Пользователи уже достали. Пролазиют кто как может - лишь бы у них работала ICQ.
Закрыл 5190 и 443 порт.
Так они смогли настроить у себя так, что работают по ней через порт 80. Его то я не могу закрыть полностью.
Подскажите кто знает хороший и надежный способ резки всех icq-пакетов для всех портов при помощи ipfw.
Спасибо.

• IPFW. Как полностью закрыть доступ на ICQ?,A Clockwork Orange, 10:06 , 14-Мрт-06
  • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 10:11 , 14-Мрт-06
    • IPFW. Как полностью закрыть доступ на ICQ?,A Clockwork Orange, 10:17 , 14-Мрт-06
      • IPFW. Как полностью закрыть доступ на ICQ?,dimus, 10:20 , 14-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,A Clockwork Orange, 10:26 , 14-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 10:34 , 14-Мрт-06
          • IPFW. Как полностью закрыть доступ на ICQ?,dimus, 12:51 , 14-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,satelit, 05:46 , 15-Мрт-06
      • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 10:27 , 14-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,Kirill_AG, 10:51 , 14-Мрт-06
          • IPFW. Как полностью закрыть доступ на ICQ?,tiv, 13:15 , 14-Мрт-06
• IPFW. Как полностью закрыть доступ на ICQ?,Mranton, 14:12 , 14-Мрт-06
  • IPFW. Как полностью закрыть доступ на ICQ?,Rontex, 18:52 , 14-Мрт-06
    • IPFW. Как полностью закрыть доступ на ICQ?,A Clockwork Orange, 19:06 , 14-Мрт-06
      • IPFW. Как полностью закрыть доступ на ICQ?,Mortum, 06:00 , 15-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,satelit, 09:01 , 15-Мрт-06
    • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 13:44 , 15-Мрт-06
      • IPFW. Как полностью закрыть доступ на ICQ?,Император, 13:59 , 15-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 15:39 , 15-Мрт-06
          • IPFW. Как полностью закрыть доступ на ICQ?,Archont, 17:21 , 15-Мрт-06
            • IPFW. Как полностью закрыть доступ на ICQ?,Rontex, 12:57 , 16-Мрт-06
              • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 13:44 , 16-Мрт-06
                • IPFW. Как полностью закрыть доступ на ICQ?,grubby, 15:31 , 16-Мрт-06
                  • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 17:22 , 16-Мрт-06
• IPFW. Как полностью закрыть доступ на ICQ?,vvvua, 14:05 , 17-Мрт-06
  • IPFW. Как полностью закрыть доступ на ICQ?,mslabousov, 14:44 , 17-Мрт-06
  • IPFW. Как полностью закрыть доступ на ICQ?,ik_5, 16:28 , 17-Мрт-06
    • IPFW. Как полностью закрыть доступ на ICQ?,PJ, 22:30 , 17-Мрт-06
      • IPFW. Как полностью закрыть доступ на ICQ?,UAnisimov, 23:59 , 17-Мрт-06
        • IPFW. Как полностью закрыть доступ на ICQ?,LORD_SLASHMAN, 17:56 , 15-Ноя-06
• IPFW. Как полностью закрыть доступ на ICQ?,Viktorius, 15:54 , 19-Июн-08

доступ к login.icq.com закрой

>доступ к login.icq.com закрой
Если ты имеешь ввиду закрыть его в Squid - так это не поможет. Только всякая реклама не будет показываться.
А если закрыть в IPFW, то у  login.icq.com - нет строго определенного ip адреса. Он всегда меняется.

полови, забей пяток адресов

Вариант - прописать в ДНСе (или в файлах hosts) нераспознавание для login.icq.com или давать какой-нибудь левый IP на него - например 127.0.0.1 :) Пусть коннектятся.

