URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 1758
[ Назад ]

Исходное сообщение
"запрет icq"
Отправлено M0t0head , 21-Янв-04 08:33

что-то лыжи не едут... :-)
цель - закрыть аську для некоторых юзеров.
в иделе надо будет закрывать для определенной группы из майкрософт домена.
(доменная авторизация по группам уже настроена)
но сначала для чистоты эксперемента пытаюсь закрыть аську определенному IP:
1.
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32
acl noicq dstdomain .icq.com
http_access deny noicq bed_user
http_access allow all
аська все равно работает!
2.
acl all mynet 192.168.0.0/24
acl bed_user src 192.168.0.254/32
acl noicq2 url_regex -i "/usr/local/squid/icqsites"
http_access deny noicq2 bed_user
http_access allow all

файл icqsites:
############
icq
64.12.164.153
############

и опять аська коннектится..   в ее настройках стоит - коннект к login.icq.com на 443 порт.

а вот и весь конфиг сквида..  может увидите там что-то чего я не вижу..

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl admin src 192.168.0.254/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports  port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#################### MY ACL ###########################
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.254/32

acl neticq url_regex -i "/usr/local/squid/icqsites"
acl neticq2 dstdomain .icq.com
acl NT_superinet external nt_group superinet
acl NT_advancedinet external nt_group advancedinet
acl NT_minimalinet external nt_group minimalinet
acl NT_noicq external nt_group noicq
acl password proxy_auth REQUIRED
acl bed_files urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.wav$ \.mov$ \.exe$
acl bed_sites url_regex -i "/usr/local/squid/bedsites"
#################### END ACL ##########################
#######Recommended minimum configuration:##############
http_access allow manager localhost
http_access allow manager admin
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
############## MY RULE(S)##############################
http_access deny neticq bed_user
http_access allow mynet
http_access deny all
###################END#################################
http_reply_access allow all
icp_access allow all
cache_effective_user nobody
cache_effective_group nogroup

Содержание

запрет icq,denn, 11:09 , 21-Янв-04
- запрет icq,VictorK, 12:19 , 21-Янв-04
  - запрет icq,M0t0head, 13:07 , 21-Янв-04
- запрет icq,M0t0head, 13:08 , 21-Янв-04
  - запрет icq,denn, 13:15 , 21-Янв-04
запрет icq,ipmanyak, 14:55 , 21-Янв-04
- запрет icq,M0t0head, 15:46 , 21-Янв-04
  - запрет icq,R, 21:58 , 21-Янв-04
    - запрет icq,M0t0head, 06:57 , 22-Янв-04
      - запрет icq,Junior, 09:14 , 22-Янв-04
        
        запрет icq,M0t0head, 13:43 , 22-Янв-04
        
        запрет icq,denn, 13:51 , 22-Янв-04
      - запрет icq,denn, 11:19 , 22-Янв-04
        
        запрет icq,M0t0head, 13:45 , 22-Янв-04
        
        вырвал проблему с корнем :-),M0t0head, 16:23 , 23-Янв-04
        
        вырвал проблему с корнем :-),denn, 16:31 , 23-Янв-04
        вырвал проблему с корнем :-),Lord Dred, 17:44 , 27-Янв-04
        
        вырвал проблему с корнем :-),Junior, 09:38 , 28-Янв-04
        
        вырвал проблему с корнем :-),Дмитрий Лавров, 17:08 , 18-Мрт-04
        
        вырвал проблему с корнем :-),Junior, 11:22 , 19-Мрт-04
запрет icq,ipmanyak, 11:38 , 19-Мрт-04
- запрет icq,aLEXX, 17:31 , 28-Май-04

Сообщения в этом обсуждении

"запрет icq"
Отправлено denn , 21-Янв-04 11:09

о, брат, тоеже херней сегодня занимаюсь...
squidGuard есть?

"запрет icq"
Отправлено VictorK , 21-Янв-04 12:19

А squid-то перезапускаешь?

"запрет icq"
Отправлено M0t0head , 21-Янв-04 13:07

>А squid-то перезапускаешь?
обновляю конфиг: squid -k reconfigure

"запрет icq"
Отправлено M0t0head , 21-Янв-04 13:08

>о, брат, тоеже херней сегодня занимаюсь...
>squidGuard есть?
сквид-гварда городить не стал.. вроде как для моих целей встроенных средств должно хватать.
и как успехи? получилось зарезать аську юзеру X ?

"запрет icq"
Отправлено denn , 21-Янв-04 13:15

>>о, брат, тоеже херней сегодня занимаюсь...
>>squidGuard есть?
>
>сквид-гварда городить не стал.. вроде как для моих целей встроенных
>средств должно хватать.
>
>и как успехи? получилось зарезать аську юзеру X ?
в том то и дело, че 2 часа сидел в сквид писал правила на порты, дст, домены, ип,
форум
http://www.opennet.me/search.shtml?words=icq&sort=score&conf...
читал и все равно ася перенаправляла...
в гуарде в две минуты зарубил...
если че найдешь отпиши, интересно где не доглядел...

