The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"запрет icq"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 21-Янв-04, 08:33  (MSK)
что-то лыжи не едут... :-)

цель - закрыть аську для некоторых юзеров.
в иделе надо будет закрывать для определенной группы из майкрософт домена.
(доменная авторизация по группам уже настроена)

но сначала для чистоты эксперемента пытаюсь закрыть аську определенному IP:
1.

acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32
acl noicq dstdomain .icq.com

http_access deny noicq bed_user
http_access allow all

аська все равно работает!

2.
acl all mynet 192.168.0.0/24
acl bed_user src 192.168.0.254/32
acl noicq2 url_regex -i "/usr/local/squid/icqsites"

http_access deny noicq2 bed_user
http_access allow all

файл icqsites:
############
icq
64.12.164.153
############


и опять аська коннектится..   в ее настройках стоит - коннект к login.icq.com на 443 порт.


а вот и весь конфиг сквида..  может увидите там что-то чего я не вижу..


#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl admin src 192.168.0.254/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports  port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


#################### MY ACL ###########################
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.254/32


acl neticq url_regex -i "/usr/local/squid/icqsites"
acl neticq2 dstdomain .icq.com

acl NT_superinet external nt_group superinet
acl NT_advancedinet external nt_group advancedinet
acl NT_minimalinet external nt_group minimalinet
acl NT_noicq external nt_group noicq
acl password proxy_auth REQUIRED

acl bed_files urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.wav$ \.mov$ \.exe$
acl bed_sites url_regex -i "/usr/local/squid/bedsites"

#################### END ACL ##########################

#######Recommended minimum configuration:##############
http_access allow manager localhost
http_access allow manager admin
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost

############## MY RULE(S)##############################

http_access deny neticq bed_user

http_access allow mynet

http_access deny all

###################END#################################

http_reply_access allow all
icp_access allow all
cache_effective_user nobody
cache_effective_group nogroup

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "запрет icq"
Сообщение от denn emailИскать по авторуВ закладки on 21-Янв-04, 11:09  (MSK)
о, брат, тоеже херней сегодня занимаюсь...
squidGuard есть?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "запрет icq"
Сообщение от VictorK Искать по авторуВ закладки on 21-Янв-04, 12:19  (MSK)
А squid-то перезапускаешь?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 21-Янв-04, 13:07  (MSK)
>А squid-то перезапускаешь?
обновляю конфиг: squid -k reconfigure


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 21-Янв-04, 13:08  (MSK)
>о, брат, тоеже херней сегодня занимаюсь...
>squidGuard есть?

сквид-гварда городить не стал..   вроде как для моих целей встроенных средств должно хватать.

и как успехи? получилось зарезать аську юзеру X ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "запрет icq"
Сообщение от denn emailИскать по авторуВ закладки on 21-Янв-04, 13:15  (MSK)
>>о, брат, тоеже херней сегодня занимаюсь...
>>squidGuard есть?
>
>сквид-гварда городить не стал..   вроде как для моих целей встроенных
>средств должно хватать.
>
>и как успехи? получилось зарезать аську юзеру X ?

в том то и дело, че 2 часа сидел в сквид писал правила на порты, дст, домены, ип,
форум
http://www.opennet.me/search.shtml?words=icq&sort=score&config=htdig_forum&exclude=index
читал и все равно ася перенаправляла...

в гуарде в две минуты зарубил...
если че найдешь отпиши, интересно где не доглядел...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "запрет icq"
Сообщение от ipmanyak Искать по авторуВ закладки on 21-Янв-04, 14:55  (MSK)
начнем с того, что указано в настройках прокси у аськи ?
если указан тип прокси https и порт для login.icq.com 443, значит достаточно
в сквиде отрубить safe port 443 ! или как ты и писал заденить dstdomain .icq.com  ! Последние аськи умные заразы, ты им пишешь идти черед прокси по https , они туда тычутся  - там отлуп, тогда эта зараза убирает сама птицу  идти через прокси и пытается идти напрямую мимо прокси , мимо сквида и нужно смотреть правила firewall. Cкорее всего у тебя включен  nat и поэтому аська ходит напрямую .
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 21-Янв-04, 15:46  (MSK)
>начнем с того, что указано в настройках прокси у аськи ?
>если указан тип прокси https и порт для login.icq.com 443

именно так и указано!..  кстати я писал это  в своем сообщении ;-)

>в сквиде отрубить safe port 443 !

не могу..  он нужен для других целей.

>заденить dstdomain .icq.com  !

так фишка в том что не получается сделать так для отдельных юзеров..

