форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"запрет icq"
Сообщение от M0t0head on 21-Янв-04, 08:33  (MSK)
что-то лыжи не едут... :-) цель - закрыть аську для некоторых юзеров. в иделе надо будет закрывать для определенной группы из майкрософт домена. (доменная авторизация по группам уже настроена) но сначала для чистоты эксперемента пытаюсь закрыть аську определенному IP: 1. acl mynet src 192.168.0.0/24 acl bed_user src 192.168.0.10/32 acl noicq dstdomain .icq.com http_access deny noicq bed_user http_access allow all аська все равно работает! 2. acl all mynet 192.168.0.0/24 acl bed_user src 192.168.0.254/32 acl noicq2 url_regex -i "/usr/local/squid/icqsites" http_access deny noicq2 bed_user http_access allow all файл icqsites: ############ icq 64.12.164.153 ############ и опять аська коннектится..   в ее настройках стоит - коннект к login.icq.com на 443 порт. а вот и весь конфиг сквида..  может увидите там что-то чего я не вижу.. #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl admin src 192.168.0.254/255.255.255.255 acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports  port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #################### MY ACL ########################### acl mynet src 192.168.0.0/24 acl bed_user src 192.168.0.254/32 acl neticq url_regex -i "/usr/local/squid/icqsites" acl neticq2 dstdomain .icq.com acl NT_superinet external nt_group superinet acl NT_advancedinet external nt_group advancedinet acl NT_minimalinet external nt_group minimalinet acl NT_noicq external nt_group noicq acl password proxy_auth REQUIRED acl bed_files urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.wav$ \.mov$ \.exe$ acl bed_sites url_regex -i "/usr/local/squid/bedsites" #################### END ACL ########################## #######Recommended minimum configuration:############## http_access allow manager localhost http_access allow manager admin http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost ############## MY RULE(S)############################## http_access deny neticq bed_user http_access allow mynet http_access deny all ###################END################################# http_reply_access allow all icp_access allow all cache_effective_user nobody cache_effective_group nogroup
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "запрет icq"
Сообщение от denn on 21-Янв-04, 11:09  (MSK)
о, брат, тоеже херней сегодня занимаюсь... squidGuard есть?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "запрет icq"
	Сообщение от VictorK on 21-Янв-04, 12:19  (MSK)
	А squid-то перезапускаешь?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "запрет icq"
	Сообщение от M0t0head on 21-Янв-04, 13:07  (MSK)
	>А squid-то перезапускаешь? обновляю конфиг: squid -k reconfigure
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "запрет icq"
	Сообщение от M0t0head on 21-Янв-04, 13:08  (MSK)
	>о, брат, тоеже херней сегодня занимаюсь... >squidGuard есть? сквид-гварда городить не стал..   вроде как для моих целей встроенных средств должно хватать. и как успехи? получилось зарезать аську юзеру X ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "запрет icq"
	Сообщение от denn on 21-Янв-04, 13:15  (MSK)
	>>о, брат, тоеже херней сегодня занимаюсь... >>squidGuard есть? > >сквид-гварда городить не стал..   вроде как для моих целей встроенных >средств должно хватать. > >и как успехи? получилось зарезать аську юзеру X ? в том то и дело, че 2 часа сидел в сквид писал правила на порты, дст, домены, ип, форум http://www.opennet.dev/search.shtml?words=icq&sort=score&config=htdig_forum&exclude=index читал и все равно ася перенаправляла... в гуарде в две минуты зарубил... если че найдешь отпиши, интересно где не доглядел...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "запрет icq"
Сообщение от ipmanyak on 21-Янв-04, 14:55  (MSK)
начнем с того, что указано в настройках прокси у аськи ? если указан тип прокси https и порт для login.icq.com 443, значит достаточно в сквиде отрубить safe port 443 ! или как ты и писал заденить dstdomain .icq.com  ! Последние аськи умные заразы, ты им пишешь идти черед прокси по https , они туда тычутся  - там отлуп, тогда эта зараза убирает сама птицу  идти через прокси и пытается идти напрямую мимо прокси , мимо сквида и нужно смотреть правила firewall. Cкорее всего у тебя включен  nat и поэтому аська ходит напрямую .
