URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 1758
[ Назад ]

Исходное сообщение
"запрет icq"

Отправлено M0t0head , 21-Янв-04 08:33 
что-то лыжи не едут... :-)

цель - закрыть аську для некоторых юзеров.
в иделе надо будет закрывать для определенной группы из майкрософт домена.
(доменная авторизация по группам уже настроена)

но сначала для чистоты эксперемента пытаюсь закрыть аську определенному IP:
1.

acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32
acl noicq dstdomain .icq.com

http_access deny noicq bed_user
http_access allow all

аська все равно работает!

2.
acl all mynet 192.168.0.0/24
acl bed_user src 192.168.0.254/32
acl noicq2 url_regex -i "/usr/local/squid/icqsites"

http_access deny noicq2 bed_user
http_access allow all

файл icqsites:
############
icq
64.12.164.153
############


и опять аська коннектится..   в ее настройках стоит - коннект к login.icq.com на 443 порт.


а вот и весь конфиг сквида..  может увидите там что-то чего я не вижу..


#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl admin src 192.168.0.254/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports  port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT


#################### MY ACL ###########################
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.254/32


acl neticq url_regex -i "/usr/local/squid/icqsites"
acl neticq2 dstdomain .icq.com

acl NT_superinet external nt_group superinet
acl NT_advancedinet external nt_group advancedinet
acl NT_minimalinet external nt_group minimalinet
acl NT_noicq external nt_group noicq
acl password proxy_auth REQUIRED

acl bed_files urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.wav$ \.mov$ \.exe$
acl bed_sites url_regex -i "/usr/local/squid/bedsites"

#################### END ACL ##########################

#######Recommended minimum configuration:##############
http_access allow manager localhost
http_access allow manager admin
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost

############## MY RULE(S)##############################

http_access deny neticq bed_user

http_access allow mynet

http_access deny all

###################END#################################

http_reply_access allow all
icp_access allow all
cache_effective_user nobody
cache_effective_group nogroup


Содержание

Сообщения в этом обсуждении
"запрет icq"
Отправлено denn , 21-Янв-04 11:09 
о, брат, тоеже херней сегодня занимаюсь...
squidGuard есть?

"запрет icq"
Отправлено VictorK , 21-Янв-04 12:19 
А squid-то перезапускаешь?

"запрет icq"
Отправлено M0t0head , 21-Янв-04 13:07 
>А squid-то перезапускаешь?
обновляю конфиг: squid -k reconfigure



"запрет icq"
Отправлено M0t0head , 21-Янв-04 13:08 
>о, брат, тоеже херней сегодня занимаюсь...
>squidGuard есть?

сквид-гварда городить не стал..   вроде как для моих целей встроенных средств должно хватать.

и как успехи? получилось зарезать аську юзеру X ?


"запрет icq"
Отправлено denn , 21-Янв-04 13:15 
>>о, брат, тоеже херней сегодня занимаюсь...
>>squidGuard есть?
>
>сквид-гварда городить не стал..   вроде как для моих целей встроенных
>средств должно хватать.
>
>и как успехи? получилось зарезать аську юзеру X ?

в том то и дело, че 2 часа сидел в сквид писал правила на порты, дст, домены, ип,
форум
http://www.opennet.me/search.shtml?words=icq&sort=score&conf...
читал и все равно ася перенаправляла...

в гуарде в две минуты зарубил...
если че найдешь отпиши, интересно где не доглядел...


"запрет icq"
Отправлено ipmanyak , 21-Янв-04 14:55 
начнем с того, что указано в настройках прокси у аськи ?
если указан тип прокси https и порт для login.icq.com 443, значит достаточно
в сквиде отрубить safe port 443 ! или как ты и писал заденить dstdomain .icq.com  ! Последние аськи умные заразы, ты им пишешь идти черед прокси по https , они туда тычутся  - там отлуп, тогда эта зараза убирает сама птицу  идти через прокси и пытается идти напрямую мимо прокси , мимо сквида и нужно смотреть правила firewall. Cкорее всего у тебя включен  nat и поэтому аська ходит напрямую .

"запрет icq"
Отправлено M0t0head , 21-Янв-04 15:46 
>начнем с того, что указано в настройках прокси у аськи ?
>если указан тип прокси https и порт для login.icq.com 443

именно так и указано!..  кстати я писал это  в своем сообщении ;-)

>в сквиде отрубить safe port 443 !

