заблокировать icq идругие мессенджеры

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

заблокировать icq идругие мессенджеры

Непрочитанное сообщение dvg_lab » 2007-09-19 9:57:45

и сделать это надо по доменным логинам, блокировать по ip на гейте, не удастся - dhcp. Фактически все ходят через сквид с режиком по https. Можно ли на основе логинов отрезать части юзеров аську?.. Порезал бы всем на гейте, но руководству надо оставить :-(
FreeBSD the power to serve.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение schizoid » 2007-09-19 10:00:43

как вариант, поставить 3proxy с поддержкой socks5 + (если нада) авторизация.
а на сквиде прикрыть асю вообще
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение schizoid » 2007-09-19 10:03:57

Код: Выделить всё

timeouts 1 5 30 60 180 1800 15 60
daemon
log  /var/log/3proxy.log D
logformat "L%d-%m-%Y %H:%M:%S %z %N.%p %E %U %C:%c %R:%r %O %I %h %T"
archiver zip zip -m -qq %A %F
rotate 7
internal 192.168.0.100

users $/usr/local/etc/3proxy.pswd (файлег с паролями и логинами, тут у мну тока для админа)

auth none
allow *  #тут пускает всех, а мона по ИП сделать, или диапазоном
socks -i192.168.0.100

auth strong
flush
allow eugene
admin -p81

setgid 65535
setuid 65534
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение dikens3 » 2007-09-19 10:07:59

Диапазоны:
(^|\:\/\/)205\.188\.\d+\.\d+
(^|\:\/\/)64\.12\.\d+\.\d+
(^|\:\/\/)64\.236\.\d+\.\d+
\:\/\/205\.188\.\d+\.\d+
\:\/\/64\.12\.\d+\.\d+
\:\/\/64\.236\.\d+\.\d+
Домены:
194.67.23.100
194.67.23.60
194.67.23.62
194.67.57.142
194.67.57.150
194.67.57.206
205.188.153.98
64.12.31.92
911.ru
agent.mail.ru
aim.com
allports.jabber.ru
amessage.info
blue.aol.com
icq-ws.rambler.ru
icq.com
icq.mirabilis.com
icq.rambler.ru
icq.weba.ru
irc.ru
jabber.dnepr.net
jabber.om.tlt.ru
jabber.org
jabber.org.ua
jabber.ru
jabber80.com
login.glogin.messaging.aol.com
login.icq.com
login.login-grt.messaging.aol.com
login.oscar.aol.com
meebo.com
meebome.com
messenger.hotmail.com
messenger.msn.com
messenger.yahoo.com
mirabilis.com
miranda-im.org
mrim.mail.ru
mrim1.mail.ru
mrim2.mail.ru
mrim3.mail.ru
mrim4.mail.ru
mrim5.mail.ru
proxy.icq.com
s1.tlen.pl
skype-on.ru
skype.com
skypeclub.ru
ssl.jabber.ru
talk.google.com
verticalimits.uni.cc
У меня не работает, но может пригодится:
acl block_icq rep_mime_type -i ^aim/http$
http_reply_access deny block_icq
P.S. Банлисты из режика, что мешает в нём сделать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение dvg_lab » 2007-09-19 17:44:37

я видимо чета не догоняю, но в режике стоит

Код: Выделить всё

<ICQ>
ban_dir /usr/local/rejik/banlists/icq
url http://127.0.0.1/icq.html
в соотв. дире лежат pcre и urls файлики, скаченные с сайта (я честно купил DBL за 2 тыщи :) но квип на это дело забивает и совершенно свободное соединяется с параметрами login.icq.com:443 через этот самый proxy:3128
Может это из-за того, что протокол ssl ?
FreeBSD the power to serve.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение dikens3 » 2007-09-19 17:54:04

Конечно, он может вообще по любому порту, не обязательно через SSL(443). :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение Alex Keda » 2007-09-19 21:27:11

сделай с сервера

Код: Выделить всё

telnet login.icq.com _любой_номер_порта_
и удивись :)
они все порты слушают :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-20 9:36:14

не в тему но по теме!
А как в сквиде запретить двум или 3 ip-кам ходить по http и https и оставить ходить на icq и mail@gent ?
и еще трабл хочу видеть как через мою прокси ходят во внешний мир по rdp. Нужно точно знать сколько трафика
у меня уходит на каждого клиента по всем соединениям какие бы он не создавал! и что бы он без настройки squid
ни куда не мог бы вылезти, там на ftp irc или еще куда! и что бы все эти данные отражались в squid.log
прошу поделится соображениями, уважаемые guru !!! заранее благодарю!!!
Знания принадлежат человечеству!!!

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение dikens3 » 2007-09-20 10:09:39

А как в сквиде запретить двум или 3 ip-кам ходить по http и https и оставить ходить на icq и mail@gent ?
acl ICQ_USERS 192.168.1.1, 192.168.1.2, 192.168.1.3
allow ICQ сервера
deny ICQ_USERS всё остальное.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-20 12:42:15

ты имел в виду

Код: Выделить всё

acl acq_user src "/usrlocal/etc/squid/acq_users" # юзер 192,168,0,10 которому можно использовать acq
# ниже 
http_access allow acq_user
http_access deny disable_ip # юзер 192,168,0,10 которому запрещено выходить через squid по 80 и остальным портам

я правильно тебя понял???

при моей настройки не получается! если стоит None в настройке qip он все равно выходит на ружу в обход squida
и ipfw
бл................... в чем дело??? нет ли у вас каких замечаний или мыслей?
Знания принадлежат человечеству!!!

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-20 13:21:30

demondem10 писал(а):ри моей настройки не получается! если стоит None в настройке qip он все равно выходит на ружу в обход squida
и ipfw
1. Для Squid примерно так:

Код: Выделить всё

acl icqdomen srcdomen  /usl/local/squid/файл со списком доменов, который предоставил Дикенс
acl icqusers ident /usr/local/squid/файл со списком юзеров которые пользуются, только ICQ
acl allowusers ident /usr/local/squid/файл со списком юзеров, которым разрешено все
Если авторизации по имени нет, тогда  вместо ident - src, и в файле список IP
Далее там где раздаёшь доступ пишем:

http_access allow allowusers
http_access deny !icqdomen !icqusers
http_access deny all

Однако на мой взгляд удобнее все делать через редиректор.
2. Проверяй настройки IPFW, наверняка сидит что-то вроде

Код: Выделить всё

allow ip from any (как вариант маска локальной сети) to any via (инетерфейс локальной сети)
3. Лису и всем авторам огромное спасибо за сайт, только конфиги которые они выкладывают это пример для размышления, а не для copy-past.

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 8:00:37

1
Последний раз редактировалось demondem10 2007-10-02 8:30:38, всего редактировалось 1 раз.
Знания принадлежат человечеству!!!

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 8:24:33

По порядку чего не получается?

Файервал с такими строчками можешь выкинуть, он абсолютно не нужен если есть

Код: Выделить всё

  ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 9:40:18

если я эти строчки убираю весь нэт пропадает и squid говорит что не возможно установить соединение!
в чем дело не пойму!!! как бы вы прокоментировали эту ситуацию на основе конфигов
Последний раз редактировалось demondem10 2007-09-21 9:56:46, всего редактировалось 1 раз.
Знания принадлежат человечеству!!!

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 9:56:13

если я эти строчки убираю весь нэт пропадает и squid говорит что не возможно установить соединение!
в чем дело не пойму!!! как бы вы прокоментировали эту ситуацию на основе конфигов
Естественно.
Ладно вопросы по ходу:
1. Прокси прозрачный или нет?
2. Какой порт и IP слушает Squid и куда заворачиваются пакеты в ipfw?
3. Что означает строка

Код: Выделить всё

 ${fwcmd} add pass udp from any to any setup
4. Rejik используется или нет?
5. Как взаимодействует Rejik и Squid?
6. Возможна ли авторизация в прозрачном режиме?
7. В ipfw есть добавочка "

Код: Выделить всё

via (интерфейс)
как ей пользоваться?
Полагаю ответив на них поймёшь все свои ошибки.

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 10:08:13

1 прокся не прозрачная ( все сначало кешируется а потом попадает к пользователю, при необходимости обновляется) так!
2 ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 слушает 192.168.0.100:3128
3 ${fwcmd} add pass udp from any to any setup означает что все udp разрешены
4 Rejik используется , настроен в самс, он режит url всякие и расширения
5 Как взаимодействует Rejik и Squid? до конца не понимаю ???......................... :cry:
6 Возможна ли авторизация в прозрачном режиме? у меня авторизация по ip и в самсе также настроена компов
всего 10 и у всех статика
7

Код: Выделить всё

via (интерфейс) 
для пропускания или запрешения прохождения пакетов или всего трафика через тот или иной интерфейс

прошу прощения за безграмотность но для чего она нужна не понимаю так как и без нее тоже работает!
:?

что не так то??? где я не прав?
Знания принадлежат человечеству!!!

