URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51722
[ Назад ]

Исходное сообщение
"Закрыть доступ ICQ"

Отправлено Rustya , 18-Дек-04 11:28 
Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  чтоб с этого адреса ICQ не работала?

Заранее блогадарю!


Содержание

Сообщения в этом обсуждении
"Закрыть доступ ICQ"
Отправлено KdF , 18-Дек-04 12:55 
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!


Если у тебя роутер, то в простейшем случае так:
NO_ICQ_IP="192.168.1.12"
iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP

Но я так понимаю, у тебя открыто изнутри наружу вообще всё?
Лучше установить политику по умолчанию DROP и разрешить только то, что нужно.

INTERNAL_IF="eth0"
INTERNAL_NET="192.168.1.0/24"
NO_ICQ_IP="192.168.1.12"

IPTABLES -P FORWARD DROP #все пакеты по умолчанию дропаем

iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 21 -j ACCEPT #FTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 22 -j ACCEPT #SSH
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 25 -j ACCEPT #SMTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 110 -j ACCEPT #POP3
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 5190 -j ACCEPT #ICQ

#То же и для других протоколов

iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP #Кому-то не повезло


Не забыть про ip_conntrack_ftp, ip_nat_ftp [ip_conntrack_irc] для того чтобы не нужно было открывать другие порты для FTP, кроме 21.


"Закрыть доступ ICQ"
Отправлено KdF , 18-Дек-04 13:14 
Да, забыл, в начале правил для любой цепочки если у тебя политики по умолчанию стоят в DROP весьма желательно иметь
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
чтобы работали всяческие connection tracker-ы и проходил обратный трафик.


"Закрыть доступ ICQ"
Отправлено Rustya , 18-Дек-04 13:25 
>Да, забыл, в начале правил для любой цепочки если у тебя политики
>по умолчанию стоят в DROP весьма желательно иметь
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.

У меня используется NAT через машину проходят разные сети, я не могу закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?


"Закрыть доступ ICQ"
Отправлено Sampan , 18-Дек-04 15:56 
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>

1. Установить простейший кэширующий dns прокси (dnsmasq, tinydns etc)
2. Запретить forward udp/53 трафик
3. Через DHCP раздать всем клиентам адрес dns сервера - этот шлюз
4. В этом dns proxy прописать login.icq.com A 127.0.0.1
5. Молчать на все вопросы и хитро улыбаться


"Закрыть доступ ICQ"
Отправлено Danil , 18-Дек-04 20:33 
Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..

В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.


"Закрыть доступ ICQ"
Отправлено Sampan , 18-Дек-04 21:20 
>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык, login.icq.com - это CNAME на кластер серверов с множественными IP. Чего блокировать то будем?


>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
А, что, прокси уже без DNS работают?


"Закрыть доступ ICQ"
Отправлено Danil , 20-Дек-04 10:18 
>>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
>Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык,
>login.icq.com - это CNAME на кластер серверов с множественными IP. Чего
>блокировать то будем?

Именно адреса. Их же не сотня.
А некоторые пакетные фильры, например, позволяют указывать FQDN, а не адрес.

>>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
>А, что, прокси уже без DNS работают?

А внешние прокси тоже вам подвластны?..
Это я написал на случай, если работа с внешними проксями не запрещена.


"Закрыть доступ ICQ"
Отправлено KdF , 19-Дек-04 16:52 
>>Да, забыл, в начале правил для любой цепочки если у тебя политики
>>по умолчанию стоят в DROP весьма желательно иметь
>>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.
>
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>

Так вот не надо его дропать, надо его разрешить всем кроме тех, кому он не нужен.

-P FORWARD DROP, и рай на земле неизбежен.


"Закрыть доступ ICQ"
Отправлено HFSC , 19-Дек-04 18:35 
-p tcp -d 64.12.0.0/16 -j DROP
-p tcp -d 205.188.0.0/16 -j DROP

"Закрыть доступ ICQ"
Отправлено Spark , 19-Дек-04 20:28 
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!

Проблема блокирования ICQ довольно нетривиальна. Во первых потому что, ICQ может делать автоопределение открытых портов на маршрутизаторе, по просту сканирование. И умеет работать через 21-й порт, а конечно обычно ставят -m state --state RELATED, ESTABLISHED

Потому единственное средство - блокировать подсети ICQ, а их около 17. Вот что мне удалось найти за цельный день изучения проблемы ICQ:

# Block ICQ subnet

iptables -A BAD -d 152.163.159.0/24 -j DROP
iptables -A BAD -d 152.163.208.0/24 -j DROP
iptables -A BAD -d 61.12.161.0/24 -j DROP
iptables -A BAD -d 61.12.174.0/24 -j DROP
iptables -A BAD -d 61.12.51.0/24 -j DROP
iptables -A BAD -d 64.12.161.0/24 -j DROP
iptables -A BAD -d 64.12.200.0/24 -j DROP
iptables -A BAD -d 64.12.202.0/24 -j DROP
iptables -A BAD -d 205.188.253.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.153.0/24 -j DROP
iptables -A BAD -d 205.188.165.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.179.0/24 -j DROP
iptables -A BAD -d 205.188.157.0/24 -j DROP
iptables -A BAD -d 205.188.7.0/24 -j DROP
iptables -A BAD -d 205.188.8.0/24 -j DROP
iptables -A BAD -d 205.188.9.0/24 -j DROP

BAD - это цепочка, для "плохих" ИП.


"Закрыть доступ ICQ"
Отправлено asciiz , 20-Дек-04 11:15 
А что, собсно, мешает законнектиться к асе через прокси? И никакой файрвол не поможет.