URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3463
[ Назад ]
Исходное сообщение
"Разрешить только ICQ"
Отправлено CrAzOiD , 25-Авг-05 03:00 
Понадобилось тут разрешить работу только ICQ в офисе.
Вроде добился, но аська отваливается и заново коннектиться каждые секунд 20. Вдумчивое изучение логов нечего не выявило. Никаких DENY.
Доступ давал так:

acl MyNet src 192.168.5.0/255.255.255.0
acl ICQ_DOMAIN dstdomain .aol.com .icq.com .atwola.com
acl ICQ_ADDR dst 64.12.0.0/255.255.0.0 205.188.0.0/255.255.0.0
http_access allow MyNet ICQ_DOMAIN
http_access allow MyNet ICQ_ADDR
http_access deny MyNet

При этом если дать http_access allow MyNet то все работает. В том числе и инет для пользователей. А так не надо...
Что я не так делаю? Как правильно описать разрешение на аську (через https proxy)?

Содержание
Сообщения в этом обсуждении
"Разрешить только ICQ"
Отправлено ipmanyak , 25-Авг-05 07:16 
в аське укажи птицу - keep connection alive , как подключить по https читай на squid.opennet.ru , по дефолту в сквиде уже все настройки сделаны для https


"Разрешить только ICQ"
Отправлено sclif13 , 25-Авг-05 07:44 
Простой выход поставь socks5 и не надо через squid. Хотя аська все равно будет падать через некоторое время судьба у нее такая.


"Разрешить только ICQ"
Отправлено ALex_hha , 25-Авг-05 10:28 
>Простой выход поставь socks5 и не надо через squid. Хотя аська все
>равно будет падать через некоторое время судьба у нее такая.
А еще проще настрой NAT и все. Так толку от squid для icq не будет, ну нечего там кешировать.
"Разрешить только ICQ"
Отправлено CrAzOiD , 25-Авг-05 14:19 
>>Простой выход поставь socks5 и не надо через squid. Хотя аська все
>>равно будет падать через некоторое время судьба у нее такая.
>А еще проще настрой NAT и все. Так толку от squid для
>icq не будет, ну нечего там кешировать.


squid нужен. В офисе работает правило: в рабочее время только аська и некоторые разрешенные сайты. В остальное время - все. Так вот не получается разрешить только аську. Что удалось добится - только подключение и тут же отключение.
Аська работает и не падает когда нет ограничений. Так вот надо понять что не так. И что перекрыто
Понятно что нечего кешировать. Но в офисе весь инет через squid. Городить NAT только для аськи незачем. Хотя можно. Достаточно разрешить трансляции на адреса: 64.12.0.0/255.255.0.0 и 205.188.0.0/255.255.0.0 ? Или есть еще какие-то тонкости?

"Разрешить только ICQ"
Отправлено CrAzOiD , 25-Авг-05 14:14 
>Простой выход поставь socks5 и не надо через squid. Хотя аська все
>равно будет падать через некоторое время судьба у нее такая.


Зачем мне socks? Лишняя дырка? Ну поставлю, а вопрос тогда такой: как разрешить ТОЛЬКО аську через soсks?
А squid нужен. В офисе работает правило: в рабочее время только аська и некоторые разрешенные сайты. В остальное время - все. Так вот не получается разрешить только аську. Что удалось добится - только подключение и тут же отключение.
Аська работает и не падает когда нет ограничений. Так вот надо понять что не так. И что перекрыто.

"Разрешить только ICQ"
Отправлено CrAzOiD , 25-Авг-05 14:09 
>в аське укажи птицу - keep connection alive , как подключить по
>https читай на squid.opennet.ru , по дефолту в сквиде уже все
>настройки сделаны для https


Это все указано. Что и как настраивается - я в курсе. Проблема в том что надо ТОЛЬКО аську пропустить. А счас и так все работает и аська в том числе по HTTPS.

"Разрешить только ICQ"
Отправлено ipmanyak , 25-Авг-05 15:12 
>>в аське укажи птицу - keep connection alive , как подключить по
>>https читай на squid.opennet.ru , по дефолту в сквиде уже все
>>настройки сделаны для https
>
>
>Это все указано. Что и как настраивается - я в курсе. Проблема
>в том что надо ТОЛЬКО аську пропустить. А счас и так
>все работает и аська в том числе по HTTPS.
ну дык и запрещай всё в рабочее время кроме аси  , в чем собсна проблема порты https и метод конеект разрешай выше правил запрещений (они и так выше стоят по дефолту) , далее :
acl all_inet dst 0/0
acl  time1 ....
http_access deny all_inet time1

"Разрешить только ICQ"
Отправлено CrAzOiD , 26-Авг-05 00:05 
>ну дык и запрещай всё в рабочее время кроме аси  ,
>в чем собсна проблема порты https и метод конеект разрешай выше
>правил запрещений (они и так выше стоят по дефолту) , далее
>:
>acl all_inet dst 0/0
>acl  time1 ....
>http_access deny all_inet time1

Ну так я и асю прикрою. Надо четко описать куда и как коннектится ася что б ее не перекрыть. Весь вопрос как.
https и метод конеект недостачно.

"Разрешить только ICQ"
Отправлено ipmanyak , 26-Авг-05 08:46 
>>ну дык и запрещай всё в рабочее время кроме аси  ,
>>в чем собсна проблема порты https и метод конеект разрешай выше
>>правил запрещений (они и так выше стоят по дефолту) , далее
>>:
>>acl all_inet dst 0/0
>>acl  time1 ....
>>http_access deny all_inet time1
>
>Ну так я и асю прикрою. Надо четко описать куда и как
>коннектится ася что б ее не перекрыть. Весь вопрос как.
>https и метод конеект недостачно.
ничего ты не перекроешь для аси ,  правила пашут сверху вниз
если она уже законнектилась по https , то нижние правила на нее уже не действуют

"Разрешить только ICQ"
Отправлено CrAzOiD , 26-Авг-05 14:38 

>если она уже законнектилась по https , то нижние правила на нее
>уже не действуют

Это понятно.
Если ты так настаиваешь, покажи кусок рабочего конфига.

"Разрешить только ICQ"
Отправлено sem , 31-Авг-05 19:15 

Столько напряга. Сквиду- сквидово. Рисуй ACL

А для тети аси есть прекрасный sock4-5 сервер. Зоветься "dante".

Есть в портах. Настройка с авторизацией и без трудностей не вызывает.

И главное ася от него никогда не падает.

"Разрешить только ICQ"
Отправлено Maikl , 29-Ноя-05 03:55 
Поставь редирект со своего сервера на сервер Мирабилис (ICQ)
тоесть, на твоем сервере, на интерфейсе клиентов открой порт ICQ и перебрось запросы с него на Мирабилис