заблокировать icq идругие мессенджеры

[dvg_lab]

и сделать это надо по доменным логинам, блокировать по ip на гейте, не удастся - dhcp. Фактически все ходят через сквид с режиком по https. Можно ли на основе логинов отрезать части юзеров аську?.. Порезал бы всем на гейте, но руководству надо оставить

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

как вариант, поставить 3proxy с поддержкой socks5 + (если нада) авторизация.
а на сквиде прикрыть асю вообще

[schizoid]

Код: Выделить всё

timeouts 1 5 30 60 180 1800 15 60
daemon
log  /var/log/3proxy.log D
logformat "L%d-%m-%Y %H:%M:%S %z %N.%p %E %U %C:%c %R:%r %O %I %h %T"
archiver zip zip -m -qq %A %F
rotate 7
internal 192.168.0.100

users $/usr/local/etc/3proxy.pswd (файлег с паролями и логинами, тут у мну тока для админа)

auth none
allow *  #тут пускает всех, а мона по ИП сделать, или диапазоном
socks -i192.168.0.100

auth strong
flush
allow eugene
admin -p81

setgid 65535
setuid 65534

[dikens3]

Диапазоны:

(^|\:\/\/)205\.188\.\d+\.\d+
(^|\:\/\/)64\.12\.\d+\.\d+
(^|\:\/\/)64\.236\.\d+\.\d+
\:\/\/205\.188\.\d+\.\d+
\:\/\/64\.12\.\d+\.\d+
\:\/\/64\.236\.\d+\.\d+

Домены:

194.67.23.100
194.67.23.60
194.67.23.62
194.67.57.142
194.67.57.150
194.67.57.206
205.188.153.98
64.12.31.92
911.ru
agent.mail.ru
aim.com
allports.jabber.ru
amessage.info
blue.aol.com
icq-ws.rambler.ru
icq.com
icq.mirabilis.com
icq.rambler.ru
icq.weba.ru
irc.ru
jabber.dnepr.net
jabber.om.tlt.ru
jabber.org
jabber.org.ua
jabber.ru
jabber80.com
login.glogin.messaging.aol.com
login.icq.com
login.login-grt.messaging.aol.com
login.oscar.aol.com
meebo.com
meebome.com
messenger.hotmail.com
messenger.msn.com
messenger.yahoo.com
mirabilis.com
miranda-im.org
mrim.mail.ru
mrim1.mail.ru
mrim2.mail.ru
mrim3.mail.ru
mrim4.mail.ru
mrim5.mail.ru
proxy.icq.com
s1.tlen.pl
skype-on.ru
skype.com
skypeclub.ru
ssl.jabber.ru
talk.google.com
verticalimits.uni.cc

У меня не работает, но может пригодится:

acl block_icq rep_mime_type -i ^aim/http$
http_reply_access deny block_icq

P.S. Банлисты из режика, что мешает в нём сделать?

[dvg_lab]

я видимо чета не догоняю, но в режике стоит

Код: Выделить всё

<ICQ>
ban_dir /usr/local/rejik/banlists/icq
url http://127.0.0.1/icq.html

в соотв. дире лежат pcre и urls файлики, скаченные с сайта (я честно купил DBL за 2 тыщи но квип на это дело забивает и совершенно свободное соединяется с параметрами login.icq.com:443 через этот самый proxy:3128
Может это из-за того, что протокол ssl ?

[dikens3]

Конечно, он может вообще по любому порту, не обязательно через SSL(443). :-)

[Alex Keda]

сделай с сервера

Код: Выделить всё

telnet login.icq.com _любой_номер_порта_

и удивись
они все порты слушают

[demondem10]

не в тему но по теме!
А как в сквиде запретить двум или 3 ip-кам ходить по http и https и оставить ходить на icq и mail@gent ?
и еще трабл хочу видеть как через мою прокси ходят во внешний мир по rdp. Нужно точно знать сколько трафика
у меня уходит на каждого клиента по всем соединениям какие бы он не создавал! и что бы он без настройки squid
ни куда не мог бы вылезти, там на ftp irc или еще куда! и что бы все эти данные отражались в squid.log
прошу поделится соображениями, уважаемые guru !!! заранее благодарю!!!

[dikens3]

А как в сквиде запретить двум или 3 ip-кам ходить по http и https и оставить ходить на icq и mail@gent ?

acl ICQ_USERS 192.168.1.1, 192.168.1.2, 192.168.1.3
allow ICQ сервера
deny ICQ_USERS всё остальное.

[demondem10]

ты имел в виду

Код: Выделить всё

acl acq_user src "/usrlocal/etc/squid/acq_users" # юзер 192,168,0,10 которому можно использовать acq
# ниже 
http_access allow acq_user
http_access deny disable_ip # юзер 192,168,0,10 которому запрещено выходить через squid по 80 и остальным портам

я правильно тебя понял???

при моей настройки не получается! если стоит None в настройке qip он все равно выходит на ружу в обход squida
и ipfw
бл................... в чем дело??? нет ли у вас каких замечаний или мыслей?

[-cat-]

ри моей настройки не получается! если стоит None в настройке qip он все равно выходит на ружу в обход squida
и ipfw

1. Для Squid примерно так:

Код: Выделить всё

acl icqdomen srcdomen  /usl/local/squid/файл со списком доменов, который предоставил Дикенс
acl icqusers ident /usr/local/squid/файл со списком юзеров которые пользуются, только ICQ
acl allowusers ident /usr/local/squid/файл со списком юзеров, которым разрешено все
Если авторизации по имени нет, тогда  вместо ident - src, и в файле список IP
Далее там где раздаёшь доступ пишем:

http_access allow allowusers
http_access deny !icqdomen !icqusers
http_access deny all

Однако на мой взгляд удобнее все делать через редиректор.
2. Проверяй настройки IPFW, наверняка сидит что-то вроде

Код: Выделить всё

allow ip from any (как вариант маска локальной сети) to any via (инетерфейс локальной сети)

3. Лису и всем авторам огромное спасибо за сайт, только конфиги которые они выкладывают это пример для размышления, а не для copy-past.

[demondem10]

1

[-cat-]

По порядку чего не получается?

Файервал с такими строчками можешь выкинуть, он абсолютно не нужен если есть

Код: Выделить всё

  ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any

[demondem10]

если я эти строчки убираю весь нэт пропадает и squid говорит что не возможно установить соединение!
в чем дело не пойму!!! как бы вы прокоментировали эту ситуацию на основе конфигов

[-cat-]

если я эти строчки убираю весь нэт пропадает и squid говорит что не возможно установить соединение!
в чем дело не пойму!!! как бы вы прокоментировали эту ситуацию на основе конфигов

Естественно.
Ладно вопросы по ходу:
1. Прокси прозрачный или нет?
2. Какой порт и IP слушает Squid и куда заворачиваются пакеты в ipfw?
3. Что означает строка

Код: Выделить всё

 ${fwcmd} add pass udp from any to any setup

4. Rejik используется или нет?
5. Как взаимодействует Rejik и Squid?
6. Возможна ли авторизация в прозрачном режиме?
7. В ipfw есть добавочка "

Код: Выделить всё

via (интерфейс)

как ей пользоваться?
Полагаю ответив на них поймёшь все свои ошибки.

[demondem10]

1 прокся не прозрачная ( все сначало кешируется а потом попадает к пользователю, при необходимости обновляется) так!
2 ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 слушает 192.168.0.100:3128
3 ${fwcmd} add pass udp from any to any setup означает что все udp разрешены
4 Rejik используется , настроен в самс, он режит url всякие и расширения
5 Как взаимодействует Rejik и Squid? до конца не понимаю ???.........................
6 Возможна ли авторизация в прозрачном режиме? у меня авторизация по ip и в самсе также настроена компов
всего 10 и у всех статика
7

Код: Выделить всё

via (интерфейс) 

для пропускания или запрешения прохождения пакетов или всего трафика через тот или иной интерфейс

прошу прощения за безграмотность но для чего она нужна не понимаю так как и без нее тоже работает!


что не так то??? где я не прав?

[-cat-]

В таким случаях обычно говорят RTFM или MAN. (Ничего личного просто констатация факта)
Начнём с начала:
1. Что означает прозрачный прокси?
2.

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 слушает 192.168.0.100:3128

Так куда форвардится и чего слушается?
3.