мне понравилась последняя мысль

>Вариант - прописать в ДНСе (или в файлах hosts) нераспознавание для login.icq.com
>или давать какой-нибудь левый IP на него - например 127.0.0.1 :)
>Пусть коннектятся.
Идея хорошая!!!! Мне нравится.
Но вот с Unix на слабенькую троечку общаюсь. Досталась в наследство мне это.
Не мог бы  более подробно об этом написать что как и самое важное где можно это сделать.
У меня FreeBSD 4.7
Спасибо.

>>Вариант - прописать в ДНСе (или в файлах hosts) нераспознавание для login.icq.com
>>или давать какой-нибудь левый IP на него - например 127.0.0.1 :)
>>Пусть коннектятся.
>Идея хорошая!!!! Мне нравится.
>Но вот с Unix на слабенькую троечку общаюсь. Досталась в наследство мне
>это.
>Не мог бы  более подробно об этом написать что как и
>самое важное где можно это сделать.
>У меня FreeBSD 4.7
>Спасибо.

Попробуй в качестве эксперимента прописать в файл hosts на клиентском компьютере
127.0.0.1 login.icq.com

Это наиболее безболезненный способ такого финта ушами.
Недостатки: если клиент не дурак - удалит эту запись нафиг, если ему, конечно, права не подрезать. И если разрешение имен стоит по принципу "сначала ДНС, потом файл" этот способ не сработает. В форточках файл hosts вроде как в каталоге виндовс лежать должен, но утверждать не буду - боюсь наврать. Также клиент, прознав про такое издевательство над ним, может попытаться осуществлять коннект по ИП адресу.
Резюме: способ ненадежный, но попробовать можно

>Вариант - прописать в ДНСе (или в файлах hosts) нераспознавание для login.icq.com
>или давать какой-нибудь левый IP на него - например 127.0.0.1 :)
>Пусть коннектятся.

Ага, а еще поднять на этом адресе свой ICQ сервак, который на любой логин и пароль добро дает, пусть локально общаются.

>полови, забей пяток адресов
Может я что то не так пишу. Вот посмотрите плиз что у меня, начиная со строки 501.
Больше ip-адреса новые не появляются. Ася работает все равно.
Я проверяю это дело следующим образом:
набираю ping login.icq.com - смотрю при этом какой ip-шник показывает и режу его в ipfw.
Что я делаю не так???

00100     172691   78322416 divert 8668 ip from any to not 192.168.0.0/24 via rl0
00200     943581  380102205 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00300      51706   18868046 allow ip from any to any via lo0
00400       4014     861395 allow ip from any to any via fxp0
00500          0          0 deny icmp from any to any frag
00501          0          0 deny ip from 205.188.153.121 to any
00502          0          0 deny ip from any to 205.188.153.121
00503         18       1080 deny ip from 205.188.179.233 to any
00504         14        840 deny ip from any to 205.188.179.233
00505         10        600 deny ip from 64.12.161.185 to any
00506          9        540 deny ip from any to 64.12.161.185
00600        437      27304 allow icmp from any to any

Посмотри соединения netstat'ом

я чтоб не париться закрыл на сквиде всю сетку, все равно даром не нужна
acl icqnet dst 205.188.0.0/255.255.0.0
http_access deny all icqnet

если не принимать ответ *выдернуть провод*, то никак - *на каждую хитрую жопу найдется свой ху$ винтом*.

тут уже предлагали блокировать всю сеть АОЛ, но есть еще прокси-сервера для аськи, есть веб-клиент-прокси(не в сетке аол). бороться(если вообще это надо делать) надо административными мерами. издать, под личную подпись каждого, бумагу запрещающую пользоваться аськой. снять все правила в фаерволе. зажопить по логам первого попавшегося. наказать его. 90% пользователей больше аськой на работе пользоваться не будут.

>Пользователи уже достали. Пролазиют кто как может - лишь бы у них
>работала ICQ.
>Закрыл 5190 и 443 порт.
>Так они смогли настроить у себя так, что работают по ней через
>порт 80. Его то я не могу закрыть полностью.
>Подскажите кто знает хороший и надежный способ резки всех icq-пакетов для всех
>портов при помощи ipfw.
>Спасибо.

