можно ли отслеживать/фильтровать / преобразовывать произвольный трафик?

Да. Это, конечно, концептуально. Прежде чем маршрутизаторы были легко доступны и дешевы, было принято находить дешевый старый компьютер, устанавливать Linux и обмениваться сетевым подключением (IP-маскировка и т. д.). Вы можете смотреть все только с tcpdump, Если ничего другого. И это все - вы увидите каждое рукопожатие SYN-ACK, каждый запрос сертификата SSL, каждый поиск DNS, п.

какие методы могли бы помочь контролировать / контролировать?

это очевидно для какие хосты вы подключаете тоже. Много инструментов, чтобы помочь с этим, тот же материал, который держит детей взрослых сайтов и сотрудников от facebook. См.эта система.се Вопрос, в частности ntop.

ограничение портов определенно уменьшает космос. Порт-это просто произвольное число, но я консультировался с параноиком организации, которые заблокировали все, кроме порта 80. Это заставило нас делать такие вещи, как туннельный ssh через https или более сложные схемы (двухголовые SSH туннели), когда нам нужно было получить вещи из дома.

но это все еще оставляет страшный туннель секретов загрузки компании, который выглядит как HTTPS. Я играл с Саша много в последнее время. Если бы Вы были действительно одержимы ловлей всего, вы бы расположить входа HTTPS прокси в средний, и как раз объявите что каждое внутри вашего магазина должно признавать ваш сертификат, который середины вы наблюдают все. Приватность, конечно, вы увидите людей пароли Gmail в обычный текст (на самом деле! попробуйте и убедитесь!)- но это будет ужасно сложно для вашей черной шляпы, чтобы получить что-нибудь, не заметив этого.

полезный мысленный эксперимент.