${fwcmd} add pass udp from any to any setup означает что все udp разрешены

Что такое setup? Что такое established? Какие протоколы используются?
4. Как взаимодействуют прокси сервер и редиректор (Rejik, Sams в частности), конкретно кто принимает решение пропускать трафик от (пользователя, IP) соответсвенно где все надо настраивать?
5. "via (интерфейс)" это ключевая проблема, если хочешь понять почему клиенты пролезают мимо прокси.
6. Как располагаются правила в IPFW имеем:

Код: Выделить всё

   ${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup   
   ${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
#   ${fwcmd} add pass tcp from any to ${dmz1} 53 setup
#   ${fwcmd} add pass udp from any to ${dmz1} 53
#   ${fwcmd} add pass udp from ${dmz1} 53 to any
   ${fwcmd} add pass tcp from any to ${oip} 53 setup
   ${fwcmd} add pass udp from any to ${oip} 53
   ${fwcmd} add pass udp from ${oip} 53 to any
   
   
   # Allow setup of any other TCP connection

   ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any
   
   # Allow DNS queries out in the world
   ${fwcmd} add pass udp from ${oip} to any 53 keep-state

что будет если удалить секцию

Код: Выделить всё

 ${fwcmd} add allow tcp from any to ${oip} 22 via ${oif} setup
   ${fwcmd} add pass tcp from any to ${oip} 110 via ${oif} setup   
   ${fwcmd} add pass tcp from any to ${oip} 25 via ${oif} setup
#   ${fwcmd} add pass tcp from any to ${dmz1} 53 setup
#   ${fwcmd} add pass udp from any to ${dmz1} 53
#   ${fwcmd} add pass udp from ${dmz1} 53 to any
   ${fwcmd} add pass tcp from any to ${oip} 53 setup
   ${fwcmd} add pass udp from any to ${oip} 53
   ${fwcmd} add pass udp from ${oip} 53 to any

и аналогично

Код: Выделить всё

   ${fwcmd} add pass tcp from any to any setup  # если эту строку убрать ничего не работает да нэт ниукого
   ${fwcmd} add pass udp from any to any setup
   ${fwcmd} add pass icmp from any to any

7. И последнее в статье по настройке IPFW выложен вполне работоспособный и достаточно безопасный (хотя меня он коробит) конфиг для IPFW, скопировать-то его можно без ошибок?

[demondem10]

1 прзрачный означает чо клиент не знает что его запрос сначала обрабатывает прокся а потом уже клиент
2

Код: Выделить всё

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 

так в правилах ipfw прописано
а эта sockstat показывает

Код: Выделить всё

squid tcp4 192.168.0.100:3128 *:* 

в правиле указано что весь трафик проходящий отправленный на 80 порт направлять на 127.0.0.1:3128 тоесть squid
setup означает постоянно открытое соединение на тот или иной порт а
established для уже установленных соединений

ТАК?

давайте по порядку для начала с ipfw

копировать конфиг не хочу!!! хочу сам разобраться на примере своем и своих ошибок! (комунисты легких путей не ищут) просто немного запутался , каша в голове потому и прошу помощи!

sams + redirector
запросы поступающие от пользователя попадают на стандартный порт прокси rejik их анализирует и проверяет по списку своих urlov или psre и выдает вместо mp3 либо запре либо мою музычку!

[-cat-]

По setup established http://house.hcn-strela.ru/BSDCert/BSDA ... -TCP-flags
По остальным буду выкладывать по мере нахождения описаний доступным языком.

[-cat-]

По взаимодействию редиректора и Squid http://sams.perm.ru/doc/ru/redirector.html особенно внимательно то что написано курсивом

[-cat-]

Хорошее описание о прозрачном проксирование http://www.samag.ru/art/04.2004/04.2004_10.zip

[-cat-]

хорошая статья о настройке ipfw http://www.opennet.ru/base/net/ipfw_guide.txt.html, внимательно и вдумчиво читаем о том как проходят пакеты, на остальное пока внимания не обращай.

[demondem10]

Значит я не прав у меня прокси не прозрачный так как я во всех брайзерах пользователей указываю обращатся на 192.168.0.100:3128

[demondem10]

АГАааааааааааа
после того как пакет прошел через правило др. правилами он не обрабатывается а уходит по назначению!

[demondem10]

Если я правильно понял то все пакеты по 80 пойдут в squid а все другие пойдут натится без обработки сквида
А еще мне хотца что бы я сам и бухгалтер ходил в обход сквида и от него не зависил

Код: Выделить всё

setup_loopback
   ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet} to any 80 

   ${fwcmd} add divert 8668 all from ${inet} to any out via ${oif}
   ${fwcmd} add divert 8668 all from any to ${oip} in via ${oif}
   
   ${fwcmd} add allow all from any to 192.168.0.10 # эмой адресс
   ${fwcmd} add allow all from 192.168.0.10 to any