https://opennet.ru/openforum/vsluhforumID1/64767.html Пользователи уже достали. Пролазиют кто как может - лишь бы у них работала ICQ.<br>Закрыл 5190 и 443 порт.<br>Так они смогли настроить у себя так, что работают по ней через порт 80. Его то я не могу закрыть полностью.<br>Подскажите кто знает хороший и надежный способ резки всех icq-пакетов для всех портов при помощи ipfw.<br>Спасибо. https://opennet.ru/openforum/vsluhforumID1/64767.html#31 Thu, 19 Jun 2008 11:54:55 GMT &gt;Пользователи уже достали. Пролазиют кто как может - лишь бы у них <br>&gt;работала ICQ. <br>&gt;Закрыл 5190 и 443 порт. <br>&gt;Так они смогли настроить у себя так, что работают по ней через <br>&gt;порт 80. Его то я не могу закрыть полностью. <br>&gt;Подскажите кто знает хороший и надежный способ резки всех icq-пакетов для всех <br>&gt;портов при помощи ipfw. <br>&gt;Спасибо. <br><br>Есть список адресов - которые можно заблокировать. Можно ДНС подправить - как писали ниже, а в добавок к этому можно вот такой софт поставить - и будет возможность и работать кому нужно и контролировать если надо: Proxymus <br>http://www.cs-soft.ru/data1/cssoft.nsf/pagesmenu/proxymusmain<br> пишет сообщения ICQ в базу и базы поддерживает Lotus Domino, MS SQL , DB2 и еще чего то<br> https://opennet.ru/openforum/vsluhforumID1/64767.html#30 Wed, 15 Nov 2006 14:56:00 GMT &gt;&gt;и мои 5 копеек: <br>&gt;&gt;<br>&gt;&gt;можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это <br>&gt;&gt;ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid <br>&gt;&gt;добавить редиректор типа rejik, в котором и настроить "резку". Можно по <br>&gt;&gt;IP всевозможных проксей, можно по содержанию типа "icq.com" <br>&gt;<br>&gt;ага, только запаришься эти ip прописывать, у юзеров свободного времени поболее чем <br>&gt;у админа - найдут еще и регулярно :), 'по содержанию "icq.com"' <br>&gt;тоже не выход. <br>&gt;<br>&gt;имхо предыдущий пост более эффективен. <br><br><br>ели резать то нада по содержанию слова "aol" но тогда все АОЛы пахать не будут. но сквида нормально все отбивает и аська не грузит и все. а в дополнении с сетками в файрволле вообще отменно... https://opennet.ru/openforum/vsluhforumID1/64767.html#29 Fri, 17 Mar 2006 20:59:16 GMT &gt;и мои 5 копеек: <br>&gt;<br>&gt;можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это <br>&gt;ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid <br>&gt;добавить редиректор типа rejik, в котором и настроить "резку". Можно по <br>&gt;IP всевозможных проксей, можно по содержанию типа "icq.com" <br><br>ага, только запаришься эти ip прописывать, у юзеров свободного времени поболее чем у админа - найдут еще и регулярно :), 'по содержанию "icq.com"' тоже не выход.<br><br>имхо предыдущий пост более эффективен. <br> https://opennet.ru/openforum/vsluhforumID1/64767.html#28 Fri, 17 Mar 2006 19:30:53 GMT &gt;мои 5 коп.: <br>&gt;пересобрать ядро без IPFIREWALL_DEFAULT_TO_ACCEPT и разрешить явно исходящие на 5190 напрямую кому <br>&gt;надо, остальных через сквид, на кот. в конфиге прописать: <br>&gt;<br>&gt;acl aim_http rep_mime_type -i ^aim/http$ <br>&gt;http_reply_access deny aim_http <br>&gt;<br>&gt;и ни одна задница никуда не пролезет уже <br><br>и мои 5 копеек:<br><br>можно ничего не пересобирать, просто "завернуть весь http траффик на squid" (это ключевые слова для поиска, сие здесь разжевано было неоднократно), к squid добавить