Страница 1 из 1
запрет передачи файлов через ICQ
Добавлено: 2008-09-23 8:50:36
Happy_demon
Доброе время. нужен сабж. есть шлюз на фре,прокси,нат,фиревал,почта,днс и прочее. используется ipfw фря6.2. нарыл в интернете следующее
Код: Выделить всё
1) POILICY в iptables по всем направлениям DROP.
2) iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP
iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP
Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT", которая содержится в пакетах при передаче файлов аськой.
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны:
iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...
а как эти правила для ipfw переделать? и рабочие ли они, кто скажет?
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-23 11:41:19
zingel
Код: Выделить всё
${FwCMD} add deny tcp from ${NetIn} to any 5190 in via ${LanIn} setup
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-23 13:02:12
Happy_demon
э-э-э. мне не надо запрещать аську. мне надо запретить передачу через неё файлов
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-23 13:03:43
zingel
ух ты какой
ограничить количество пакетов проходящих черех этот порт тогда
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-23 13:43:50
Happy_demon
zingel писал(а):ух ты какой
ограничить количество пакетов проходящих черех этот порт тогда
то немногое, что я прочёл по поводу моего вопроса сводится к тому, что передача файлов идет не по порту 5190, по нему идет только разговор. а файлтрансфер идёт напрямую между аськаклиентами...
что мне даст ограничение кол-ва пакетов? (в минуту, в день? о чем конкретно речь?). ну будут файлы слаться дольше... он всё равно дойдут... и уж если не сложно - а как это сделать?
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-23 14:00:57
Covax
В аське порты для приёма/передачи файлов устанавливаются вручную, т.ч. запретить по портам не получится.
Как вариант можно зарубить клиенту всё и дать доступ только к прокси, аське на 5190 и на нужные порты.
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-27 8:38:17
zingel
зарубить весь диапазон, кроме 1-1024
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-30 6:45:32
login16
zingel писал(а):зарубить весь диапазон, кроме 1-1024
Хм...
А если укажу порт 1111. или они все служебные и зарезервированы?
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-30 12:00:48
zingel
выставить ip.portrange в sysctl
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-30 12:54:13
Happy_demon
zingel писал(а):зарубить весь диапазон, кроме 1-1024
я вроде объяснял уже что не хочу запрещать аську? я хочу запретить по ней передавать файлы. болтавня идёт по порту 5190
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-30 13:46:25
zingel
прочитай внимательно, то, что я написал и постарайся понять, смысл моих сокральных строк.
Re: запрет передачи файлов через ICQ
Добавлено: 2008-09-30 14:11:21
Happy_demon
zingel писал(а):прочитай внимательно, то, что я написал и постарайся понять, смысл моих сокральных строк.
скромняшка
если речь об этом
zingel писал(а):зарубить весь диапазон, кроме 1-1024
то я уже говорил-не вижу смысла
если же речь об
zingel писал(а):выставить ip.portrange в sysctl
Код: Выделить всё
Переменные sysctl net.inet.ip.portrange.* контролируют диапазоны номеров портов, автоматически привязываемых к TCP и UDP сокетам. Есть три диапазона: нижний диапазон, диапазон по умолчанию и верхний диапазон. Большинство сетевых программ используют диапазон по умолчанию, контролируемый net.inet.ip.portrange.first и net.inet.ip.portrange.last, установленными соответственно в 1024 и 5000. Диапазоны портов привязки используются исходящих соединений и при некоторых условиях портов может не хватить. Это чаще всего происходит на сильно загруженном прокси сервере. Диапазон портов не становится проблемой при работе серверов, которые обрабатывают в основном входящие соединения, или с небольшим количеством исходящих соединений, например mail relay. Для ситуаций, когда возможен недостаток портов, рекомендуется немного увеличить net.inet.ip.portrange.last. Может подойти значение 10000, 20000, или 30000. Учтите также возможное влияние межсетевого экрана при изменении диапазона портов. Некоторые могут блокировать большие диапазоны портов (обычно с небольшими номерами) и вынуждают использовать более высокие диапазоны для исходящих соединений. По этой причине рекомендуется настроить значение net.inet.ip.portrange.first.
опять же тайный смысл от меня ускользает. зачем мне диапазоны увеличивать или уменьшать? как-то пока не очень смысл проявляется
Re: запрет передачи файлов через ICQ
Добавлено: 2008-10-01 4:02:14
login16
[/code] опять же тайный смысл от меня ускользает. зачем мне диапазоны увеличивать или уменьшать? как-то пока не очень смысл проявляется[/quote]
В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....
Re: запрет передачи файлов через ICQ
Добавлено: 2008-10-03 9:53:18
zingel
В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....
Неужели, хоть кто-то догадался.
Re: запрет передачи файлов через ICQ
Добавлено: 2008-10-13 16:24:36
freeman
zingel писал(а):В чем смысл? Я понял смысл так:
Можно задать диапазон портов, скажем 20.000-30.000. И в кипе, надо будет обязательно указать именно этот диапазон портов. Если будут указаны порты не из этого диапазона- юзеры обломаются....
Неужели, хоть кто-то догадался.
Это получится не запрет, а скрытие. Юзер если начнёт пробовать подобрать - найдёт рабочий вариант.
IPtables в первом посте тут конечно крут, но это прокатит если юзерам в инет открыт только 5190 порт. Если ещё другие откроыты (как чаще всего бывает при пускании юзеров напрямую через NAT) и т.д. - перенастраиваем клиента на них и плюём на запреты.
Так что идея асю (часть её функционала) запретить решается или легко (если юзеры полные чайники) или вообще не решаются (если форумы читают)
Re: запрет передачи файлов через ICQ
Добавлено: 2008-10-14 13:20:52
login16
Так что идея асю (часть её функционала) запретить решается или легко (если юзеры полные чайники) или вообще не решаются (если форумы читают)
Лучше хоть что-то чем ничего. У меня 98% чайников.
Про диапозон портов: сколько портов, в штуках, необходимо системе? Примерно.
Такой диапозон 30.000-31.000 поёдет? Думаю нет...Кто что думает?
Re: запрет передачи файлов через ICQ
Добавлено: 2008-12-02 16:28:55
kmb
Можно еще порезать скорость)
Вообщем через socks5 раздается аська, как поменять диапазон не понял, вот например конф:
50. - этой сети позволяем пользоваться
login.icq.com - куда позволяем ходить
- src-port, т.е. любые, к примеру вот тут ставим (60000,61000)?
5190 - dest-port
Что после этого менять в сисктэловском портрейндже?