Корпоративная ICQ через IPFW.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Technik
рядовой
Сообщения: 11
Зарегистрирован: 2009-08-31 10:03:54

Корпоративная ICQ через IPFW.

Непрочитанное сообщение Technik » 2009-08-31 15:16:32

Приветствую всех!
Прошу подсказать как можно пропустить корпоративную аську через ipfw.

Имеется корпоративная сетка: 2 филиала связанных между собой выделенным каналом, сервер корпоративной ICQ (порт 4000) в одном из филиалов (назовем его Филиал_2), в другом филиале (назовем его Филиал_1) поднят прозрачный firewall на базе FreeBSD_7.0 с IPFW.

Наткнулся на особенность работы корпоративного клиента ICQ, которая штатными средствами клиента ICQ лечится не хочет.
А именно: клиент ICQ сначала пытается отправить сообщение напрямую получателю, минуя сервер ICQ.

То есть ситуация такая выходит.
Отправитель из Филиал_1 печатает сообщение для получателя из Филиал_2, отправляет его. Пакет летит напрямую к получателю из Филиал_2 и удачно блокируется фаерволлом:
ipfw: 9500 Deny TCP 192.168.1.3:1357 192.168.100.15:1094 in via ep0
Клиент ICQ висит некоторое время, понимает, что его сообщение не получено и отправляет его же серверу ICQ на порт 4000, который открыт на фаерволле, а уж сервер отправляет сообщение получателю из Филиал_2.
Точно такая же ситуация, если сообщение печатает и отправляет человек из Филиал_2 в Филиал_1.

Можно ли как-нить разрешить прохождение пакетов ICQ в данных условиях?
Или же мониторить от какого приложения вылетает пакет, чтобы его в дальнейшем пропустить?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение princeps » 2009-08-31 17:09:05

открыть ему порты, какие он хочет. Поднять прокси-сервер и пустить аську через http-прокси.
Кстати, а что такое прозрачный фаервол?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Technik
рядовой
Сообщения: 11
Зарегистрирован: 2009-08-31 10:03:54

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение Technik » 2009-08-31 17:23:44

Дело в том, что он хочет постоянно разные порты. То есть запускаешь, ну к примеру Miranda, он берет себе один порт, у другого человека будет другой порт. При следующем запуске будет другой порт... Даже и не знаю что открывать-то.

Может существуют какие-нить механизмы, которые могут распозновать приложения, или же идентифицировать отдельные пакеты?
То есть: этот пакет от браузера (или HTTP) - его сюда, этот пакет от ICQ - его сюда, это ваще незнаю кто такой - выбросить его.

А прозрачный фаерволл - это когда он не виден в сети и никак не влияет на её топологию, полностью не виден и никак себя не выдает, сетевые интерфейсы не имеют IP-адресов.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение princeps » 2009-09-01 8:18:49

Technik писал(а):сетевые интерфейсы не имеют IP-адресов.
О_о
Technik писал(а):А прозрачный фаерволл - это когда он не виден в сети и никак не влияет на её топологию, полностью не виден и никак себя не выдает,
ты, наверное, путаешь с прозрачным прокси. Ну да ладно, это не особенно важно.
Technik писал(а):Дело в том, что он хочет постоянно разные порты. То есть запускаешь, ну к примеру Miranda, он берет себе один порт, у другого человека будет другой порт. При следующем запуске будет другой порт... Даже и не знаю что открывать-то.
Открывай всё, что больше 1024 наружу. Зачем ты им запрещаешь на эти порты подключаться? Кроме аськи у тебя при такой настройке фаервола могут быть проблемы, скажем, с ftp.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение savio » 2009-09-01 9:04:28

поднять jabber-сервер и не муячаться
Помни о смерти, все суета сует....