:)) мда
а так кто то делал:
ipfw deny all from any to 205.188.0.0/16
ipfw deny all from any to 64.12.0.0/16?
и не работает никакая аська!

А про прокси, не так их и много что бы тоже не зафаерволить, да еще юзерам их найти надо, что не так просто для рядового пользователя винды.

я блокировал по пятою адресам что смог получить, срабатывало. С днсом хорошая мысль была.
На своем днс прописываешь login.icq.com как хочешь. запрещаешь клиентам работать через другие днс, только через свой.
а так конечно совокупность мер и административные и технические.

Да  00501 0 0 deny ip from 205.188.153.121 to any выглядит не ахти :)
deny ip from any to 205.188.153.121 куда грамотней + можешь это сделать вообще на всю сеть типо залезь на whois глянь весь диапазон пренадлежащий ICQ и прикрой его 205.188.0.0
У меня стоит IPFilter он кстать весьма изошрен в мелких , но приятных возможнастях.
По поводу DNS не каждый юзер станет искать альтернативный .. его кстать тож можно прикрыть :) С проксями тож можно бороться , отрубая порты, есть ешо мысля по поводу 80го это определять каккого виду пакеты если они не HTTP то резать :) Тут только гвоздь в том , что не каждый фаервол умеет распознавать содержимое пакетов ...

>Тут только гвоздь
>в том , что не каждый фаервол умеет распознавать содержимое пакетов
>...

А распознавать должен не фаер а прокся, а уж он то это мастерски делает.

>:)) мда
>а так кто то делал:
>ipfw deny all from any to 205.188.0.0/16
>ipfw deny all from any to 64.12.0.0/16?
>и не работает никакая аська!
>
>А про прокси, не так их и много что бы тоже не
>зафаерволить, да еще юзерам их найти надо, что не так просто
>для рядового пользователя винды.

Отлично!!!! Помогло спасибо!!! Хороший способ. Я что то как то не пёр сперва про маску.
Вот только хотелось бы чтобы у меня то она была (icq).
Когда выше строк
ipfw deny all from any to 205.188.0.0/16
ipfw deny all from any to 64.12.0.0/16
прописываю
ipfw allow ip from 192.168.0.24 to 205.188.0.0/16
ipfw allow ip from 192.168.0.24 to 64.12.0.0/16
То у меня не работает аська.
192,168,0,24 - это мой внутренний ip.
Как бы так сделать, чтобы себя не зарубать???
Спасибо!!!

>Как бы так сделать, чтобы себя не зарубать???
>Спасибо!!!

Зачем вобще зарубать?

>>Как бы так сделать, чтобы себя не зарубать???
>>Спасибо!!!
>
>Зачем вобще зарубать?

Ну это филосовский вопрос. Начальник сказал!!!!!
Вот только себе то я хочу её оставить.
Ну так что. Знает кто?

>>>Как бы так сделать, чтобы себя не зарубать???

Правильнее всго не ЗАПРЕЩАТЬ что-то клиентам, а РАЗРЕШАТЬ.
Когда клиенту ЗАПРЕЩЕНЫ ВСЕ сервисы, кроме определенных, тогда и у админа головняков меньше.
Естественно, что файрвол должен быть сконфигурирован так, чтобы можно было разным клиентам давать разные разрешения.

>>Отлично!!!! Помогло спасибо!!! Хороший способ. Я что то как то не пёр сперва про маску.
>>Вот только хотелось бы чтобы у меня то она была (icq).
>>Когда выше строк
>>ipfw deny all from any to 205.188.0.0/16
>>ipfw deny all from any to 64.12.0.0/16
>>прописываю
>>ipfw allow ip from 192.168.0.24 to 205.188.0.0/16
>>ipfw allow ip from 192.168.0.24 to 64.12.0.0/16
>>То у меня не работает аська.
>>192,168,0,24 - это мой внутренний ip.
>>Как бы так сделать, чтобы себя не зарубать???
>>Спасибо!!!

