У меня вот такая проблема - нажно ряду (особо отличившихся) пользователей заблокировать аську, а сюда пишу потому что что то не получаетсяИнтернет у меня раздается через линуксовый сервер, настроен нат (это кусочек из скрипта зап iptables, у меня два провайдера, $IPT в скрипте заменяется на iptables )
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE # маскарадинг
$IPT -t nat -A POSTROUTING -o eth2 -j MASQUERADE
$IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to 192.168.0.1:3128
$IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to 192.168.0.1:3128
$IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j DNAT --to 192.168.0.1:3128
$IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j DNAT --to 192.168.0.1:3128Установлен сквид
Я попробовал сделать вот что
добавил в скрипт такие строчки$IPT -A FORWARD -d icq.com -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d aol.com -s 192.168.0.32 -j DROPВроде помогло , пинговать эти сайты оттуда с компа не могу но аська работает
Все равно фиксирую (при помощи tcpdump-a)12:47:44.037492 IP 192.168.0.32.1808 > 205.188.7.126.5190: P 222:240(18) ack 3677 win 64291
12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384
12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384Покопался в инете
Например здесь (да и в других местах)
http://www.clarkconnect.ru/forum/viewtopic.php?p=3180&sid=49...Там рекомендуют закрывать отдельные подсети - правильно ли я это понял? в этом ли моя ошибка я то их не прикрыл ? что еще нужно прикрыть из ип адресов ?
Мож кто посоветует - как лучше аську заблокировать ? (я уверен эта проблема у многих встает и решается и мож кто , из саоего опыта, посоветует и выложит конфиги).
Я запретил всю сеть аола205.188.0.0/16
Аська убилась у всех.
iptables -A FORWARD -d 205.188.0.0/16 -j DROP
>У меня вот такая проблема - нажно ряду (особо отличившихся) пользователей заблокировать
>аську, а сюда пишу потому что что то не получается
>Все равно фиксирую (при помощи tcpdump-a)
>
>12:47:44.037492 IP 192.168.0.32.1808 > 205.188.7.126.5190: P 222:240(18) ack 3677 win 64291
>12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384
>12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384Прикрыть вообще порт 5190 должно помочь.
Впрочем, самый надёжный способ - не разрешать по умолчанию NAT вообще. Кому нужна аська - открыть на 5190.
b.r.
>[оверквотинг удален]
>>12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384
>>12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384
>
>Прикрыть вообще порт 5190 должно помочь.
>
>Впрочем, самый надёжный способ - не разрешать по умолчанию NAT вообще. Кому
>нужна аська - открыть на 5190.
>
>
>b.r.Спасибо всем кто ответил
Я пока написал решил (рискнул ) поэкспериментировать
Взял сети (из ссылке), расчитал к какой они относятся подсети
#81.19.64.0 - 81.19.66.255 - Rambler ICQ 81.19.64.0/23, 81.19.66.0/23
#81.19.69.0 - 81.19.70.255 - icq-ws.rambler.ru 81.19.69.0/24, 81.19.70.0/24
#205.188.0.0 - 205.188.255.255 - ICQ. America Online, Inc. 205.188.0.0/16
#64.12.0.0 - 64.12.255.255 - ICQ. America Online, Inc. 64.12.0.0/16и добавил в скрипт такие строки (для каждого пользователя)
#Блокировка компа
$IPT -A FORWARD -d 205.188.0.0/16 -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d 81.19.64.0/23 -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d 81.19.66.0/23 -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d 81.19.69.0/24 -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d 81.19.70.0/24 -s 192.168.0.32 -j DROP
$IPT -A FORWARD -d 64.12.0.0/16 -s 192.168.0.32 -j DROPвроде все отличто - т.е. аська не работает.
Но меня интересует а можно ли это еще как нибуть сделать - ну пооптимальнее или мож еще есть какие подсети нужные для блокировки ??
P.S.
От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми телефонами (с установлеными аськами) и крики мы не сдадимся и все равно будем пользоваться аськой :) :)
>P.S.
>От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми
>телефонами (с установлеными аськами) и крики мы не сдадимся и все
>равно будем пользоваться аськой :) :)<offtopic>
Я всегда был сторонником нетехнических мер ограничения. Зачем резать, например, порнуху, если всё равно всё не перекроешь? Зато по итогам месяца можно собрать статистику sarg'ом и положить на стол руководству. Выговор с занесением + штраф на ползарплаты - и человек навечно забывает о том, чтоб лазить куда не следует.Если, конечно, это нужно руководству. Если ему плевать - то админу должно быть плевать тем более.
</offtopic>
>[оверквотинг удален]
><offtopic>
>Я всегда был сторонником нетехнических мер ограничения. Зачем резать, например, порнуху, если
>всё равно всё не перекроешь? Зато по итогам месяца можно собрать
>статистику sarg'ом и положить на стол руководству. Выговор с занесением +
>штраф на ползарплаты - и человек навечно забывает о том, чтоб
>лазить куда не следует.
>
>Если, конечно, это нужно руководству. Если ему плевать - то админу должно
>быть плевать тем более.
></offtopic>+1
Всегда придерживался данного правила.
Кстати, юзер может найти любой прокси-сервер в инете и запустить аську через него.
То есть это не 100% защита блокировать сети icq.
>От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми
>телефонами (с установлеными аськами) и крики мы не сдадимся и все
>равно будем пользоваться аськой :) :)У вас очень странный метод знакомства с девушками. А девушки правильно поступают, а главное умнее админчега.
>У вас очень странный метод знакомства с девушками. А девушки правильно поступают,
>а главное умнее админчега.Ето верно - обычно они только глупенькими притворяются - они уже мгновенно перешли на аську через веб шлюзы (хожу бойко барабанят по клавам).
А насчет знакомства - так это не моя идея а приказ фин директора. А дальше пусть наш фин дир и следит на кокой сайт она лазают и дает команду (я сам за этим следить не собираюсь ибо мне все равно)
iptables -A FORWARD -d ! 192.168.0.0/24 -p tcp --dport 5190 -j REJECT
iptables -A FORWARD -s ! 192.168.0.0/24 -p tcp --sport 5190 -j REJECT
ну естествеено в самое начало таблицы Filter
>iptables -A FORWARD -d ! 192.168.0.0/24 -p tcp --dport 5190 -j REJECT
>
>iptables -A FORWARD -s ! 192.168.0.0/24 -p tcp --sport 5190 -j REJECT
>
>ну естествеено в самое начало таблицы Filterага ) про прокси забыл однако )
>
>ага ) про прокси забыл однако )А тут проки у меня не нужен. У меня нат , на сквид часть портов перенаправляются.
Если на вашем сквиде разрешен CONNECT, то, используя proxifier, девушки получать эффект полностью открытого NAT. В оффисных локалках некоторые пользователи зачастую умнее админа, остальные же как обезьянки копируют метод, придуманный умным пользователем.
>Если на вашем сквиде разрешен CONNECT, то, используя proxifier, девушки получать эффект
>полностью открытого NAT. В оффисных локалках некоторые пользователи зачастую умнее админа,
>остальные же как обезьянки копируют метод, придуманный умным пользователем.+1
самый верный вариант - ногой в голову