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "запрет icq"
	Сообщение от M0t0head on 21-Янв-04, 15:46  (MSK)
	>начнем с того, что указано в настройках прокси у аськи ? >если указан тип прокси https и порт для login.icq.com 443 именно так и указано!..  кстати я писал это  в своем сообщении ;-) >в сквиде отрубить safe port 443 ! не могу..  он нужен для других целей. >заденить dstdomain .icq.com  ! так фишка в том что не получается сделать так для отдельных юзеров.. Последние аськи умные заразы, ты им >пишешь идти черед прокси по https , они туда тычутся   >- там отлуп, тогда эта зараза убирает сама птицу  идти >через прокси и пытается идти напрямую мимо прокси , мимо сквида >и нужно смотреть правила firewall. Cкорее всего у тебя включен   >nat и поэтому аська ходит напрямую . нет :-) это исключено .
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "запрет icq"
	Сообщение от R on 21-Янв-04, 21:58  (MSK)
	Как сделал я в свое время 8-)     Вместо доменной виндовс аутентификации делай digest аутентификацию.     Формат файла паролей прост:   user:password     Никакие аськи (я еще не встречал) не умеют лазить через проксю с      аутентификацией digest.      И не надо никаких acl.       Теперь все пользователи сидят ТОЛЬКО в IE и лазают по разрешенным (средствами rejik) сайтам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "запрет icq"
	Сообщение от M0t0head on 22-Янв-04, 06:57  (MSK)
	>    Никакие аськи (я еще не встречал) не умеют >лазить через проксю с      аутентификацией digest. >     И не надо никаких acl. так мне не надо чтоб ВСЕ аськи не могли лазить...  - только некоторые! :-) да и доменная авторизация штука полезная ..отказываться от нее пока не хочу. вроде тривиальная задача - ограничить аьску юзеру Х.   неужели никто не нашел эффективного решения? кстати добрые люди подсказали чисто логическое решение проблемы : http_access allow good_user  # разрешить http - группе good, в ней все юзера и должны быть кто с Асей http_access deny noicq # запретить http Всем кто обратился к icq.com , а дальше после этого идут юзера которым аська запрещена http_access allow bed_user #запретить http всем bed как видно аську запрещена ВСЕМ но только после того как Гуд уже проскочат!  Гуд будут с Аськой! --------------------- но меня этот вариант не устраивает..   есть ведь специальные конструкции.. http_access deny noicq bedusers ведь тут должно срабатывать логическое "И" ..  и аська должна быть запрещена всем кто идет на Icq.com и состоит в группе  bedusers или нет??? ----------
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "запрет icq"
	Сообщение от Junior on 22-Янв-04, 09:14  (MSK)
	Может совет будет не к месту, но попробуй так: acl icq dstdomain login.icq.com acl mynet src 192.168.0.0/24 acl bed_user src 192.168.0.10/32 http_access allow icq !bed_user ----- cut ----- http_access deny all Вот, это как вариант. Дело в том, что на авторизацию (login.icq.com) стоит не один сервер, а несколько, запретив один IP он просто соединится с другим.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "запрет icq"
	Сообщение от M0t0head on 22-Янв-04, 13:43  (MSK)
	>Может совет будет не к месту, но попробуй так: все равно коннектится. да и на login.icq.com набранный в браузере не ругается.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "запрет icq"
	Сообщение от denn on 22-Янв-04, 13:51  (MSK)
	>>Может совет будет не к месту, но попробуй так: > >все равно коннектится. >да и на login.icq.com набранный в браузере не ругается. че бы в броузере ругался, я добавил  login.icq.com в acl bed url_regex '/usr/local/etc/squid/db/bed' http_access deny bed и проверь порядок аклов, он важен.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "запрет icq"
	Сообщение от denn on 22-Янв-04, 11:19  (MSK)
	ты говорил: >сквид-гварда городить не стал..   вроде как для моих целей встроенных >средств должно хватать. вижу, брат, че для твоих целей, всетаки он тебе згодиться... контроль нета +фильтры, чебы сквида не дергать... ставь...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "запрет icq"
	Сообщение от M0t0head on 22-Янв-04, 13:45  (MSK)
	>вижу, брат, че для твоих целей, всетаки он тебе згодиться... еще немного попарюсь. но за совет спасибо! :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "вырвал проблему с корнем :-)"
	Сообщение от M0t0head on 23-Янв-04, 16:23  (MSK)
	решилось все одной до боли простой строчкой..  может я рано радуюсь.. но кажется обрубил довольно конкретно :-) acl no_icq  dst 64.12.0.0/16 и самым первым правилом поставил http_access deny BEDUSERS no_icq   где бедюзерс - у меня группа доменных юзеров..   есессно там может стоять отдельный IP или что угодно на ваш вкус. мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex - порождает только кучу геммороя. :-) для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - но это приведено для упрощения записи..  понятно что в dst надо вписать все известные и неизвестные IP серверов icq. :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "вырвал проблему с корнем :-)"
