форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Блокирование icq средствами iptables"

Сообщение от sergicus (ok) on 09-Фев-09, 13:02

У меня вот такая проблема - нажно ряду (особо отличившихся) пользователей заблокировать аську, а сюда пишу потому что что то не получается Интернет у меня раздается через линуксовый сервер, настроен нат (это кусочек из скрипта зап iptables, у меня два провайдера, $IPT в скрипте заменяется на iptables ) $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE # маскарадинг $IPT -t nat -A POSTROUTING -o eth2 -j MASQUERADE $IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to 192.168.0.1:3128 $IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to 192.168.0.1:3128 $IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j DNAT --to 192.168.0.1:3128 $IPT -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j DNAT --to 192.168.0.1:3128 Установлен сквид Я попробовал сделать вот что добавил в скрипт такие строчки $IPT -A FORWARD -d icq.com -s 192.168.0.32 -j DROP $IPT -A FORWARD -d aol.com -s 192.168.0.32 -j DROP Вроде помогло , пинговать эти сайты оттуда с компа не могу но аська работает Все равно фиксирую (при помощи tcpdump-a) 12:47:44.037492 IP 192.168.0.32.1808 > 205.188.7.126.5190: P 222:240(18) ack 3677 win 64291 12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384 12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384 Покопался в инете   Например здесь (да и в других местах) http://www.clarkconnect.ru/forum/viewtopic.php?p=3180&sid=49... Там рекомендуют закрывать отдельные подсети - правильно ли я это понял? в этом ли моя ошибка я то их не прикрыл ? что еще нужно прикрыть из ип адресов ? Мож кто посоветует - как лучше аську заблокировать ? (я уверен эта проблема у многих встает и решается и мож кто , из саоего опыта, посоветует и выложит конфиги).

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Блокирование icq средствами iptables"

Сообщение от berlin on 09-Фев-09, 13:24

Я запретил всю сеть аола 205.188.0.0/16 Аська убилась у всех.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Блокирование icq средствами iptables"
	Сообщение от berlin on 09-Фев-09, 13:37
	iptables -A FORWARD -d 205.188.0.0/16 -j DROP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Блокирование icq средствами iptables"

