URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4312
[ Назад ]

Исходное сообщение
"Блокировка ICQ"
Отправлено Alexandr , 01-Сен-06 17:34

Помогите пожалуйста.
Ни как не получается заблокировать ICQ в корпоративной сети.
Сервак Cent Os. В squid.conf прописываю
acl icq dstdomain .icq.com
http_access deny icq
Что упустил подскажите кто в курсе

Содержание

Блокировка ICQ,suijuris, 19:46 , 01-Сен-06
Блокировка ICQ,JavaScript, 23:19 , 01-Сен-06
- Блокировка ICQ,kukan, 10:36 , 03-Сен-06
Блокировка ICQ,universite, 12:25 , 03-Сен-06
- Блокировка ICQ,FreeLSD, 14:50 , 04-Сен-06
  - Блокировка ICQ,Alexandr, 15:51 , 04-Сен-06
    - Блокировка ICQ,universite, 16:11 , 04-Сен-06
      - Блокировка ICQ,Alexandr, 13:31 , 08-Сен-06
      - Блокировка ICQ,Dmitry Stremkouski, 17:12 , 15-Сен-10

Сообщения в этом обсуждении

"Блокировка ICQ"
Отправлено suijuris , 01-Сен-06 19:46

>Помогите пожалуйста.
>Ни как не получается заблокировать ICQ в корпоративной сети.
>Сервак Cent Os. В squid.conf прописываю
>acl icq dstdomain .icq.com
>http_access deny icq
>Что упустил подскажите кто в курсе

можт мимо сквида аська работает через маскарад?!

"Блокировка ICQ"
Отправлено JavaScript , 01-Сен-06 23:19

раньше тоже блочил по доменному имени, но юзвери научились резолвить login.icq.com в IP и коннектится туда - пришлось заблочить диапазон адресов AOL серверов
205.188.0.0/16
64.12.0.0/16

"Блокировка ICQ"
Отправлено kukan , 03-Сен-06 10:36

>раньше тоже блочил по доменному имени, но юзвери научились резолвить login.icq.com в
>IP и коннектится туда - пришлось заблочить диапазон адресов AOL серверов
>
>205.188.0.0/16
>64.12.0.0/16
Возможно они проскачили через,
ping icq.rambler.ru
Обмен пакетами с icq.rambler.ru [81.19.66.52] по 32 байт:
Ответ от 81.19.66.52: число байт=32 время=30мс TTL=58
Ответ от 81.19.66.52: число байт=32 время=30мс TTL=58

"Блокировка ICQ"
Отправлено universite , 03-Сен-06 12:25

аська идет через метод CONNECT, а он разрешен по умолчанию всем в сквиде.
Предлагаю просто запретить доступ на серваки авторизации аськи.

"Блокировка ICQ"
Отправлено FreeLSD , 04-Сен-06 14:50

acl connect method CONNECT
acl icq_domain dstdomain login.icq.com
acl icq_ip 64.12.0.0/16 205.188.0.0/16
acl icq_port port 443
acl icq_proto proto HTTPS
Закзывай по тому что нравится. Вожешь все сразу :)
Если не поможет - смотри в фаервол.

"Блокировка ICQ"
Отправлено Alexandr , 04-Сен-06 15:51

>acl connect method CONNECT
>acl icq_domain dstdomain login.icq.com
>acl icq_ip 64.12.0.0/16 205.188.0.0/16
>acl icq_port port 443
>acl icq_proto proto HTTPS
>
>Закзывай по тому что нравится. Вожешь все сразу :)
>Если не поможет - смотри в фаервол.

Все сделал не помогло подскажите как настроить фаервол

"Блокировка ICQ"
Отправлено universite , 04-Сен-06 16:11

>>acl connect method CONNECT
>>acl icq_domain dstdomain login.icq.com
>>acl icq_ip 64.12.0.0/16 205.188.0.0/16
>>acl icq_port port 443
>>acl icq_proto proto HTTPS
>>
>>Закзывай по тому что нравится. Вожешь все сразу :)
>>Если не поможет - смотри в фаервол.
>
>
>Все сделал не помогло подскажите как настроить фаервол
У меня конструкция тяжелая и извратная, но работает!
443 порт убрал из Safe_ports
acl ICQ_ports port 443 5190     # https ICQ
acl icq         url_regex       "/usr/local/etc/squid/icq"
acl skype       url_regex       "/usr/local/etc/squid/skype"
acl icq_src     dst             "/usr/local/etc/squid/icq_src"
acl aim_http    rep_mime_type   -i      ^aim/http$
### Список IP пользователей, которым разрешены аська и скайп
acl icq_white   src             "/usr/local/etc/squid/network/icq_white"
acl skype_white src             "/usr/local/etc/squid/network/skype_white"
### Запрещающие правила
http_access deny icq !icq_white
http_access deny skype !skype_white
http_reply_access deny aim_http !icq_white
и в самом конце запрещающих правил:
http_access deny icq_src !icq_white
http_access deny icq_src !icq_white ICQ_ports
http_access deny !Safe_ports
http_access deny CONNECT !icq_white ICQ_ports
http_access deny CONNECT icq !icq_white
http_access deny CONNECT icq_src !icq_white
http_access deny CONNECT !SSL_ports

>cat icq_src
205.188.1.0/24
205.188.9.0/24
205.188.153.0/24
64.12.31.0/24
64.12.25.0/24
64.12.161.0/24
64.12.162.0/24
64.12.163.0/24
201.27.217.113
200.117.138.206
>cat icq
http://icq\.rambler\.ru/
http://mrim\.mail\.ru/
http://mrim\.mail\.ru:443/
mrim\.mail\.ru
http://login*\.icq\.com/
http://login*\.icq\.com:443/
login\.icq\.com\:443/
login\.icq\.com:443/
login\.icq\.com
http://login*\.aol\.com
http://205\.188\.9\.16:443/
http://205\.188\.9\.*:443/
http://64\.12\.31\.88:443/
http://64\.12\.31\.*:443/
login*\.aol\.com
205\.188\.9\.16:443
205\.188\.9\.*:443
64\.12\.31\.88:443
64\.12\.25\.76:443
64\.12\.25\.77:443
64\.12\.25\.[0-9]:443
64\.12\.25\.[0-9][0-9]:443
64\.12\.25\.[0-9][0-9][0-9]:443
http://login\.yahoo\.com:443/
login\.oscar\.aol\.com:443
icq\.mirabilis\.com:443
ibucp-vip-d\.blue\.aol\.com
icq\.mirabilis\.com
ibucp-vip-m\.blue\.aol\.com
bucp2-vip-m\.blue\.aol\.com
bucp-m08\.blue\.aol\.com
64\.12\.161\.*:443
64\.12\.162\.*:443
64\.12\.163\.*:443
64\.12\.25\.*:443
64\.12\.*:443
64\.12\.161\.153:443
205\.188\.153\.98:443
talk\.google\.com:443
201\.27\.217\.113:443
200\.117\.138\.206\:443
http://download\.icq\.com/icq2go/
http://c\.icq\.com/include/metrics/
^http://aolwpicq
aolwpicq
proxy\.icq\.com

"Блокировка ICQ"
Отправлено Alexandr , 08-Сен-06 13:31

Все конечно здорово но можно обьяснить что к чему и куда Огромное спасибо

"Блокировка ICQ"
Отправлено Dmitry Stremkouski , 15-Сен-10 17:12

>talk\.google\.com:443
Это особенно мощно... касательно ICQ.