Да, файрволл с блокировкой сайтов на Linux или любом другом *nix более чем реален. Любой файрволл или посредник в теории замедляет обмен данными, но это совершенно неощутимо, ибо сама сеть состоит из тысяч таких посредников.

Стоп, у зикселей же на роутере черные списки сайтов есть? Настрой пока там. От прокси и тем более тора это не спасет, но с ними и на полноценном Linux непросто справиться, особенно с последним.

давай договоримся: я предлагаю тебе завернуть весь днс трафик на роутер, там блокировать без всяких фаерволлов и проксей запросы на резолв доменов соц сеток
а ты мне в ответ раскжешь, что такое «компаративные сети»

Технических вариантов решения вам уже насоветовали, но это будет вечная борьба с пользователями. В конце концов будут подключаться через свои телефоны или просто в телефонах пользоваться соц сетями. Если вопрос в том, чтобы сотрудники на работе занимались делом, а не ерундой, то эффективно решается это только административно через подписание функциональный обязанностей, где сотрудник под подпись подтверждает, что знает, что делать можно, а чего нельзя.

ДА это мой косяк Sorry

а ты мне в ответ раскжешь

Мне тоже «раскжи», думал на эту тему, но так ничего и не придумал как сие блокировать. Интересно https не ловленый и сайты по части (маске) имени блокировать без сквида, уж думал фейковые зоны DNS поднимать, что на роутере бороться со всякими контекстными рекламами яндекса и гугла. Но кроме как ADblock на станции конечного юзверя ничего не нашел.

Мож ткнешь в какую доку, лучче на могучем, потому как во вражий не люблю вникать.

всё просто.
если нужно ограничить доступ к соцсеточками в маленькой компании, то как раз, как ты выразился «фейковые зоны DNS» отлично справятся.
а если нужно резать рекламу, то всё плохо, и мой совет — даже не начинать.
можно конечно попробовать dpi server купить, украсть, собрать.
можно через squid и ssl bump попробовать, но год назад, я потратил месяц и бросил. он падал на кривых сертификатах, некоторые сайты начинали тупить и глючить, особенно ютуб и вообще было отвратительное увеличение отклика. вдруг за год уже пофиксили, не знаю и сомневаюсь, разработчики сквида те ещё конченные погромисты.
можно поднять днс и резать 100500 доменов с рекламой так, но рекламные домены спавняться быстрее, чем список пополняют. писать свой плагин к браузеру для интерактивного добавления было влом.

если нужно ограничить доступ к соцсеточками в маленькой компании, то как раз, как ты выразился «фейковые зоны DNS» отлично справятся.

Да, похоже придется смириться. В качестве эксперимента зону rambler.ru фейковую я поднял и даже прописал в ней palacesquare.rambler.ru но что то толку не увидел, ссылки на сайте например ленты типа

https://palacesquare.rambler.ru/hxxsgou/enJoczgudm16bWswakB7ImRhdGEiOnsiQWN0aW9uIjoiUmVkaXJl/Y3QiLCJSZWZmZXJlciI6Imh0dHBzOi8vbGVudGEucnUvIiwiUHJv/dG9jb2wiOiJodHRwczoiLCJIb3N0IjoibGVudGEucnUifSwibGlu/ayI/6Imh0dHBzOi8vcGFsYWNlc3F1YXJlLnJhbWJsZXIucnUvcHN1anFybmhiL2RHbDRPWG91WW5WL3VhSEEzWkhScWNtL0UwYVVCN0ltUmhkL0dFaU9uc2lRVy9OMGFXOXVJam9pVW1Wa2FYSmxZM1FpZlN3aWJHbH?bllgvcn=VheUk2SW1oMGRIQno%2FYXVva&dveshmz=HV3cWF3dD1PaTh2WkdseSZj&hnsvqa=Z2pld3RmcnpuPVpXTjBMbmx&jabv=oJmR5cWx2eWxjaW9mPWJtUm&rncqj=xlQzV5JmV6a2dxZXd6Yz1kU&virzmcc=zglMkZjR0Z5JmtqbXR0aXVo&xavbcgd=cWtjdD1kRzVsY2lKOSJ9

Все равно присутствуют и приводят на

https://direct.yandex.ru/?partner

в чем дело? В https? или в тарабарщине что то закодили?