"запрет icq"
Отправлено ipmanyak , 21-Янв-04 14:55

начнем с того, что указано в настройках прокси у аськи ?
если указан тип прокси https и порт для login.icq.com 443, значит достаточно
в сквиде отрубить safe port 443 ! или как ты и писал заденить dstdomain .icq.com ! Последние аськи умные заразы, ты им пишешь идти черед прокси по https , они туда тычутся - там отлуп, тогда эта зараза убирает сама птицу идти через прокси и пытается идти напрямую мимо прокси , мимо сквида и нужно смотреть правила firewall. Cкорее всего у тебя включен nat и поэтому аська ходит напрямую .

"запрет icq"
Отправлено M0t0head , 21-Янв-04 15:46

>начнем с того, что указано в настройках прокси у аськи ?
>если указан тип прокси https и порт для login.icq.com 443
именно так и указано!..  кстати я писал это  в своем сообщении ;-)
>в сквиде отрубить safe port 443 !
не могу..  он нужен для других целей.
>заденить dstdomain .icq.com  !
так фишка в том что не получается сделать так для отдельных юзеров..
Последние аськи умные заразы, ты им
>пишешь идти черед прокси по https , они туда тычутся
>- там отлуп, тогда эта зараза убирает сама птицу  идти
>через прокси и пытается идти напрямую мимо прокси , мимо сквида
>и нужно смотреть правила firewall. Cкорее всего у тебя включен
>nat и поэтому аська ходит напрямую .
нет :-) это исключено .

"запрет icq"
Отправлено R , 21-Янв-04 21:58

   Как сделал я в свое время 8-)
    Вместо доменной виндовс аутентификации делай digest аутентификацию.
    Формат файла паролей прост:   user:password
    Никакие аськи (я еще не встречал) не умеют лазить через проксю с      аутентификацией digest.
     И не надо никаких acl.
      Теперь все пользователи сидят ТОЛЬКО в IE и лазают по разрешенным (средствами rejik) сайтам.

"запрет icq"
Отправлено M0t0head , 22-Янв-04 06:57

>    Никакие аськи (я еще не встречал) не умеют
>лазить через проксю с      аутентификацией digest.
>     И не надо никаких acl.
так мне не надо чтоб ВСЕ аськи не могли лазить...  - только некоторые! :-)
да и доменная авторизация штука полезная ..отказываться от нее пока не хочу.
вроде тривиальная задача - ограничить аьску юзеру Х.   неужели никто не нашел эффективного решения?
кстати добрые люди подсказали чисто логическое решение проблемы :
http_access allow good_user  # разрешить http - группе good, в ней все юзера и должны быть кто с Асей
http_access deny noicq # запретить http Всем кто обратился к icq.com , а дальше после этого идут юзера которым аська запрещена
http_access allow bed_user #запретить http всем bed
как видно аську запрещена ВСЕМ
но только после того как Гуд уже проскочат!  Гуд будут с Аськой!
---------------------
но меня этот вариант не устраивает..   есть ведь специальные конструкции..
http_access deny noicq bedusers
ведь тут должно срабатывать логическое "И" ..  и аська должна быть запрещена всем кто идет на Icq.com и состоит в группе  bedusers
или нет???
----------

"запрет icq"
Отправлено Junior , 22-Янв-04 09:14

Может совет будет не к месту, но попробуй так:
acl icq dstdomain login.icq.com
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32
http_access allow icq !bed_user
----- cut -----
http_access deny all
Вот, это как вариант. Дело в том, что на авторизацию (login.icq.com) стоит не один сервер, а несколько, запретив один IP он просто соединится с другим.

"запрет icq"
Отправлено M0t0head , 22-Янв-04 13:43

>Может совет будет не к месту, но попробуй так:
все равно коннектится.
да и на login.icq.com набранный в браузере не ругается.

"запрет icq"
Отправлено denn , 22-Янв-04 13:51

>>Может совет будет не к месту, но попробуй так:
>
>все равно коннектится.
>да и на login.icq.com набранный в браузере не ругается.
че бы в броузере ругался, я добавил login.icq.com в
acl bed url_regex '/usr/local/etc/squid/db/bed'
http_access deny bed
и проверь порядок аклов, он важен.

"запрет icq"
Отправлено denn , 22-Янв-04 11:19

ты говорил:
>сквид-гварда городить не стал.. вроде как для моих целей встроенных
>средств должно хватать.
вижу, брат, че для твоих целей, всетаки он тебе згодиться...
контроль нета +фильтры, чебы сквида не дергать...
ставь...

