 127.0.0.1 login.facebook.net |
132 | 127.0.0.1 login.facebook.com |
133 | 127.0.0.1 login.facebook.com.au |
134 | |
135 | 127.0.0.1 www.login.facebook.nl |
136 | 127.0.0.1 www.login.facebook.de |
137 | 127.0.0.1 www.login.facebook.net |
138 | 127.0.0.1 www.login.facebook.com |
139 | 127.0.0.1 www.login.facebook.com.au |
140 | |
141 | 127.0.0.1 login.facebook.com.nl |
142 | 127.0.0.1 login.facebook.com.de |
143 | 127.0.0.1 login.facebook.com.net |
144 | 127.0.0.1 login.facebook.com.com |
145 | 127.0.0.1 login.facebook.com.com.au |
146 | |
147 | 127.0.0.1 fbcdn.nl |
148 | 127.0.0.1 fbcdn.de |
149 | 127.0.0.1 fbcdn.net |
150 | 127.0.0.1 fbcdn.com |
151 | 127.0.0.1 fbcdn.com.au |
152 | |
153 | 127.0.0.1 www.fbcdn.nl |
154 | 127.0.0.1 www.fbcdn.de |
155 | 127.0.0.1 www.fbcdn.net |
156 | 127.0.0.1 www.fbcdn.com |
157 | 127.0.0.1 www.fbcdn.com.au |
158 | |
159 | 127.0.0.1 ads.ak.facebook.nl |
160 | 127.0.0.1 ads.ak.facebook.de |
161 | 127.0.0.1 ads.ak.facebook.net |
162 | 127.0.0.1 ads.ak.facebook.com |
163 | 127.0.0.1 ads.ak.facebook.com.au |
164 | |
165 | 127.0.0.1 www.ads.ak.facebook.nl |
166 | 127.0.0.1 www.ads.ak.facebook.de |
167 | 127.0.0.1 www.ads.ak.facebook.net |
168 | 127.0.0.1 www.ads.ak.facebook.com |
169 | 127.0.0.1 www.ads.ak.facebook.com.au |
170 | |
171 | 127.0.0.1 static.ak.connect.facebook.nl |
172 | 127.0.0.1 static.ak.connect.facebook.de |
173 | 127.0.0.1 static.ak.connect.facebook.net |
174 | 127.0.0.1 static.ak.connect.facebook.com |
175 | 127.0.0.1 static.ak.connect.facebook.com.au |
176 | |
177 | 127.0.0.1 www.static.ak.connect.facebook.nl |
178 | 127.0.0.1 www.static.ak.connect.facebook.de |
179 | 127.0.0.1 www.static.ak.connect.facebook.net |
180 | 127.0.0.1 www.static.ak.connect.facebook.com |
181 | 127.0.0.1 www.static.ak.connect.facebook.com.au |
182 | |
183 | 127.0.0.1 .facebook.com |
184 | 127.0.0.1 nl.facebook.com |
185 | 127.0.0.1 de.facebook.com |
186 | 127.0.0.1 au.facebook.com |
187 | 127.0.0.1 at.facebook.com |
188 | 127.0.0.1 su.facebook.com |
189 | 127.0.0.1 be.facebook.com |
190 | 127.0.0.1 fr.facebook.com |
191 | 127.0.0.1 dk.facebook.com |
192 | 127.0.0.1 ru.facebook.com |
193 | 127.0.0.1 ch.facebook.com |
194 | |
195 | 127.0.0.1 apps.facebook.nl |
196 | 127.0.0.1 apps.facebook.de |
197 | 127.0.0.1 apps.facebook.net |
198 | 127.0.0.1 apps.facebook.com |
199 | 127.0.0.1 apps.facebook.com.au |
Frank schrieb: > Ich soll im Auftrage eines Firmenchefs bestimmet Webseiten für die > Mitarbeiter sperren (z.B. Facebook, Youtube, Yappi usw.). Diese > Mitarbeiter arbeiten alle am selben Terminalserver. Mir fiehl da spontan Wenn Du sehr bööhse wärst, könntest Du ein Script übergeben das bei Facebook die "Löschfunktion" des Accounts aufruft :-) Ein Kunde von mir hat die Rechner so konfiguriert das beim Anstecken eines USB-Speichers erstmal der Inhalt gelöscht wird. Diese Vorsichtsmaßnahme wurde eingeführt damit keiner seiner Kunden versehendlich interne Firmendaten bekommt. Lustig wirds wenns private USB-Sticks mit Musik etc war... PS: Blocken ist quatsch! Sollte Facebook ein neuen Server öffnen, gehts wieder (bzw per Proxy). Whitelisting muss hier ausgeführt werden!
Alex W. schrieb: > Blocken ist quatsch! Sollte Facebook ein neuen Server öffnen, gehts > wieder (bzw per Proxy). Whitelisting muss hier ausgeführt werden! Squid kann ganze Domains blocken - da bleibt von den vielen facebook-URLs nicht mehr viel übrig.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.