нет, в настройках днс сервера, ты что-то сделал не так или ты не отдаёшь данные и используется второй днс
https вообще никак не участвует в этом, если у машины нет кеша, она обращается сначала к днс серверу, и только получив ip адрес идёт по какому-нибудь протоколу, например https
если настроить днс сервер и возвращать например 127.0.0.2 — ты не сможешь получить от этого адреса https соединение и всё. будет фейл сертификата.

нет, в настройках днс сервера, ты что-то сделал не так или ты не отдаёшь данные и используется второй днс

Да нет перепроверял, на самом шлюзе и на рабочем компе отвечает так же и до резервного DNS дело не доходит.

 nslookup palacesquare.rambler.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   palacesquare.rambler.ru
Address: 127.0.0.1

С кешем может я затупил, закрывал броузер совсем и снова открывал, надеялся что по новой резолвить будет.

Спасибо, поковыряю еще, возможно не все потеряно.

Ну доступ по http думаю заблокировать не проблема.
А с https я например поступил так:

# Below are the autonomus system (AS) numbers for some social networks
# AS32934 -- facebook.com
# AS47541 AS47542  -- vk.com
# AS49988 -- ok.ru
# AS47652 -- sj.ru
# AS47724 -- hh.ru
# AS19679 -- dropbox.com
AS_TO_BAN="AS32934 AS47541 AS47542 AS49988 AS47652 AS47724"

#Exceptions for some privilegied users
SOCIAL_ALLOW_IPs=""
#SOCIAL_ALLOW_MACs=""

echo ""
echo "Block Social sites"

$IPT -F SOCIAL

# Allow social for some user by their IPs
for userip in $SOCIAL_ALLOW_IPs; do
  $IPT -A SOCIAL -s $userip -j ACCEPT
done

# Allow social for some user by their MACs
#for mac in $SOCIAL_ALLOW_MACs; do
#  $IPT -A SOCIAL -m mac --mac-source $mac -j ACCEPT
#done

# Block for others
$IPT -A SOCIAL -j DROP

## Here, we collect all ip-ranges and block access via HTTPS
for as in $AS_TO_BAN; do
    for ip in `whois -h whois.radb.net "!g$as" | grep /`
    do
      $IPT -A FORWARD -i eth1 -p tcp -d $ip -j SOCIAL
    done
done

exit 0

По рекламе - часть режется сквидом, ну а что сквид не может пока дополнениями в браузере. Руки не как не дойдут сквид под https пересобрать.

А если на сервере поднять privoxy с adblock правилами. Ну и дописать туда правила блокировок соцсетей.

А если на сервере поднять privoxy с adblock правилами.

Не в курсе про него, полез читать. А что значит с правилами Adblock там этот же функционал реализован? А HTTPS он тоже ловит и блокировать может? Закрыть все на 443 порту не вариант.

Ну и дописать туда правила блокировок соцсетей.

Нет соц сети не блокирую, какой смысл? у них зеркал туча, куча сайтов помощников которые помогут залезть правдами и неправдами, к конце концов со смартфона залезут с личного.

непонятки по privoxy

Скачал поставил, запустил, правда старенький он ну и федорка у меня не молодая, повесил его на нужном интерфейсе, фаервол не мешает, пробую к нему цепляться прям в консоли на порт 8118 с помощью lynx ip:8118 и по сети, а он пишет сначала:

Too many open connections

потом таки открывает, но далее пишет:

Maximum number of open connections reached.

в конфиге 256 я всего один

ну может я хочу то чего у него нет (веб морды) и не нужно ему, прописал его ip и 8118 в качестве прокси.... открываю броузер первый попавщийся сайт... вообще тишина. Вроде с коробки должен работать

чего ему не хватает может редиректа на 80?