"запрет icq"
Отправлено M0t0head , 22-Янв-04 13:45

>вижу, брат, че для твоих целей, всетаки он тебе згодиться...
еще немного попарюсь. но за совет спасибо! :-)

"вырвал проблему с корнем :-)"
Отправлено M0t0head , 23-Янв-04 16:23

решилось все одной до боли простой строчкой..  может я рано радуюсь.. но кажется обрубил довольно конкретно :-)

acl no_icq  dst 64.12.0.0/16
и самым первым правилом поставил
http_access deny BEDUSERS no_icq
где бедюзерс - у меня группа доменных юзеров..   есессно там может стоять отдельный IP или что угодно на ваш вкус.
мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex - порождает только кучу геммороя. :-)
для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - но это приведено для упрощения записи..  понятно что в dst надо вписать все известные и неизвестные IP серверов icq. :-)

"вырвал проблему с корнем :-)"
Отправлено denn , 23-Янв-04 16:31

ага, жестковато, но работает четко.... молочара.

"вырвал проблему с корнем :-)"
Отправлено Lord Dred , 27-Янв-04 17:44

>решилось все одной до боли простой строчкой..  может я рано радуюсь..
>но кажется обрубил довольно конкретно :-)
>
>
>acl no_icq  dst 64.12.0.0/16
>
>и самым первым правилом поставил
>
>http_access deny BEDUSERS no_icq
>
>где бедюзерс - у меня группа доменных юзеров..   есессно там
>может стоять отдельный IP или что угодно на ваш вкус.
>
>мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex
>- порождает только кучу геммороя. :-)
Почтовики на mail.ru и yandex.ru примерно раз в 2 месяца меняют IP адреса
pop и smtp серверов, а имя же остается постоянным. Так что IP рубить не совсем выход.
>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>но это приведено для упрощения записи..  понятно что в dst
>надо вписать все известные и неизвестные IP серверов icq. :-)

"вырвал проблему с корнем :-)"
Отправлено Junior , 28-Янв-04 09:38

>>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>>но это приведено для упрощения записи..  понятно что в dst
>>надо вписать все известные и неизвестные IP серверов icq. :-)
# nslookup
> login.icq.com
Server:         192.168.1.1
Address:        192.168.1.1#53
Non-authoritative answer:
login.icq.com   canonical name = login.login-grt.messaging.aol.com.
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.153
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.185
Name:   login.login-grt.messaging.aol.com
Address: 64.12.200.89
Name:   login.login-grt.messaging.aol.com
Address: 205.188.179.233
Как видно не только 64.12.0.0/16

"вырвал проблему с корнем :-)"
Отправлено Дмитрий Лавров , 18-Мрт-04 17:08

Здесь без настройки фильтров фаервола не обойтись.
Ведь пользователь может и не использовать прокси, если стоит NAT.
Вот пример цепочек для различный вредоносных программ:
# GNUtella, Bearshare и ToadNode
/sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT
# eDonkey
/sbin/iptables -A FORWARD -p tcp --dport 4661:4662 -j REJECT
/sbin/iptables -A FORWARD -p udp --dport 4665 -j REJECT
# Kazaa и Morpheus
/sbin/iptables -A FORWARD --dport 1214 -j REJECT
/sbin/iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
/sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
# AIM и ICQ
/sbin/iptables -A FORWARD --dport 9898 -j REJECT
/sbin/iptables -A FORWARD --dport 5190:5193 -j REJECT
/sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT
/sbin/iptables -A FORWARD -d login.icq.com -j REJECT
# Jabber
/sbin/iptables -A FORWARD --dport 5222:5223 -j REJECT
# MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
# Yahoo! Messenger
/sbin/iptables -A FORWARD -p TCP --dport 5000:5010 -j REJECT
/sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT
/sbin/iptables -A FORWARD -b scsa.yahoo.com -j REJECT

"вырвал проблему с корнем :-)"
Отправлено Junior , 19-Мрт-04 11:22

>Здесь без настройки фильтров фаервола не обойтись.
>Ведь пользователь может и не использовать прокси, если стоит NAT.
>Вот пример цепочек для различный вредоносных программ:
Возможно правильней будет пускать через нат только определённые запросы?:)
Например только получать/принимать почту с внешних ящиков.
А остальное рубить по-умолчанию.
Я так и делаю, например. Поэтому весь трафик контролируется. А если Всё разрешать, а определённые порты рубить, то потом ещё какая-то фигня может придуматься и не успеешь отследить.

"запрет icq"
Отправлено ipmanyak , 19-Мрт-04 11:38

как-то проскакивало уже на опеннет про запрет icq, делается это типа так:
acl aim_http reply_mime_type -i ^aim/http$
http_reply_access deny aim_http

"запрет icq"
Отправлено aLEXX , 28-Май-04 17:31

У меня так:
acl banners url_regex "/usr/local/squid/etc/banners.acl"
а в banners.acl я записал ключевые слова icq и mirabilis.
И все!