	Сообщение от denn on 23-Янв-04, 16:31  (MSK)
	ага, жестковато, но работает четко.... молочара.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "вырвал проблему с корнем :-)"
	Сообщение от Lord Dred on 27-Янв-04, 17:44  (MSK)
	>решилось все одной до боли простой строчкой..  может я рано радуюсь.. >но кажется обрубил довольно конкретно :-) > > >acl no_icq  dst 64.12.0.0/16 > >и самым первым правилом поставил > >http_access deny BEDUSERS no_icq > >где бедюзерс - у меня группа доменных юзеров..   есессно там >может стоять отдельный IP или что угодно на ваш вкус. > >мораль такая: рубить надо IP адреса...  использование всяких dstdomain и urlregex >- порождает только кучу геммороя. :-) Почтовики на mail.ru и yandex.ru примерно раз в 2 месяца меняют IP адреса pop и smtp серверов, а имя же остается постоянным. Так что IP рубить не совсем выход. >для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - >но это приведено для упрощения записи..  понятно что в dst >надо вписать все известные и неизвестные IP серверов icq. :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "вырвал проблему с корнем :-)"
	Сообщение от Junior on 28-Янв-04, 09:38  (MSK)
	>>для критиков: знаю что обрубать всю сеть 64.12 это фашизм.  - >>но это приведено для упрощения записи..  понятно что в dst >>надо вписать все известные и неизвестные IP серверов icq. :-) # nslookup > login.icq.com Server:         192.168.1.1 Address:        192.168.1.1#53 Non-authoritative answer: login.icq.com   canonical name = login.login-grt.messaging.aol.com. Name:   login.login-grt.messaging.aol.com Address: 64.12.161.153 Name:   login.login-grt.messaging.aol.com Address: 64.12.161.185 Name:   login.login-grt.messaging.aol.com Address: 64.12.200.89 Name:   login.login-grt.messaging.aol.com Address: 205.188.179.233 Как видно не только 64.12.0.0/16
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "вырвал проблему с корнем :-)"
	Сообщение от Дмитрий Лавров on 18-Мрт-04, 17:08  (MSK)
	Здесь без настройки фильтров фаервола не обойтись. Ведь пользователь может и не использовать прокси, если стоит NAT. Вот пример цепочек для различный вредоносных программ: # GNUtella, Bearshare и ToadNode /sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT # eDonkey /sbin/iptables -A FORWARD -p tcp --dport 4661:4662 -j REJECT /sbin/iptables -A FORWARD -p udp --dport 4665 -j REJECT # Kazaa и Morpheus /sbin/iptables -A FORWARD --dport 1214 -j REJECT /sbin/iptables -A FORWARD -d 213.248.112.0/24 -j REJECT /sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT # AIM и ICQ /sbin/iptables -A FORWARD --dport 9898 -j REJECT /sbin/iptables -A FORWARD --dport 5190:5193 -j REJECT /sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT /sbin/iptables -A FORWARD -d login.icq.com -j REJECT # Jabber /sbin/iptables -A FORWARD --dport 5222:5223 -j REJECT # MSN Messenger /sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT /sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT # Yahoo! Messenger /sbin/iptables -A FORWARD -p TCP --dport 5000:5010 -j REJECT /sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT /sbin/iptables -A FORWARD -b scsa.yahoo.com -j REJECT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "вырвал проблему с корнем :-)"
	Сообщение от Junior on 19-Мрт-04, 11:22  (MSK)
	>Здесь без настройки фильтров фаервола не обойтись. >Ведь пользователь может и не использовать прокси, если стоит NAT. >Вот пример цепочек для различный вредоносных программ: Возможно правильней будет пускать через нат только определённые запросы?:) Например только получать/принимать почту с внешних ящиков. А остальное рубить по-умолчанию. Я так и делаю, например. Поэтому весь трафик контролируется. А если Всё разрешать, а определённые порты рубить, то потом ещё какая-то фигня может придуматься и не успеешь отследить.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "запрет icq"
Сообщение от ipmanyak on 19-Мрт-04, 11:38  (MSK)
как-то проскакивало уже на опеннет про запрет icq, делается это типа так: acl aim_http reply_mime_type -i ^aim/http$ http_reply_access deny aim_http
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "запрет icq"
	Сообщение от aLEXX on 28-Май-04, 17:31  (MSK)
	У меня так: acl banners url_regex "/usr/local/squid/etc/banners.acl" а в banners.acl я записал ключевые слова icq и mirabilis. И все!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.