The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Закрыть доступ ICQ"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Закрыть доступ ICQ"
Сообщение от Rustya emailИскать по авторуВ закладки on 18-Дек-04, 11:28  (MSK)
Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  чтоб с этого адреса ICQ не работала?

Заранее блогадарю!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Закрыть доступ ICQ"
Сообщение от KdF Искать по авторуВ закладки(??) on 18-Дек-04, 12:55  (MSK)
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!


Если у тебя роутер, то в простейшем случае так:
NO_ICQ_IP="192.168.1.12"
iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP

Но я так понимаю, у тебя открыто изнутри наружу вообще всё?
Лучше установить политику по умолчанию DROP и разрешить только то, что нужно.

INTERNAL_IF="eth0"
INTERNAL_NET="192.168.1.0/24"
NO_ICQ_IP="192.168.1.12"

IPTABLES -P FORWARD DROP #все пакеты по умолчанию дропаем

iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 21 -j ACCEPT #FTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 22 -j ACCEPT #SSH
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 25 -j ACCEPT #SMTP
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 110 -j ACCEPT #POP3
iptables -A FORWARD -i $INTERNAL_IF -s $INTERNAL_NET -p tcp --dport 5190 -j ACCEPT #ICQ

#То же и для других протоколов

iptables -A FORWARD -s $NO_ICQ_IP -p tcp --dport 5190 -j DROP #Кому-то не повезло


Не забыть про ip_conntrack_ftp, ip_nat_ftp [ip_conntrack_irc] для того чтобы не нужно было открывать другие порты для FTP, кроме 21.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Закрыть доступ ICQ"
Сообщение от KdF Искать по авторуВ закладки(??) on 18-Дек-04, 13:14  (MSK)
Да, забыл, в начале правил для любой цепочки если у тебя политики по умолчанию стоят в DROP весьма желательно иметь
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
чтобы работали всяческие connection tracker-ы и проходил обратный трафик.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Закрыть доступ ICQ"
Сообщение от Rustya emailИскать по авторуВ закладки on 18-Дек-04, 13:25  (MSK)
>Да, забыл, в начале правил для любой цепочки если у тебя политики
>по умолчанию стоят в DROP весьма желательно иметь
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.

У меня используется NAT через машину проходят разные сети, я не могу закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Закрыть доступ ICQ"
Сообщение от Sampan Искать по авторуВ закладки on 18-Дек-04, 15:56  (MSK)
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>

1. Установить простейший кэширующий dns прокси (dnsmasq, tinydns etc)
2. Запретить forward udp/53 трафик
3. Через DHCP раздать всем клиентам адрес dns сервера - этот шлюз
4. В этом dns proxy прописать login.icq.com A 127.0.0.1
5. Молчать на все вопросы и хитро улыбаться

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Закрыть доступ ICQ"
Сообщение от Danil emailИскать по авторуВ закладки(??) on 18-Дек-04, 20:33  (MSK)
Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..

В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Закрыть доступ ICQ"
Сообщение от Sampan Искать по авторуВ закладки on 18-Дек-04, 21:20  (MSK)
>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык, login.icq.com - это CNAME на кластер серверов с множественными IP. Чего блокировать то будем?


>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
А, что, прокси уже без DNS работают?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Закрыть доступ ICQ"
Сообщение от Danil emailИскать по авторуВ закладки(??) on 20-Дек-04, 10:18  (MSK)
>>Хм... А не вариант просто запретить обращаться кому-либо к login.icq.com?..
>Что значит "просто запретить обращаться кому-либо к login.icq.com"? Заблокировать IP адреса? Дык,
>login.icq.com - это CNAME на кластер серверов с множественными IP. Чего
>блокировать то будем?

Именно адреса. Их же не сотня.
А некоторые пакетные фильры, например, позволяют указывать FQDN, а не адрес.

>>В любом случае (и в этом, и с 127.0.0.1) надо не забывать про работу в аське через разные прокси.
>А, что, прокси уже без DNS работают?

А внешние прокси тоже вам подвластны?..
Это я написал на случай, если работа с внешними проксями не запрещена.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Закрыть доступ ICQ"
Сообщение от KdF Искать по авторуВ закладки(??) on 19-Дек-04, 16:52  (MSK)
>>Да, забыл, в начале правил для любой цепочки если у тебя политики
>>по умолчанию стоят в DROP весьма желательно иметь
>>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>>чтобы работали всяческие connection tracker-ы и проходил обратный трафик.
>
>У меня используется NAT через машину проходят разные сети, я не могу
>закрыть все порты, а дропанье порта 5190 не помогает. Что посоветуете?
>

Так вот не надо его дропать, надо его разрешить всем кроме тех, кому он не нужен.

-P FORWARD DROP, и рай на земле неизбежен.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Закрыть доступ ICQ"
Сообщение от HFSC emailИскать по авторуВ закладки(ok) on 19-Дек-04, 18:35  (MSK)
-p tcp -d 64.12.0.0/16 -j DROP
-p tcp -d 205.188.0.0/16 -j DROP
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Закрыть доступ ICQ"
Сообщение от Spark emailИскать по авторуВ закладки on 19-Дек-04, 20:28  (MSK)
>Подскажите пожалуйста как поставить при помощи IPTABLES ораничение на IP adres  
>чтоб с этого адреса ICQ не работала?
>
>Заранее блогадарю!

Проблема блокирования ICQ довольно нетривиальна. Во первых потому что, ICQ может делать автоопределение открытых портов на маршрутизаторе, по просту сканирование. И умеет работать через 21-й порт, а конечно обычно ставят -m state --state RELATED, ESTABLISHED

Потому единственное средство - блокировать подсети ICQ, а их около 17. Вот что мне удалось найти за цельный день изучения проблемы ICQ:

# Block ICQ subnet

iptables -A BAD -d 152.163.159.0/24 -j DROP
iptables -A BAD -d 152.163.208.0/24 -j DROP
iptables -A BAD -d 61.12.161.0/24 -j DROP
iptables -A BAD -d 61.12.174.0/24 -j DROP
iptables -A BAD -d 61.12.51.0/24 -j DROP
iptables -A BAD -d 64.12.161.0/24 -j DROP
iptables -A BAD -d 64.12.200.0/24 -j DROP
iptables -A BAD -d 64.12.202.0/24 -j DROP
iptables -A BAD -d 205.188.253.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.153.0/24 -j DROP
iptables -A BAD -d 205.188.165.0/24 -j DROP
iptables -A BAD -d 205.188.248.0/24 -j DROP
iptables -A BAD -d 205.188.179.0/24 -j DROP
iptables -A BAD -d 205.188.157.0/24 -j DROP
iptables -A BAD -d 205.188.7.0/24 -j DROP
iptables -A BAD -d 205.188.8.0/24 -j DROP
iptables -A BAD -d 205.188.9.0/24 -j DROP

BAD - это цепочка, для "плохих" ИП.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Закрыть доступ ICQ"
Сообщение от asciiz emailИскать по авторуВ закладки(ok) on 20-Дек-04, 11:15  (MSK)
А что, собсно, мешает законнектиться к асе через прокси? И никакой файрвол не поможет.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру