Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres чтоб с этого адреса ICQ не работала?Заранее блогадарю!
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!
Если у тебя роутер, то в простейшем случае так:
NO_ICQ_IP="192.168.1.12"
iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROPНо я так понимаю, у тебя открыто изнутри наружу вообще всё?
Лучше установить политику по умолчанию DROP и разрешить только то, что нужно.INTERNAL_IF="eth0"
INTERNAL_NET="192.168.1.0/24"
NO_ICQ_IP="192.168.1.12"IPTABLES -P FORWARD DROP #все пакеты по умолчанию дропаем
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 21 -j ACCEPT #FTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 22 -j ACCEPT #SSH
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 25 -j ACCEPT #SMTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 110 -j ACCEPT #POP3
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 5190 -j ACCEPT #ICQ#То же и для других протоколов
iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP #Кому-то не повезло
Не забыть про ip_conntrack_ftp, ip_nat_ftp [ip_conntrack_irc] для того чтобы не нужно было открывать другие порты для FTP, кроме 21.
Да, забыл, в начале правил для любой цепочки если у тебя политики по умолчанию стоят в DROP весьма желательно иметь
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
чтобы работали всяческие connection tracker-ы и проходил обратный трафик.
>Да, забыл, в начале правил для любой цепочки если у тебя политики
>по умолчанию стоят в DROP весьма желательно иметь
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.У меня используется NAT через машину проходят разные сети, я не могу закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>1. Установить простейший кэширующий dns прокси (dnsmasq, tinydns etc)
2. Запретить forward udp/53 трафик
3. Через DHCP раздать всем клиентам адрес dns сервера - этот шлюз
4. В этом dns proxy прописать login.icq.com A 127.0.0.1
5. Молчать на все вопросы и хитро улыбаться
Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык, login.icq.com - это CNAME на кластер серверов с множественными IP. Чего блокировать то будем?
>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
А, что, прокси уже без DNS работают?
>>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
>Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык,
>login.icq.com - это CNAME на кластер серверов с множественными IP. Чего
>блокировать то будем?Именно адреса. Их же не сотня.
А некоторые пакетные фильры, например, позволяют указывать FQDN, а не адрес.>>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
>А, что, прокси уже без DNS работают?А внешние прокси тоже вам подвластны?..
Это я написал на случай, если работа с внешними проксями не запрещена.
>>Да, забыл, в начале правил для любой цепочки если у тебя политики
>>по умолчанию стоят в DROP весьма желательно иметь
>>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.
>
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>Так вот не надо его дропать, надо его разрешить всем кроме тех, кому он не нужен.
-P FORWARD DROP, и рай на земле неизбежен.
-p tcp -d 64.12.0.0/16 -j DROP
-p tcp -d 205.188.0.0/16 -j DROP
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!Проблема блокирования ICQ довольно нетривиальна. Во первых потому что, ICQ может делать автоопределение открытых портов на маршрутизаторе, по просту сканирование. И умеет работать через 21-й порт, а конечно обычно ставят -m state --state RELATED, ESTABLISHED
Потому единственное средство - блокировать подсети ICQ, а их около 17. Вот что мне удалось найти за цельный день изучения проблемы ICQ:
# Block ICQ subnet
iptables -A BAD -d 152.163.159.0/24 -j DROP
iptables -A BAD -d 152.163.208.0/24 -j DROP
iptables -A BAD -d 61.12.161.0/24 -j DROP
iptables -A BAD -d 61.12.174.0/24 -j DROP
iptables -A BAD -d 61.12.51.0/24 -j DROP
iptables -A BAD -d 64.12.161.0/24 -j DROP
iptables -A BAD -d 64.12.200.0/24 -j DROP
iptables -A BAD -d 64.12.202.0/24 -j DROP
iptables -A BAD -d 205.188.253.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.153.0/24 -j DROP
iptables -A BAD -d 205.188.165.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.179.0/24 -j DROP
iptables -A BAD -d 205.188.157.0/24 -j DROP
iptables -A BAD -d 205.188.7.0/24 -j DROP
iptables -A BAD -d 205.188.8.0/24 -j DROP
iptables -A BAD -d 205.188.9.0/24 -j DROPBAD - это цепочка, для "плохих" ИП.
А что, собсно, мешает законнектиться к асе через прокси? И никакой файрвол не поможет.