Абсолютно все правильно сделано... Смотри повнимательней правила.. может ты порты еще дето заблокировал и не снял... а для верности помести
ipfw allow ip from 192.168.0.24 to 205.188.0.0/16
ipfw allow ip from 192.168.0.24 to 64.12.0.0/16
в самый верх...
Наверняка гдето еще что то закрыто.

>>>Отлично!!!! Помогло спасибо!!! Хороший способ. Я что то как то не пёр сперва про маску.
>>>Вот только хотелось бы чтобы у меня то она была (icq).
>>>Когда выше строк
>>>ipfw deny all from any to 205.188.0.0/16
>>>ipfw deny all from any to 64.12.0.0/16
>>>прописываю
>>>ipfw allow ip from 192.168.0.24 to 205.188.0.0/16
>>>ipfw allow ip from 192.168.0.24 to 64.12.0.0/16
>>>То у меня не работает аська.
>>>192,168,0,24 - это мой внутренний ip.
>>>Как бы так сделать, чтобы себя не зарубать???
>>>Спасибо!!!
>
>Абсолютно все правильно сделано... Смотри повнимательней правила.. может ты порты еще дето
>заблокировал и не снял... а для верности помести
>ipfw allow ip from 192.168.0.24 to 205.188.0.0/16
>ipfw allow ip from 192.168.0.24 to 64.12.0.0/16
>в самый верх...
>Наверняка гдето еще что то закрыто.

Да я уже аж вот так вот все сделал - не работает моя ася.
Бред какой то

00001          6        288 allow ip from 192.168.0.24 to 205.188.0.0/16
00002         46       2208 allow ip from 192.168.0.24 to 64.12.0.0/16
00100       3652    1306716 divert 8668 ip from any to not 192.168.0.0/24 via rl0
00200      58249    4994866 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00300        660     100322 allow ip from any to any via lo0
00400         67       7298 allow ip from any to any via fxp0
00401          0          0 allow ip from 192.168.0.24 to 205.188.0.0/16
00402          0          0 allow ip from 192.168.0.24 to 64.12.0.0/16
00500          0          0 deny icmp from any to any frag
00501          0          0 allow ip from 192.168.0.24 to 205.188.0.0/16
00502          0          0 allow ip from 192.168.0.24 to 64.12.0.0/16
00600         57       2532 deny ip from any to 205.188.0.0/16
00700         65       6916 deny ip from any to 64.12.0.0/16
00800         30       1680 allow icmp from any to any

Изначально подход не совсем правильный..
Уже человек тебе писал!

Нужно ВСЕ закрывать по умолчанию,а все нужное потом открывать!
Если твои юзера ходят только стандартные сервисы,то это оч.просто,а все остальные порты будешь открывтать по мере надобности!

примерно так:
divert 8668 ip from any to any via "внешний интерфейс"
deny ip from "внетрення сеть" to any via  "внешний интерфейс"
allow ip from any to any via lo0
allow ip from any to any via "внутренний  интерфейс"
allow ip from "твой адрес" to any
тут натычешь разрешений дя юзеров

и последним
deny ip from any to any

>Изначально подход не совсем правильный..
>Уже человек тебе писал!
>
>Нужно ВСЕ закрывать по умолчанию,а все нужное потом открывать!
>Если твои юзера ходят только стандартные сервисы,то это оч.просто,а все остальные порты
>будешь открывтать по мере надобности!
>
>примерно так:
>divert 8668 ip from any to any via "внешний интерфейс"
>deny ip from "внетрення сеть" to any via  "внешний интерфейс"
>allow ip from any to any via lo0
>allow ip from any to any via "внутренний  интерфейс"
>allow ip from "твой адрес" to any
>тут натычешь разрешений дя юзеров
>
>и последним
>deny ip from any to any

Но дело в том что потом я открываю для всех порт 80 - так как инетом хотят пользоваться все юзера. А они через этот порт потом работают с аськой.
А аська запрещена. Вот в чем дело то.
Есть у меня одна мысль, но вот только не знаю как прописать диапазон ip-шников своей сети.
Допустим хочу запретить не всем юзерам а только с 192,168,0,1 по 192,168,0,20.
Как я должен записать???

deny all from 192.168.0.1-192.168.0.20 to 205.188.0.0/16
Только вот такой синтаксис 192.168.0.1-192.168.0.20 - не допустим!!!!
А как можно????

