запрет передачи файлов через ICQ

[Happy_demon]

Доброе время. нужен сабж. есть шлюз на фре,прокси,нат,фиревал,почта,днс и прочее. используется ipfw фря6.2. нарыл в интернете следующее

Код: Выделить всё

1) POILICY в iptables по всем направлениям DROP. 
2)  iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP 
     iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP 
     Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT", которая содержится в пакетах при передаче файлов аськой. 
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны: 
     iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT 
     iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT 
 
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...

а как эти правила для ipfw переделать? и рабочие ли они, кто скажет?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

${FwCMD} add deny tcp from ${NetIn} to any 5190 in via ${LanIn} setup

http://www.lissyara.su/?id=1127

[Happy_demon]

Код: Выделить всё

${FwCMD} add deny tcp from ${NetIn} to any 5190 in via ${LanIn} setup

http://www.lissyara.su/?id=1127

э-э-э. мне не надо запрещать аську. мне надо запретить передачу через неё файлов

[zingel]

ух ты какой ограничить количество пакетов проходящих черех этот порт тогда

[Happy_demon]

ух ты какой ограничить количество пакетов проходящих черех этот порт тогда

то немногое, что я прочёл по поводу моего вопроса сводится к тому, что передача файлов идет не по порту 5190, по нему идет только разговор. а файлтрансфер идёт напрямую между аськаклиентами...
что мне даст ограничение кол-ва пакетов? (в минуту, в день? о чем конкретно речь?). ну будут файлы слаться дольше... он всё равно дойдут... и уж если не сложно - а как это сделать?

[Covax]

В аське порты для приёма/передачи файлов устанавливаются вручную, т.ч. запретить по портам не получится.
Как вариант можно зарубить клиенту всё и дать доступ только к прокси, аське на 5190 и на нужные порты.

[zingel]

зарубить весь диапазон, кроме 1-1024

[login16]

зарубить весь диапазон, кроме 1-1024

Хм...
А если укажу порт 1111. или они все служебные и зарезервированы?

[zingel]

выставить ip.portrange в sysctl

[Happy_demon]

зарубить весь диапазон, кроме 1-1024

я вроде объяснял уже что не хочу запрещать аську? я хочу запретить по ней передавать файлы. болтавня идёт по порту 5190

[zingel]

прочитай внимательно, то, что я написал и постарайся понять, смысл моих сокральных строк.

[Happy_demon]

прочитай внимательно, то, что я написал и постарайся понять, смысл моих сокральных строк.

скромняшка
если речь об этом

зарубить весь диапазон, кроме 1-1024

то я уже говорил-не вижу смысла
если же речь об

выставить ip.portrange в sysctl

Код: Выделить всё

Переменные sysctl net.inet.ip.portrange.* контролируют диапазоны номеров портов, автоматически привязываемых к TCP и UDP сокетам. Есть три диапазона: нижний диапазон, диапазон по умолчанию и верхний диапазон. Большинство сетевых программ используют диапазон по умолчанию, контролируемый net.inet.ip.portrange.first и net.inet.ip.portrange.last, установленными соответственно в 1024 и 5000. Диапазоны портов привязки используются исходящих соединений и при некоторых условиях портов может не хватить. Это чаще всего происходит на сильно загруженном прокси сервере. Диапазон портов не становится проблемой при работе серверов, которые обрабатывают в основном входящие соединения, или с небольшим количеством исходящих соединений, например mail relay. Для ситуаций, когда возможен недостаток портов, рекомендуется немного увеличить net.inet.ip.portrange.last. Может подойти значение 10000, 20000, или 30000. Учтите также возможное влияние межсетевого экрана при изменении диапазона портов. Некоторые могут блокировать большие диапазоны портов (обычно с небольшими номерами) и вынуждают использовать более высокие диапазоны для исходящих соединений. По этой причине рекомендуется настроить значение net.inet.ip.portrange.first.

опять же тайный смысл от меня ускользает. зачем мне диапазоны увеличивать или уменьшать? как-то пока не очень смысл проявляется

[login16]

[/code] опять же тайный смысл от меня ускользает. зачем мне диапазоны увеличивать или уменьшать? как-то пока не очень смысл проявляется[/quote]

В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....

[zingel]

В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....

Неужели, хоть кто-то догадался.

[freeman]

В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....

Неужели, хоть кто-то догадался.

Это получится не запрет, а скрытие. Юзер если начнёт пробовать подобрать - найдёт рабочий вариант.
IPtables в первом посте тут конечно крут, но это прокатит если юзерам в инет открыт только 5190 порт. Если ещё другие откроыты (как чаще всего бывает при пускании юзеров напрямую через NAT) и т.д. - перенастраиваем клиента на них и плюём на запреты.
Так что идея асю (часть её функционала) запретить решается или легко (если юзеры полные чайники) или вообще не решаются (если форумы читают)

[login16]

Так что идея асю (часть её функционала) запретить решается или легко (если юзеры полные чайники) или вообще не решаются (если форумы читают)

Лучше хоть что-то чем ничего. У меня 98% чайников.

Про диапозон портов: сколько портов, в штуках, необходимо системе? Примерно.
Такой диапозон 30.000-31.000 поёдет? Думаю нет...Кто что думает?

[kmb]

Можно еще порезать скорость)
Вообщем через socks5 раздается аська, как поменять диапазон не понял, вот например конф:

Код: Выделить всё

permit  -       -       50.       login.icq.com        -    5190

50. - этой сети позволяем пользоваться
login.icq.com - куда позволяем ходить
- src-port, т.е. любые, к примеру вот тут ставим (60000,61000)?
5190 - dest-port

Что после этого менять в сисктэловском портрейндже?