не могу..  он нужен для других целей.

>заденить dstdomain .icq.com  !

так фишка в том что не получается сделать так для отдельных юзеров..

Последние аськи умные заразы, ты им
>пишешь идти черед прокси по https , они туда тычутся  
>- там отлуп, тогда эта зараза убирает сама птицу  идти
>через прокси и пытается идти напрямую мимо прокси , мимо сквида
>и нужно смотреть правила firewall. Cкорее всего у тебя включен  
>nat и поэтому аська ходит напрямую .

нет :-) это исключено .



"запрет icq"
Отправлено R , 21-Янв-04 21:58 

   Как сделал я в свое время 8-)
    Вместо доменной виндовс аутентификации делай digest аутентификацию.

    Формат файла паролей прост:   user:password

    Никакие аськи (я еще не встречал) не умеют лазить через проксю с      аутентификацией digest.
     И не надо никаких acl.

      Теперь все пользователи сидят ТОЛЬКО в IE и лазают по разрешенным (средствами rejik) сайтам.
                


"запрет icq"
Отправлено M0t0head , 22-Янв-04 06:57 
>    Никакие аськи (я еще не встречал) не умеют
>лазить через проксю с      аутентификацией digest.
>     И не надо никаких acl.
так мне не надо чтоб ВСЕ аськи не могли лазить...  - только некоторые! :-)
да и доменная авторизация штука полезная ..отказываться от нее пока не хочу.

вроде тривиальная задача - ограничить аьску юзеру Х.   неужели никто не нашел эффективного решения?

кстати добрые люди подсказали чисто логическое решение проблемы :

http_access allow good_user  # разрешить http - группе good, в ней все юзера и должны быть кто с Асей

http_access deny noicq # запретить http Всем кто обратился к icq.com , а дальше после этого идут юзера которым аська запрещена

http_access allow bed_user #запретить http всем bed

как видно аську запрещена ВСЕМ
но только после того как Гуд уже проскочат!  Гуд будут с Аськой!

---------------------

но меня этот вариант не устраивает..   есть ведь специальные конструкции..
http_access deny noicq bedusers
ведь тут должно срабатывать логическое "И" ..  и аська должна быть запрещена всем кто идет на Icq.com и состоит в группе  bedusers

или нет???
----------


"запрет icq"
Отправлено Junior , 22-Янв-04 09:14 
Может совет будет не к месту, но попробуй так:

acl icq dstdomain login.icq.com
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32

http_access allow icq !bed_user

----- cut -----

http_access deny all

Вот, это как вариант. Дело в том, что на авторизацию (login.icq.com) стоит не один сервер, а несколько, запретив один IP он просто соединится с другим.


"запрет icq"
Отправлено M0t0head , 22-Янв-04 13:43 
>Может совет будет не к месту, но попробуй так:

все равно коннектится.
да и на login.icq.com набранный в браузере не ругается.


"запрет icq"
Отправлено denn , 22-Янв-04 13:51 
>>Может совет будет не к месту, но попробуй так:
>
>все равно коннектится.
>да и на login.icq.com набранный в браузере не ругается.

че бы в броузере ругался, я добавил  login.icq.com в

acl bed url_regex '/usr/local/etc/squid/db/bed'
http_access deny bed

и проверь порядок аклов, он важен.


"запрет icq"
Отправлено denn , 22-Янв-04 11:19 
ты говорил:
>сквид-гварда городить не стал..   вроде как для моих целей встроенных
>средств должно хватать.
вижу, брат, че для твоих целей, всетаки он тебе згодиться...
контроль нета +фильтры, чебы сквида не дергать...
ставь...

"запрет icq"
Отправлено M0t0head , 22-Янв-04 13:45 
>вижу, брат, че для твоих целей, всетаки он тебе згодиться...
еще немного попарюсь. но за совет спасибо! :-)

"вырвал проблему с корнем :-)"
Отправлено M0t0head , 23-Янв-04 16:23 
решилось все одной до боли простой строчкой..  может я рано радуюсь.. но кажется обрубил довольно конкретно :-)


acl no_icq  dst 64.12.0.0/16

и самым первым правилом поставил

http_access deny BEDUSERS no_icq  

где бедюзерс - у меня группа доменных юзеров..   есессно там может стоять отдельный IP или что угодно на ваш вкус.

мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex - порождает только кучу геммороя. :-)

для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - но это приведено для упрощения записи..  понятно что в dst надо вписать все известные и неизвестные IP серверов icq. :-)


"вырвал проблему с корнем :-)"
Отправлено denn , 23-Янв-04 16:31 
ага, жестковато, но работает четко.... молочара.

"вырвал проблему с корнем :-)"
Отправлено Lord Dred , 27-Янв-04 17:44 
>решилось все одной до боли простой строчкой..  может я рано радуюсь..
>но кажется обрубил довольно конкретно :-)
>
>
>acl no_icq  dst 64.12.0.0/16
>
>и самым первым правилом поставил
>
>http_access deny BEDUSERS no_icq
>
>где бедюзерс - у меня группа доменных юзеров..   есессно там
>может стоять отдельный IP или что угодно на ваш вкус.
>
>мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex
>- порождает только кучу геммороя. :-)

Почтовики на mail.ru и yandex.ru примерно раз в 2 месяца меняют IP адреса
pop и smtp серверов, а имя же остается постоянным. Так что IP рубить не совсем выход.

>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>но это приведено для упрощения записи..  понятно что в dst
>надо вписать все известные и неизвестные IP серверов icq. :-)



"вырвал проблему с корнем :-)"
Отправлено Junior , 28-Янв-04 09:38 
>>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>>но это приведено для упрощения записи..  понятно что в dst
>>надо вписать все известные и неизвестные IP серверов icq. :-)

# nslookup

> login.icq.com
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
login.icq.com   canonical name = login.login-grt.messaging.aol.com.
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.153
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.185
Name:   login.login-grt.messaging.aol.com
Address: 64.12.200.89
Name:   login.login-grt.messaging.aol.com
Address: 205.188.179.233

Как видно не только 64.12.0.0/16


"вырвал проблему с корнем :-)"
Отправлено Дмитрий Лавров , 18-Мрт-04 17:08 
Здесь без настройки фильтров фаервола не обойтись.
Ведь пользователь может и не использовать прокси, если стоит NAT.
Вот пример цепочек для различный вредоносных программ:

# GNUtella, Bearshare и ToadNode
/sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT

# eDonkey
/sbin/iptables -A FORWARD -p tcp --dport 4661:4662 -j REJECT
/sbin/iptables -A FORWARD -p udp --dport 4665 -j REJECT

# Kazaa и Morpheus
/sbin/iptables -A FORWARD --dport 1214 -j REJECT
/sbin/iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
/sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT

# AIM и ICQ
/sbin/iptables -A FORWARD --dport 9898 -j REJECT
/sbin/iptables -A FORWARD --dport 5190:5193 -j REJECT
/sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT
/sbin/iptables -A FORWARD -d login.icq.com -j REJECT

# Jabber
/sbin/iptables -A FORWARD --dport 5222:5223 -j REJECT

# MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

# Yahoo! Messenger
/sbin/iptables -A FORWARD -p TCP --dport 5000:5010 -j REJECT
/sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT
/sbin/iptables -A FORWARD -b scsa.yahoo.com -j REJECT


"вырвал проблему с корнем :-)"
Отправлено Junior , 19-Мрт-04 11:22 
>Здесь без настройки фильтров фаервола не обойтись.
>Ведь пользователь может и не использовать прокси, если стоит NAT.
>Вот пример цепочек для различный вредоносных программ:

Возможно правильней будет пускать через нат только определённые запросы?:)
Например только получать/принимать почту с внешних ящиков.
А остальное рубить по-умолчанию.
Я так и делаю, например. Поэтому весь трафик контролируется. А если Всё разрешать, а определённые порты рубить, то потом ещё какая-то фигня может придуматься и не успеешь отследить.


"запрет icq"
Отправлено ipmanyak , 19-Мрт-04 11:38 
как-то проскакивало уже на опеннет про запрет icq, делается это типа так:

acl aim_http reply_mime_type -i ^aim/http$
http_reply_access deny aim_http


"запрет icq"
Отправлено aLEXX , 28-Май-04 17:31 
У меня так:

acl banners url_regex "/usr/local/squid/etc/banners.acl"

а в banners.acl я записал ключевые слова icq и mirabilis.

И все!