Последние аськи умные заразы, ты им
>пишешь идти черед прокси по https , они туда тычутся  
>- там отлуп, тогда эта зараза убирает сама птицу  идти
>через прокси и пытается идти напрямую мимо прокси , мимо сквида
>и нужно смотреть правила firewall. Cкорее всего у тебя включен  
>nat и поэтому аська ходит напрямую .

нет :-) это исключено .


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "запрет icq"
Сообщение от R Искать по авторуВ закладки on 21-Янв-04, 21:58  (MSK)

   Как сделал я в свое время 8-)
    Вместо доменной виндовс аутентификации делай digest аутентификацию.

    Формат файла паролей прост:   user:password

    Никакие аськи (я еще не встречал) не умеют лазить через проксю с      аутентификацией digest.
     И не надо никаких acl.

      Теперь все пользователи сидят ТОЛЬКО в IE и лазают по разрешенным (средствами rejik) сайтам.
                

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 22-Янв-04, 06:57  (MSK)
>    Никакие аськи (я еще не встречал) не умеют
>лазить через проксю с      аутентификацией digest.
>     И не надо никаких acl.
так мне не надо чтоб ВСЕ аськи не могли лазить...  - только некоторые! :-)
да и доменная авторизация штука полезная ..отказываться от нее пока не хочу.

вроде тривиальная задача - ограничить аьску юзеру Х.   неужели никто не нашел эффективного решения?

кстати добрые люди подсказали чисто логическое решение проблемы :

http_access allow good_user  # разрешить http - группе good, в ней все юзера и должны быть кто с Асей

http_access deny noicq # запретить http Всем кто обратился к icq.com , а дальше после этого идут юзера которым аська запрещена

http_access allow bed_user #запретить http всем bed

как видно аську запрещена ВСЕМ
но только после того как Гуд уже проскочат!  Гуд будут с Аськой!

---------------------

но меня этот вариант не устраивает..   есть ведь специальные конструкции..
http_access deny noicq bedusers
ведь тут должно срабатывать логическое "И" ..  и аська должна быть запрещена всем кто идет на Icq.com и состоит в группе  bedusers

или нет???
----------

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "запрет icq"
Сообщение от Junior emailИскать по авторуВ закладки on 22-Янв-04, 09:14  (MSK)
Может совет будет не к месту, но попробуй так:

acl icq dstdomain login.icq.com
acl mynet src 192.168.0.0/24
acl bed_user src 192.168.0.10/32

http_access allow icq !bed_user

----- cut -----

http_access deny all

Вот, это как вариант. Дело в том, что на авторизацию (login.icq.com) стоит не один сервер, а несколько, запретив один IP он просто соединится с другим.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 22-Янв-04, 13:43  (MSK)
>Может совет будет не к месту, но попробуй так:

все равно коннектится.
да и на login.icq.com набранный в браузере не ругается.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "запрет icq"
Сообщение от denn emailИскать по авторуВ закладки on 22-Янв-04, 13:51  (MSK)
>>Может совет будет не к месту, но попробуй так:
>
>все равно коннектится.
>да и на login.icq.com набранный в браузере не ругается.

че бы в броузере ругался, я добавил  login.icq.com в

acl bed url_regex '/usr/local/etc/squid/db/bed'
http_access deny bed

и проверь порядок аклов, он важен.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "запрет icq"
Сообщение от denn emailИскать по авторуВ закладки on 22-Янв-04, 11:19  (MSK)
ты говорил:
>сквид-гварда городить не стал..   вроде как для моих целей встроенных
>средств должно хватать.
вижу, брат, че для твоих целей, всетаки он тебе згодиться...
контроль нета +фильтры, чебы сквида не дергать...
ставь...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "запрет icq"
Сообщение от M0t0head Искать по авторуВ закладки on 22-Янв-04, 13:45  (MSK)
>вижу, брат, че для твоих целей, всетаки он тебе згодиться...
еще немного попарюсь. но за совет спасибо! :-)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "вырвал проблему с корнем :-)"
Сообщение от M0t0head Искать по авторуВ закладки on 23-Янв-04, 16:23  (MSK)
решилось все одной до боли простой строчкой..  может я рано радуюсь.. но кажется обрубил довольно конкретно :-)


acl no_icq  dst 64.12.0.0/16

и самым первым правилом поставил

http_access deny BEDUSERS no_icq  

где бедюзерс - у меня группа доменных юзеров..   есессно там может стоять отдельный IP или что угодно на ваш вкус.

мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex - порождает только кучу геммороя. :-)

для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - но это приведено для упрощения записи..  понятно что в dst надо вписать все известные и неизвестные IP серверов icq. :-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "вырвал проблему с корнем :-)"
Сообщение от denn emailИскать по авторуВ закладки on 23-Янв-04, 16:31  (MSK)
ага, жестковато, но работает четко.... молочара.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "вырвал проблему с корнем :-)"
Сообщение от Lord Dred Искать по авторуВ закладки on 27-Янв-04, 17:44  (MSK)
>решилось все одной до боли простой строчкой..  может я рано радуюсь..
>но кажется обрубил довольно конкретно :-)
>
>
>acl no_icq  dst 64.12.0.0/16
>
>и самым первым правилом поставил
>
>http_access deny BEDUSERS no_icq
>
>где бедюзерс - у меня группа доменных юзеров..   есессно там
>может стоять отдельный IP или что угодно на ваш вкус.
>
>мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex
>- порождает только кучу геммороя. :-)

Почтовики на mail.ru и yandex.ru примерно раз в 2 месяца меняют IP адреса
pop и smtp серверов, а имя же остается постоянным. Так что IP рубить не совсем выход.

>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>но это приведено для упрощения записи..  понятно что в dst
>надо вписать все известные и неизвестные IP серверов icq. :-)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "вырвал проблему с корнем :-)"
Сообщение от Junior emailИскать по авторуВ закладки on 28-Янв-04, 09:38  (MSK)
>>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  -
>>но это приведено для упрощения записи..  понятно что в dst
>>надо вписать все известные и неизвестные IP серверов icq. :-)

# nslookup

> login.icq.com
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
login.icq.com   canonical name = login.login-grt.messaging.aol.com.
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.153
Name:   login.login-grt.messaging.aol.com
Address: 64.12.161.185
Name:   login.login-grt.messaging.aol.com
Address: 64.12.200.89
Name:   login.login-grt.messaging.aol.com
Address: 205.188.179.233

Как видно не только 64.12.0.0/16

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "вырвал проблему с корнем :-)"
Сообщение от Дмитрий Лавров emailИскать по авторуВ закладки on 18-Мрт-04, 17:08  (MSK)
Здесь без настройки фильтров фаервола не обойтись.
Ведь пользователь может и не использовать прокси, если стоит NAT.
Вот пример цепочек для различный вредоносных программ:

# GNUtella, Bearshare и ToadNode
/sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT

# eDonkey
/sbin/iptables -A FORWARD -p tcp --dport 4661:4662 -j REJECT
/sbin/iptables -A FORWARD -p udp --dport 4665 -j REJECT

# Kazaa и Morpheus
/sbin/iptables -A FORWARD --dport 1214 -j REJECT
/sbin/iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
/sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT

# AIM и ICQ
/sbin/iptables -A FORWARD --dport 9898 -j REJECT
/sbin/iptables -A FORWARD --dport 5190:5193 -j REJECT
/sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT
/sbin/iptables -A FORWARD -d login.icq.com -j REJECT

# Jabber
/sbin/iptables -A FORWARD --dport 5222:5223 -j REJECT

# MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

# Yahoo! Messenger
/sbin/iptables -A FORWARD -p TCP --dport 5000:5010 -j REJECT
/sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT
/sbin/iptables -A FORWARD -b scsa.yahoo.com -j REJECT

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "вырвал проблему с корнем :-)"
Сообщение от Junior emailИскать по авторуВ закладки on 19-Мрт-04, 11:22  (MSK)
>Здесь без настройки фильтров фаервола не обойтись.
>Ведь пользователь может и не использовать прокси, если стоит NAT.
>Вот пример цепочек для различный вредоносных программ:

Возможно правильней будет пускать через нат только определённые запросы?:)
Например только получать/принимать почту с внешних ящиков.
А остальное рубить по-умолчанию.
Я так и делаю, например. Поэтому весь трафик контролируется. А если Всё разрешать, а определённые порты рубить, то потом ещё какая-то фигня может придуматься и не успеешь отследить.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "запрет icq"
Сообщение от ipmanyak Искать по авторуВ закладки on 19-Мрт-04, 11:38  (MSK)
как-то проскакивало уже на опеннет про запрет icq, делается это типа так:

acl aim_http reply_mime_type -i ^aim/http$
http_reply_access deny aim_http

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "запрет icq"
Сообщение от aLEXX Искать по авторуВ закладки on 28-Май-04, 17:31  (MSK)
У меня так:

acl banners url_regex "/usr/local/squid/etc/banners.acl"

а в banners.acl я записал ключевые слова icq и mirabilis.

И все!

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру