Как прикрыть ICQ?

vadik	# 11 лет, 10 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	У аськи сервер центральный, может быть можно блокировать всем пользователям доступ к серверу (например по ip, подменяя его в файлах hosts нужных компов), а нужных людей выпускать через проксю с авторизацией? Хотя я не в теме, возможно и не прав.

# 11 лет, 10 месяцев назад

Сообщения: 5395

Участник с: 17 августа 2009

У аськи сервер центральный, может быть можно блокировать всем пользователям доступ к серверу (например по ip, подменяя его в файлах hosts нужных компов), а нужных людей выпускать через проксю с авторизацией? Хотя я не в теме, возможно и не прав.

mango	# 11 лет, 10 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	sirocco Наверняка что-то типа портабл версий, запускаемых из Documents and settings Ну так решать на корню с помощью политик - запретить запуск программ из всех возможных мест (в том числе и со флешек), окромя C:\Windows и Program files Заодно вирусни меньше будет. P.S. Только если на этих программирование изучается - то всё сложнее… По компам учеников я лазить не хочу, да и не могу. ;-) Там управляют преподы. По сему хочу решить этот вопрос глобально - пресечением доступа на будущем сервере. vadik У аськи сервер центральный, может быть можно блокировать всем пользователям доступ к серверу (например по ip, подменяя его в файлах hosts нужных компов), а нужных людей выпускать через проксю с авторизацией? Хотя я не в теме, возможно и не прав. Если бы всё было так просто ;-) лет пять достаточно было прикрыть пару портов и всё. Сейчас не так. Куча серверов авторизации с кучей ip-шников.. h4tr3d PoZiTPoH Разве по заголовкам фильтровать нельзя? Вроде читал где-то о такой возможности… угу, вроде есть в patch-o-matic или как-то так - набор дополнительных патчей для netfilter/iptables, давно давно резал скайп, а то он зараза живучий, хотя когда нужно, фиг пропихнешь наружу :) Сейчас наверну две виртуалки одну сделаю типа “ сервером”, а вторую винду. На винде буду квипы с аськами пускать , а на сервере tcpdump-ом ловить пакеты.

mango

# 11 лет, 10 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

sirocco
Наверняка что-то типа портабл версий, запускаемых из Documents and settings
Ну так решать на корню с помощью политик - запретить запуск программ из всех возможных мест (в том числе и со флешек), окромя C:\Windows и Program files
Заодно вирусни меньше будет.

P.S. Только если на этих программирование изучается - то всё сложнее…

По компам учеников я лазить не хочу, да и не могу. ;-) Там управляют преподы. По сему хочу решить этот вопрос глобально - пресечением доступа на будущем сервере.

vadik
У аськи сервер центральный, может быть можно блокировать всем пользователям доступ к серверу (например по ip, подменяя его в файлах hosts нужных компов), а нужных людей выпускать через проксю с авторизацией? Хотя я не в теме, возможно и не прав.

Если бы всё было так просто ;-) лет пять достаточно было прикрыть пару портов и всё. Сейчас не так. Куча серверов авторизации с кучей ip-шников..

h4tr3d
PoZiTPoH
Разве по заголовкам фильтровать нельзя? Вроде читал где-то о такой возможности…

угу, вроде есть в patch-o-matic или как-то так - набор дополнительных патчей для netfilter/iptables, давно давно резал скайп, а то он зараза живучий, хотя когда нужно, фиг пропихнешь наружу :)

Сейчас наверну две виртуалки одну сделаю типа “ сервером”, а вторую винду. На винде буду квипы с аськами пускать , а на сервере tcpdump-ом ловить пакеты.

vadik	# 11 лет, 10 месяцев назад
Темы: 55 Сообщения: 5395 Участник с: 17 августа 2009	А если прикрыть все адреса в которых встречается aol.com? Только что немного погуглил на эту тему, не так их и много и закрыть все это дело вполне возможно (http://www.fortunecity.com/campus/princeton/652/servers.htm).

kstati	# 11 лет, 10 месяцев назад
Темы: 5 Сообщения: 103 Участник с: 04 марта 2010	Проблемы с запуском своих программ действительно существуют. Компьютерные классы предназначены в том числе и для уроков по программированию. То есть для запуска заранее неизвестных (скомпиленых) программ. Здесь тривиальных решений, на мой взгляд, нет. По поводу аськи - поставить сниффер, и менять пароли на тех аськах, с которых происходит выход ) хД Если без шуток, то для доступа в интернет по прямому назначению (просмотр страниц) может пригодится прокси, обрабатывающий только http. Всё остальное - в чулан. То есть вести политику доступа с правилом по умолчанию “Запрещено”. и разрешать: редирект 80,443 на прокси-сервер. всё остальное, идущее наружу блокировать. Если на клиентских компах есть возможность указать прокси, то даже icmp, dns. В качестве хорошего, но не самого простого в настройке сервера ткну на squid, в качестве легковесного, но немного мутного в конфигах (новичкам синтаксис может показаться дурацким) - 3proxy. И тот и другой прокси кросс-платформенные. При этом обязательно запрещение соединений connect.

kstati

# 11 лет, 10 месяцев назад

Темы: 5

Сообщения: 103

Участник с: 04 марта 2010

Проблемы с запуском своих программ действительно существуют. Компьютерные классы предназначены в том числе и для уроков по программированию. То есть для запуска заранее неизвестных (скомпиленых) программ.
Здесь тривиальных решений, на мой взгляд, нет.

По поводу аськи - поставить сниффер, и менять пароли на тех аськах, с которых происходит выход ) хД

Если без шуток, то для доступа в интернет по прямому назначению (просмотр страниц) может пригодится прокси, обрабатывающий только http.
Всё остальное - в чулан.