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 10:48:16

В таким случаях обычно говорят RTFM или MAN. (Ничего личного просто констатация факта) :D
Начнём с начала:
1. Что означает прозрачный прокси?
2.
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 слушает 192.168.0.100:3128
Так куда форвардится и чего слушается?
3.
${fwcmd} add pass udp from any to any setup означает что все udp разрешены
Что такое setup? Что такое established? Какие протоколы используются?
4. Как взаимодействуют прокси сервер и редиректор (Rejik, Sams в частности), конкретно кто принимает решение пропускать трафик от (пользователя, IP) соответсвенно где все надо настраивать?
5. "via (интерфейс)" это ключевая проблема, если хочешь понять почему клиенты пролезают мимо прокси.
6. Как располагаются правила в IPFW имеем:

Код: Выделить всё

   ${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup   
   ${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
#   ${fwcmd} add pass tcp from any to ${dmz1} 53 setup
#   ${fwcmd} add pass udp from any to ${dmz1} 53
#   ${fwcmd} add pass udp from ${dmz1} 53 to any
   ${fwcmd} add pass tcp from any to ${oip} 53 setup
   ${fwcmd} add pass udp from any to ${oip} 53
   ${fwcmd} add pass udp from ${oip} 53 to any
   
   
   # Allow setup of any other TCP connection

   ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any
   
   # Allow DNS queries out in the world
   ${fwcmd} add pass udp from ${oip} to any 53 keep-state
что будет если удалить секцию

Код: Выделить всё

 ${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup   
   ${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
#   ${fwcmd} add pass tcp from any to ${dmz1} 53 setup
#   ${fwcmd} add pass udp from any to ${dmz1} 53
#   ${fwcmd} add pass udp from ${dmz1} 53 to any
   ${fwcmd} add pass tcp from any to ${oip} 53 setup
   ${fwcmd} add pass udp from any to ${oip} 53
   ${fwcmd} add pass udp from ${oip} 53 to any
и аналогично

Код: Выделить всё

   ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any
7. И последнее в статье по настройке IPFW выложен вполне работоспособный и достаточно безопасный (хотя меня он коробит) конфиг для IPFW, скопировать-то его можно без ошибок?

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 11:08:14

1 прзрачный означает чо клиент не знает что его запрос сначала обрабатывает прокся а потом уже клиент
2

Код: Выделить всё

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 
так в правилах ipfw прописано
а эта sockstat показывает

Код: Выделить всё

squid tcp4 192.168.0.100:3128 *:* 
в правиле указано что весь трафик проходящий отправленный на 80 порт направлять на 127.0.0.1:3128 тоесть squid
setup означает постоянно открытое соединение на тот или иной порт а
established для уже установленных соединений

ТАК?

давайте по порядку для начала с ipfw

копировать конфиг не хочу!!! хочу сам разобраться на примере своем и своих ошибок! (комунисты легких путей не ищут) просто немного запутался , каша в голове потому и прошу помощи!

sams + redirector
запросы поступающие от пользователя попадают на стандартный порт прокси rejik их анализирует и проверяет по списку своих urlov или psre и выдает вместо mp3 либо запре либо мою музычку!
Знания принадлежат человечеству!!!

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 11:41:32

По setup established http://house.hcn-strela.ru/BSDCert/BSDA ... -TCP-flags
По остальным буду выкладывать по мере нахождения описаний доступным языком.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 11:48:42

По взаимодействию редиректора и Squid http://sams.perm.ru/doc/ru/redirector.html особенно внимательно то что написано курсивом

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 12:05:18

Хорошее описание о прозрачном проксирование http://www.samag.ru/art/04.2004/04.2004_10.zip

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение -cat- » 2007-09-21 12:15:40

хорошая статья о настройке ipfw http://www.opennet.ru/base/net/ipfw_guide.txt.html, внимательно и вдумчиво читаем о том как проходят пакеты, на остальное пока внимания не обращай.

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 12:17:56

Значит я не прав у меня прокси не прозрачный так как я во всех брайзерах пользователей указываю обращатся на 192.168.0.100:3128
Знания принадлежат человечеству!!!

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 12:36:30

АГАааааааааааа
после того как пакет прошел через правило др. правилами он не обрабатывается а уходит по назначению!
Знания принадлежат человечеству!!!

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: заблокировать icq идругие мессенджеры

Непрочитанное сообщение demondem10 » 2007-09-21 12:43:02

Если я правильно понял то все пакеты по 80 пойдут в squid а все другие пойдут натится без обработки сквида
А еще мне хотца что бы я сам и бухгалтер ходил в обход сквида и от него не зависил

Код: Выделить всё

setup_loopback
   ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 

   ${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
   ${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}
   
   ${fwcmd} add allow all from any to 192.168.0.10 # эмой адресс
   ${fwcmd} add allow all from 192.168.0.10 to any
Знания принадлежат человечеству!!!