Technik
рядовой
Сообщения: 11
Зарегистрирован: 2009-08-31 10:03:54

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение Technik » 2009-09-01 12:57:27

To princeps:
Нет, это не прокся, это именно firewall. Прокся является посредником при межсетевом взаимоотношении, а тут никакого посредничества нету.
Он сидит тихо и либо пропускает через себя трафик, либо нет, не меняя ничего в пакетах.
[А может мы говорим об одном и том-же только разными выражениями? :) ]
Не хотелось бы открывать порты. Тогда суть-то межсетевого экрана пропадает.

То savio:
Не пробовал никогда Джаббер, да и не скоро попробую, наверное.
Дело в том, что сервак ICQ не мой, и админю его не я. И конечно же, никто не согласится пересаживать тысячу пользователей со знакомой всем аськи, на не известный Джаббер ради нашего филиала.

Вот задачка встала так встала.
Ну вы же опытные, давайте что-нить придумаем еще.
Может есть какие-нибудь механизмы, с помощью которых можно детектировать приложение (хотя это сложно наверное).
Была идея соксификации ICQ-клиентов. Но это некрасивое решение.
А может есть что-то типа ретранслятора в ICQ? ... То есть один сервер в моем филиале, другой в другом. И если человек из Филиал_1 пишет сообщение в Филиал_2, то передача этого сообщения происходит на уровне серверов, а не на уровне пользователей.

И ещё! В плагине ICQcopr для Miranda нету галочки "использовать прокси". Получается что штатными средствами она не умеет пользоваться проксей.

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение Div » 2009-09-01 13:08:45

Socks5 тебе поможет...
С уважением Сергей

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение princeps » 2009-09-01 13:16:38

я бы порты открыл. Это же наружу подключения, не пофиг ли, куда и кто у тебя из сети подключается?
Technik писал(а):Была идея соксификации ICQ-клиентов. Но это некрасивое решение.
Почему?
Technik писал(а): А может есть что-то типа ретранслятора в ICQ? ... То есть один сервер в моем филиале, другой в другом. И если человек из Филиал_1 пишет сообщение в Филиал_2, то передача этого сообщения происходит на уровне серверов, а не на уровне пользователей.
Ну, два icq-сервера и поставь. jabber так может, и аська, наверное, тоже.
Technik писал(а):И ещё! В плагине ICQcopr для Miranda нету галочки "использовать прокси". Получается что штатными средствами она не умеет пользоваться проксей.
ну не знаю. У меня в kopete и qip есть такая галочка :)
Может вам сделать впн между офисами?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Technik
рядовой
Сообщения: 11
Зарегистрирован: 2009-08-31 10:03:54

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение Technik » 2009-09-01 15:06:58

Проводить соксификацию на всех компьютерах?
Таким образом я спасу только своим пользователей, но пользователи другого филиала так и останутся мучиться с отправкой сообщения.
Ибо там вотчина другого админа :-), а соксифицировать своих пользователей он может отказаться :).


Ха! Проблема решилась.
Оказывается, Миранда выпускала обновление для своего плагина ICQcorp.dll, в котором галочка эта благополучно появилась и функция работает.
Вот уже вторую недельку думаю над этим делом, а про обновление узнал только сейчас.

Так что я очень благодарен тем, кто откликнулся и не оставил меня наедине со своими постами :).
Спасибо большое!

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение arkan » 2009-09-01 17:30:48

А можно вопросик топикстартеру
на чем ICQ сервер организовали ?
а то надо было както тут по весне тоже сделать а кроме джабера нифига и незнаю

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение princeps » 2009-09-01 17:33:34

arkan писал(а):а то надо было както тут по весне тоже сделать а кроме джабера нифига и незнаю
и чем тебе джаббер не нравится?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Корпоративная ICQ через IPFW.

Непрочитанное сообщение arkan » 2009-09-01 17:38:15

princeps писал(а): и чем тебе джаббер не нравится?
в томто и дело что мне нравится а вот заказчику ICQ транспорт через жабу както неочень