То есть вести политику доступа с правилом по умолчанию “Запрещено”.
и разрешать: редирект 80,443 на прокси-сервер.
всё остальное, идущее наружу блокировать. Если на клиентских компах есть возможность указать прокси, то даже icmp, dns.

В качестве хорошего, но не самого простого в настройке сервера ткну на squid, в качестве легковесного, но немного мутного в конфигах (новичкам синтаксис может показаться дурацким) - 3proxy.
И тот и другой прокси кросс-платформенные.

При этом обязательно запрещение соединений connect.

gard	# 11 лет, 10 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Сделать прозрачное проксирование и никто и не заметит, тем самым отключите еще и вконтакты всякие.. Насчет запрещать все.. тут тоже сложно, есть же какие то сокеты или как то там, что сидят выше 1024 порта, там же и торренты и всякая шняга, ученики возьмут и свою проксю включат еще.. Но попробовать можно и нужно. =)

gard

# 11 лет, 10 месяцев назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Сделать прозрачное проксирование и никто и не заметит, тем самым отключите еще и вконтакты всякие.. Насчет запрещать все.. тут тоже сложно, есть же какие то сокеты или как то там, что сидят выше 1024 порта, там же и торренты и всякая шняга, ученики возьмут и свою проксю включат еще.. Но попробовать можно и нужно. =)

mango	# 11 лет, 10 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	vadik А если прикрыть все адреса в которых встречается aol.com? Только что немного погуглил на эту тему, не так их и много и закрыть все это дело вполне возможно ( http://www.fortunecity.com/campus/princ … ervers.htm ). не думаю, что там исчерпывающее количество серверов. :-/ вот цитата “New verified ICQ Severs (8/23/99) ” kstati То есть вести политику доступа с правилом по умолчанию “Запрещено”. и разрешать: редирект 80,443 на прокси-сервер. аська прекрасно работает и с 80 и с 443 портами ;-) kstati В качестве хорошего, но не самого простого в настройке сервера ткну на squid, Сквид будет, это само собой разумеющееся ;-)

mango

# 11 лет, 10 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

vadik
А если прикрыть все адреса в которых встречается aol.com?
Только что немного погуглил на эту тему, не так их и много и закрыть все это дело вполне возможно ( http://www.fortunecity.com/campus/princ … ervers.htm ).

не думаю, что там исчерпывающее количество серверов. :-/
вот цитата “New verified ICQ Severs (8/23/99) ”

kstati
То есть вести политику доступа с правилом по умолчанию “Запрещено”.
и разрешать: редирект 80,443 на прокси-сервер.

аська прекрасно работает и с 80 и с 443 портами ;-)

kstati
В качестве хорошего, но не самого простого в настройке сервера ткну на squid,

Сквид будет, это само собой разумеющееся ;-)

kstati	# 11 лет, 10 месяцев назад
Темы: 5 Сообщения: 103 Участник с: 04 марта 2010	mango kstati То есть вести политику доступа с правилом по умолчанию “Запрещено”. и разрешать: редирект 80,443 на прокси-сервер. аська прекрасно работает и с 80 и с 443 портами ;-) не выдирай из контекста, и не упускай важный момент kstati При этом обязательно запрещение соединений connect.

kstati

# 11 лет, 10 месяцев назад

Темы: 5

Сообщения: 103

Участник с: 04 марта 2010

mango
kstati
То есть вести политику доступа с правилом по умолчанию “Запрещено”.
и разрешать: редирект 80,443 на прокси-сервер.
аська прекрасно работает и с 80 и с 443 портами ;-)

не выдирай из контекста, и не упускай важный момент

kstati
При этом обязательно запрещение соединений connect.

mango	# 11 лет, 10 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	kstati не выдирай из контекста, и не упускай важный момент kstati писал(а):При этом обязательно запрещение соединений connect. Тогда обрубится у всех и у учителей в том числе … и не забудьте, что все на учительском действует NAT. Так что все запросы от учеников идут от учительного IP. Что резать в этом случае?

mango

# 11 лет, 10 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

kstati
не выдирай из контекста, и не упускай важный момент

kstati писал(а):При этом обязательно запрещение соединений connect.

Тогда обрубится у всех и у учителей в том числе …

и не забудьте, что все на учительском действует NAT. Так что все запросы от учеников идут от учительного IP.
Что резать в этом случае?

kstati	# 11 лет, 10 месяцев назад
Темы: 5 Сообщения: 103 Участник с: 04 марта 2010	mango kstati не выдирай из контекста, и не упускай важный момент kstati писал(а):При этом обязательно запрещение соединений connect. Тогда обрубится у всех и у учителей в том числе … и не забудьте, что все на учительском действует NAT. Так что все запросы от учеников идут от учительного IP. Что резать в этом случае? Очевидно же - входной интерфейс на учительском компьютере. 192.168.0.1 Остальное - ерунда бестолковая. Либо убрать nat и вручить эту функцию файерволу

kstati

# 11 лет, 10 месяцев назад

Темы: 5

Сообщения: 103

Участник с: 04 марта 2010

mango
kstati
не выдирай из контекста, и не упускай важный момент

kstati писал(а):При этом обязательно запрещение соединений connect.

Тогда обрубится у всех и у учителей в том числе …

и не забудьте, что все на учительском действует NAT. Так что все запросы от учеников идут от учительного IP.
Что резать в этом случае?

Очевидно же - входной интерфейс на учительском компьютере. 192.168.0.1
Остальное - ерунда бестолковая. Либо убрать nat и вручить эту функцию файерволу

gard	# 11 лет, 10 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Учителя тоже в хаб..