>Так они смогли настроить у себя так, что работают по ней через
>порт 80. Его то я не могу закрыть полностью.

transparent proxy

на сквиде резать всё, что в имени серва содержит icq и список их сетей в добавок

>
>>Так они смогли настроить у себя так, что работают по ней через
>>порт 80. Его то я не могу закрыть полностью.
>
>transparent proxy
>
>на сквиде резать всё, что в имени серва содержит icq и список
>их сетей в добавок

А если данный юзер включен в группу с полным доступом в сквиде, то это не спасет.
Поэтому нужно как то в ipfw - это дело настроить.
Вот только не могу пока понять как там можно прописать группу ip адресов

мои 5 коп.:
пересобрать ядро без IPFIREWALL_DEFAULT_TO_ACCEPT и разрешить явно исходящие на 5190 напрямую кому надо, остальных через сквид, на кот. в конфиге прописать:  

acl aim_http rep_mime_type -i ^aim/http$
http_reply_access deny aim_http

и ни одна задница никуда не пролезет уже

>мои 5 коп.:
>пересобрать ядро без IPFIREWALL_DEFAULT_TO_ACCEPT и разрешить явно исходящие на 5190 напрямую кому
>надо, остальных через сквид, на кот. в конфиге прописать:
>
>acl aim_http rep_mime_type -i ^aim/http$
>http_reply_access deny aim_http
>
>и ни одна задница никуда не пролезет уже

и мои 5 копеек:

можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid добавить редиректор типа rejik, в котором и настроить "резку". Можно по IP всевозможных проксей, можно по содержанию типа "icq.com"

>и мои 5 копеек:
>
>можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это
>ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid
>добавить редиректор типа rejik, в котором и настроить "резку". Можно по
>IP всевозможных проксей, можно по содержанию типа "icq.com"

ага, только запаришься эти ip прописывать, у юзеров свободного времени поболее чем у админа - найдут еще и регулярно :), 'по содержанию "icq.com"' тоже не выход.

имхо предыдущий пост более эффективен.

>>и мои 5 копеек:
>>
>>можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это
>>ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid
>>добавить редиректор типа rejik, в котором и настроить "резку". Можно по
>>IP всевозможных проксей, можно по содержанию типа "icq.com"
>
>ага, только запаришься эти ip прописывать, у юзеров свободного времени поболее чем
>у админа - найдут еще и регулярно :), 'по содержанию "icq.com"'
>тоже не выход.
>
>имхо предыдущий пост более эффективен.

ели резать то нада по содержанию слова "aol" но тогда все АОЛы пахать не будут. но сквида нормально все отбивает и аська не грузит и все. а в дополнении с сетками в файрволле вообще отменно...

>Пользователи уже достали. Пролазиют кто как может - лишь бы у них
>работала ICQ.
>Закрыл 5190 и 443 порт.
>Так они смогли настроить у себя так, что работают по ней через
>порт 80. Его то я не могу закрыть полностью.
>Подскажите кто знает хороший и надежный способ резки всех icq-пакетов для всех
>портов при помощи ipfw.
>Спасибо.

Есть список адресов - которые можно заблокировать. Можно ДНС подправить - как писали ниже, а в добавок к этому можно вот такой софт поставить - и будет возможность и работать кому нужно и контролировать если надо: Proxymus
http://www.cs-soft.ru/data1/cssoft.nsf/pagesmenu/proxymusmain
  пишет сообщения ICQ в базу и базы поддерживает Lotus Domino, MS SQL , DB2 и еще чего то