Сообщение от Scarab (??) on 09-Фев-09, 13:37

>У меня вот такая проблема - нажно ряду (особо отличившихся) пользователей заблокировать >аську, а сюда пишу потому что что то не получается >Все равно фиксирую (при помощи tcpdump-a) > >12:47:44.037492 IP 192.168.0.32.1808 > 205.188.7.126.5190: P 222:240(18) ack 3677 win 64291 >12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384 >12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384 Прикрыть вообще порт 5190 должно помочь. Впрочем, самый надёжный способ - не разрешать по умолчанию NAT вообще. Кому нужна аська - открыть на 5190. b.r.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Блокирование icq средствами iptables"
	Сообщение от sergicus (ok) on 09-Фев-09, 14:02
	>[оверквотинг удален] >>12:47:44.166284 IP 205.188.7.126.5190 > 192.168.0.32.1808: . ack 240 win 16384 >>12:47:44.167893 IP 205.188.7.126.5190 > 192.168.0.32.1808: P 3677:3988(311) ack 240 win 16384 > >Прикрыть вообще порт 5190 должно помочь. > >Впрочем, самый надёжный способ - не разрешать по умолчанию NAT вообще. Кому >нужна аська - открыть на 5190. > > >b.r. Спасибо всем кто ответил   Я пока написал решил (рискнул ) поэкспериментировать Взял сети (из ссылке), расчитал к какой они относятся подсети #81.19.64.0 - 81.19.66.255 - Rambler ICQ   81.19.64.0/23, 81.19.66.0/23 #81.19.69.0 - 81.19.70.255 - icq-ws.rambler.ru  81.19.69.0/24, 81.19.70.0/24 #205.188.0.0 - 205.188.255.255 - ICQ. America Online, Inc.   205.188.0.0/16 #64.12.0.0 - 64.12.255.255 - ICQ. America Online, Inc.   64.12.0.0/16 и добавил в скрипт такие строки (для каждого пользователя) #Блокировка компа $IPT -A FORWARD -d 205.188.0.0/16 -s 192.168.0.32 -j DROP $IPT -A FORWARD -d  81.19.64.0/23 -s 192.168.0.32 -j DROP $IPT -A FORWARD -d  81.19.66.0/23 -s 192.168.0.32 -j DROP $IPT -A FORWARD -d  81.19.69.0/24 -s 192.168.0.32 -j DROP $IPT -A FORWARD -d  81.19.70.0/24 -s 192.168.0.32 -j DROP $IPT -A FORWARD -d  64.12.0.0/16 -s 192.168.0.32 -j DROP вроде все отличто - т.е. аська не работает.   Но меня интересует а можно ли это еще как нибуть сделать - ну пооптимальнее  или мож еще есть какие подсети нужные для блокировки ?? P.S. От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми телефонами (с установлеными аськами) и крики мы не сдадимся и все равно будем пользоваться аськой  :) :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Блокирование icq средствами iptables"
	Сообщение от Scarab (??) on 09-Фев-09, 14:15
	>P.S. >От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми >телефонами (с установлеными аськами) и крики мы не сдадимся и все >равно будем пользоваться аськой  :) :) <offtopic> Я всегда был сторонником нетехнических мер ограничения. Зачем резать, например, порнуху, если всё равно всё не перекроешь? Зато по итогам месяца можно собрать статистику sarg'ом и положить на стол руководству. Выговор с занесением + штраф на ползарплаты - и человек навечно забывает о том, чтоб лазить куда не следует. Если, конечно, это нужно руководству. Если ему плевать - то админу должно быть плевать тем более. </offtopic>
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Блокирование icq средствами iptables"
	Сообщение от wertik (ok) on 09-Фев-09, 15:20
	>[оверквотинг удален] ><offtopic> >Я всегда был сторонником нетехнических мер ограничения. Зачем резать, например, порнуху, если >всё равно всё не перекроешь? Зато по итогам месяца можно собрать >статистику sarg'ом и положить на стол руководству. Выговор с занесением + >штраф на ползарплаты - и человек навечно забывает о том, чтоб >лазить куда не следует. > >Если, конечно, это нужно руководству. Если ему плевать - то админу должно >быть плевать тем более. ></offtopic> +1 Всегда придерживался данного правила.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Блокирование icq средствами iptables"
	Сообщение от berlin on 09-Фев-09, 16:00
	Кстати, юзер может найти любой прокси-сервер в инете и запустить аську через него. То есть это не 100% защита блокировать сети icq.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Блокирование icq средствами iptables"
	Сообщение от angra (ok) on 10-Фев-09, 13:14
	>От бедных девушек отрубленых от аськи слышен плачь + потрясывание своими сотовыми >телефонами (с установлеными аськами) и крики мы не сдадимся и все >равно будем пользоваться аськой  :) :) У вас очень странный метод знакомства с девушками. А девушки правильно поступают, а главное умнее админчега.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Блокирование icq средствами iptables"
	Сообщение от sergicus (ok) on 10-Фев-09, 13:35
	>У вас очень странный метод знакомства с девушками. А девушки правильно поступают, >а главное умнее админчега. Ето верно - обычно они только глупенькими притворяются - они уже мгновенно перешли на аську через веб шлюзы (хожу бойко барабанят по клавам). А насчет знакомства - так это не моя идея а приказ фин директора. А дальше пусть наш фин дир и следит на кокой сайт она лазают и дает команду (я сам за этим следить не собираюсь ибо мне все равно)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Блокирование icq средствами iptables"

Сообщение от Аноним (??) on 09-Фев-09, 16:07

iptables -A FORWARD -d ! 192.168.0.0/24 -p tcp --dport 5190 -j REJECT iptables -A FORWARD -s ! 192.168.0.0/24 -p tcp --sport 5190 -j REJECT ну естествеено в самое начало таблицы Filter

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Блокирование icq средствами iptables"
	Сообщение от Pahanivo (ok) on 11-Фев-09, 07:55
	>iptables -A FORWARD -d ! 192.168.0.0/24 -p tcp --dport 5190 -j REJECT > >iptables -A FORWARD -s ! 192.168.0.0/24 -p tcp --sport 5190 -j REJECT > >ну естествеено в самое начало таблицы Filter ага ) про прокси забыл однако )
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Блокирование icq средствами iptables"
	Сообщение от sergicus (ok) on 11-Фев-09, 13:21
	> >ага ) про прокси забыл однако ) А тут проки у меня не нужен. У меня нат , на сквид часть портов перенаправляются.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Блокирование icq средствами iptables"
	Сообщение от angra (ok) on 11-Фев-09, 14:55
	Если на вашем сквиде разрешен CONNECT, то, используя proxifier, девушки получать эффект полностью открытого NAT. В оффисных локалках некоторые пользователи зачастую умнее админа, остальные же как обезьянки копируют метод, придуманный умным пользователем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Блокирование icq средствами iptables"
	Сообщение от Pahanivo (ok) on 11-Фев-09, 17:02
	>Если на вашем сквиде разрешен CONNECT, то, используя proxifier, девушки получать эффект >полностью открытого NAT. В оффисных локалках некоторые пользователи зачастую умнее админа, >остальные же как обезьянки копируют метод, придуманный умным пользователем. +1 самый верный вариант - ногой в голову
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]