форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Закрыть доступ ICQ"
Сообщение от Rustya on 18-Дек-04, 11:28  (MSK)
Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  чтоб с этого адреса ICQ не работала? Заранее блогадарю!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Закрыть доступ ICQ"
Сообщение от KdF (??) on 18-Дек-04, 12:55  (MSK)
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres   >чтоб с этого адреса ICQ не работала? > >Заранее блогадарю! Если у тебя роутер, то в простейшем случае так: NO_ICQ_IP="192.168.1.12" iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP Но я так понимаю, у тебя открыто изнутри наружу вообще всё? Лучше установить политику по умолчанию DROP и разрешить только то, что нужно. INTERNAL_IF="eth0" INTERNAL_NET="192.168.1.0/24" NO_ICQ_IP="192.168.1.12" IPTABLES -P FORWARD DROP #все пакеты по умолчанию дропаем iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 21 -j ACCEPT #FTP iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 22 -j ACCEPT #SSH iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 25 -j ACCEPT #SMTP iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 110 -j ACCEPT #POP3 iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 5190 -j ACCEPT #ICQ #То же и для других протоколов iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP #Кому-то не повезло Не забыть про ip_conntrack_ftp, ip_nat_ftp [ip_conntrack_irc] для того чтобы не нужно было открывать другие порты для FTP, кроме 21.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Закрыть доступ ICQ"
	Сообщение от KdF (??) on 18-Дек-04, 13:14  (MSK)
	Да, забыл, в начале правил для любой цепочки если у тебя политики по умолчанию стоят в DROP весьма желательно иметь iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT чтобы работали всяческие connection tracker-ы и проходил обратный трафик.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Закрыть доступ ICQ"
	Сообщение от Rustya on 18-Дек-04, 13:25  (MSK)
	>Да, забыл, в начале правил для любой цепочки если у тебя политики >по умолчанию стоят в DROP весьма желательно иметь >iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >чтобы работали всяческие connection tracker-ы и проходил обратный трафик. У меня используется NAT через машину проходят разные сети, я не могу закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Закрыть доступ ICQ"
	Сообщение от Sampan on 18-Дек-04, 15:56  (MSK)
	>У меня используется NAT через машину проходят разные сети, я не могу >закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете? > 1. Установить простейший кэширующий dns прокси (dnsmasq, tinydns etc) 2. Запретить forward udp/53 трафик 3. Через DHCP раздать всем клиентам адрес dns сервера - этот шлюз 4. В этом dns proxy прописать login.icq.com A 127.0.0.1 5. Молчать на все вопросы и хитро улыбаться
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Закрыть доступ ICQ"
	Сообщение от Danil (??) on 18-Дек-04, 20:33  (MSK)
	Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?.. В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Закрыть доступ ICQ"
	Сообщение от Sampan on 18-Дек-04, 21:20  (MSK)
	>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?.. Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык, login.icq.com - это CNAME на кластер серверов с множественными IP. Чего блокировать то будем? >В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси. А, что, прокси уже без DNS работают?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Закрыть доступ ICQ"
	Сообщение от Danil (??) on 20-Дек-04, 10:18  (MSK)
	>>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?.. >Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык, >login.icq.com - это CNAME на кластер серверов с множественными IP. Чего >блокировать то будем? Именно адреса. Их же не сотня. А некоторые пакетные фильры, например, позволяют указывать FQDN, а не адрес. >>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси. >А, что, прокси уже без DNS работают? А внешние прокси тоже вам подвластны?.. Это я написал на случай, если работа с внешними проксями не запрещена.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Закрыть доступ ICQ"
	Сообщение от KdF (??) on 19-Дек-04, 16:52  (MSK)
	>>Да, забыл, в начале правил для любой цепочки если у тебя политики >>по умолчанию стоят в DROP весьма желательно иметь >>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>чтобы работали всяческие connection tracker-ы и проходил обратный трафик. > >У меня используется NAT через машину проходят разные сети, я не могу >закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете? > Так вот не надо его дропать, надо его разрешить всем кроме тех, кому он не нужен. -P FORWARD DROP, и рай на земле неизбежен.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Закрыть доступ ICQ"
	Сообщение от HFSC (ok) on 19-Дек-04, 18:35  (MSK)
	-p tcp -d 64.12.0.0/16 -j DROP -p tcp -d 205.188.0.0/16 -j DROP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Закрыть доступ ICQ"
Сообщение от Spark on 19-Дек-04, 20:28  (MSK)
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres   >чтоб с этого адреса ICQ не работала? > >Заранее блогадарю! Проблема блокирования ICQ довольно нетривиальна. Во первых потому что, ICQ может делать автоопределение открытых портов на маршрутизаторе, по просту сканирование. И умеет работать через 21-й порт, а конечно обычно ставят -m state --state RELATED, ESTABLISHED Потому единственное средство - блокировать подсети ICQ, а их около 17. Вот что мне удалось найти за цельный день изучения проблемы ICQ: # Block ICQ subnet iptables -A BAD -d 152.163.159.0/24 -j DROP iptables -A BAD -d 152.163.208.0/24 -j DROP iptables -A BAD -d 61.12.161.0/24 -j DROP iptables -A BAD -d 61.12.174.0/24 -j DROP iptables -A BAD -d 61.12.51.0/24 -j DROP iptables -A BAD -d 64.12.161.0/24 -j DROP iptables -A BAD -d 64.12.200.0/24 -j DROP iptables -A BAD -d 64.12.202.0/24 -j DROP iptables -A BAD -d 205.188.253.0/24 -j DROP iptables -A BAD -d 205.188.248.0/24 -j DROP iptables -A BAD -d 205.188.153.0/24 -j DROP iptables -A BAD -d 205.188.165.0/24 -j DROP iptables -A BAD -d 205.188.248.0/24 -j DROP iptables -A BAD -d 205.188.179.0/24 -j DROP iptables -A BAD -d 205.188.157.0/24 -j DROP iptables -A BAD -d 205.188.7.0/24 -j DROP iptables -A BAD -d 205.188.8.0/24 -j DROP iptables -A BAD -d 205.188.9.0/24 -j DROP BAD - это цепочка, для "плохих" ИП.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Закрыть доступ ICQ"
	Сообщение от asciiz (ok) on 20-Дек-04, 11:15  (MSK)
	А что, собсно, мешает законнектиться к асе через прокси? И никакой файрвол не поможет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.