редиректор типа rejik, в котором и настроить "резку". Можно по IP всевозможных проксей, можно по содержанию типа "icq.com"<br> https://opennet.ru/openforum/vsluhforumID1/64767.html#27 Fri, 17 Mar 2006 13:28:49 GMT мои 5 коп.:<br>пересобрать ядро без IPFIREWALL_DEFAULT_TO_ACCEPT и разрешить явно исходящие на 5190 напрямую кому надо, остальных через сквид, на кот. в конфиге прописать: <br><br>acl aim_http rep_mime_type -i ^aim/http$ <br>http_reply_access deny aim_http <br><br>и ни одна задница никуда не пролезет уже https://opennet.ru/openforum/vsluhforumID1/64767.html#26 Fri, 17 Mar 2006 11:44:57 GMT &gt;<br>&gt;&gt;Так они смогли настроить у себя так, что работают по ней через <br>&gt;&gt;порт 80. Его то я не могу закрыть полностью. <br>&gt;<br>&gt;transparent proxy <br>&gt;<br>&gt;на сквиде резать всё, что в имени серва содержит icq и список <br>&gt;их сетей в добавок <br><br>А если данный юзер включен в группу с полным доступом в сквиде, то это не спасет.<br>Поэтому нужно как то в ipfw - это дело настроить.<br>Вот только не могу пока понять как там можно прописать группу ip адресов <br><br><br> https://opennet.ru/openforum/vsluhforumID1/64767.html#25 Fri, 17 Mar 2006 11:05:15 GMT <br>&gt;Так они смогли настроить у себя так, что работают по ней через <br>&gt;порт 80. Его то я не могу закрыть полностью. <br><br>transparent proxy <br><br>на сквиде резать всё, что в имени серва содержит icq и список их сетей в добавок<br><br> https://opennet.ru/openforum/vsluhforumID1/64767.html#24 Thu, 16 Mar 2006 14:22:34 GMT &gt;Изначально подход не совсем правильный.. <br>&gt;Уже человек тебе писал! <br>&gt;<br>&gt;Нужно ВСЕ закрывать по умолчанию,а все нужное потом открывать! <br>&gt;Если твои юзера ходят только стандартные сервисы,то это оч.просто,а все остальные порты <br>&gt;будешь открывтать по мере надобности! <br>&gt;<br>&gt;примерно так: <br>&gt;divert 8668 ip from any to any via "внешний интерфейс" <br>&gt;deny ip from "внетрення сеть" to any via "внешний интерфейс" <br>&gt;allow ip from any to any via lo0 <br>&gt;allow ip from any to any via "внутренний интерфейс" <br>&gt;allow ip from "твой адрес" to any <br>&gt;тут натычешь разрешений дя юзеров <br>&gt;<br>&gt;и последним <br>&gt;deny ip from any to any <br><br><br>Но дело в том что потом я открываю для всех порт 80 - так как инетом хотят пользоваться все юзера. А они через этот порт потом работают с аськой.<br>А аська запрещена. Вот в чем дело то.<br>Есть у меня одна мысль, но вот только не знаю как прописать диапазон ip-шников своей сети.<br>Допустим хочу запретить не всем юзерам а только с 192,168,0,1 по 192,168,0,20.<br>Как я должен записать???<br><br>deny all https://opennet.ru/openforum/vsluhforumID1/64767.html#23 Thu, 16 Mar 2006 12:31:50 GMT Изначально подход не совсем правильный..<br>Уже человек тебе писал!<br><br>Нужно ВСЕ закрывать по умолчанию,а все нужное потом открывать!<br>Если твои юзера ходят только стандартные сервисы,то это оч.просто,а все остальные порты будешь открывтать по мере надобности!<br><br>примерно так:<br>divert 8668 ip from any to any via "внешний интерфейс"<br>deny ip from "внетрення сеть" to any via "внешний интерфейс"<br>allow ip from any to any via lo0<br>allow ip from any to any via "внутренний интерфейс"<br>allow ip from "твой адрес" to any<br>тут натычешь разрешений дя юзеров<br><br>и последним <br>deny ip from any to any<br>