Как прикрыть ICQ?

mango	# 11 лет, 10 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	Ну блин, хорошо распишем более расширено: Видно, что запросы от учеников будут идти от IP учителей. У учителей стоит винда и другого там стоять не будет ;-)

kstati	# 11 лет, 10 месяцев назад
Темы: 5 Сообщения: 103 Участник с: 04 марта 2010	google-> windows enable forwarding Если ты не разделишь ip, то никак не сможешь отличить nat-пакеты от “учителей” от прямых. Очевидно ж. Либо - фильтруй внутренний интерфейс “учитилей”

and	# 11 лет, 10 месяцев назад
Темы: 4 Сообщения: 374 Участник с: 22 июня 2009	kstati никак не сможешь отличить nat-пакеты от “учителей” от прямых. Очевидно ж. TTL ;)

zubastiy	# 11 лет, 9 месяцев назад (отредактировано 11 лет, 9 месяцев назад)
Темы: 136 Сообщения: 548 Участник с: 18 сентября 2009	разрешите спросить! зачем трафик через комп учителя пропускать? почему не переделать на кеширующий проксик с двумя подсетями (по подсети на класс)? на котором применять уже всякое? например пускать компы учителей вовсюда, а учеников только куда разрешено?

zubastiy

# 11 лет, 9 месяцев назад (отредактировано 11 лет, 9 месяцев назад)

Темы: 136

Сообщения: 548

Участник с: 18 сентября 2009

разрешите спросить! зачем трафик через комп учителя пропускать?
почему не переделать на кеширующий проксик с двумя подсетями (по подсети на класс)? на котором применять уже всякое? например пускать компы учителей вовсюда, а учеников только куда разрешено?

gard	# 11 лет, 9 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	У меня тоже возникак аналогичный вопрос, но как то я его видать и не оформил тут. “Всех в хаб” я и подразумевал что всех_абсолютно..

ramcram	# 11 лет, 9 месяцев назад
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	Админю (халтурка) маленькую конторку, на FreeBSD поднял шлюз. На шлюзе ipfw + squid. Резал аську сквидом. Два файла с содержимым: class="code"> icq.com login.icq.com welcome.icq.com icq.mirabilis.org icqstock.org icq.nu и 205.188.0.0/255.255.0.0 64.12.0.0/255.255.0.0 38.161.231.49 38.161.231.44 38.161.231.45 38.161.231.40 72.32.79.195 105.99.113.49 194.58.231.80 194.67.23.167 194.84.21.226 194.84.21.229 194.84.21.235 194.84.21.236 194.84.21.249 204.91.242.25 204.91.242.35 204.91.242.44 204.91.242.112 204.91.242.113 207.95.232.2 208.215.43.50 208.215.43.41 208.215.43.77 208.202.84.41 213.59.126.237 217.74.44.23 Доступ только избранным. Хотя это же можно прописать и на Frewall'е. Возможно школьники и найдут способ общения, например web icq, но вышеописанного для большинства случаев хватает.

ramcram

# 11 лет, 9 месяцев назад

Темы: 23

Сообщения: 310

Участник с: 25 сентября 2009

Админю (халтурка) маленькую конторку, на FreeBSD поднял шлюз. На шлюзе ipfw + squid. Резал аську сквидом. Два файла с содержимым:

class="code">

icq.com
login.icq.com
welcome.icq.com
icq.mirabilis.org
icqstock.org
icq.nu

205.188.0.0/255.255.0.0
64.12.0.0/255.255.0.0
38.161.231.49
38.161.231.44
38.161.231.45
38.161.231.40
72.32.79.195
105.99.113.49
194.58.231.80
194.67.23.167
194.84.21.226
194.84.21.229
194.84.21.235
194.84.21.236
194.84.21.249
204.91.242.25
204.91.242.35
204.91.242.44
204.91.242.112
204.91.242.113
207.95.232.2
208.215.43.50
208.215.43.41
208.215.43.77
208.202.84.41
213.59.126.237
217.74.44.23

Доступ только избранным. Хотя это же можно прописать и на Frewall'е.
Возможно школьники и найдут способ общения, например web icq, но вышеописанного для большинства случаев хватает.

zubastiy	# 11 лет, 9 месяцев назад
Темы: 136 Сообщения: 548 Участник с: 18 сентября 2009	сегодня погонял квип на работе - аццкая сотона спокойно лазит через 80 и 443 порт. 5190 порт закрыт, кроме разрешенных пользователей. сервера аськи зарезаны. как оказалось почти все. весь трафик изнутри-наружу на корневой циске заворачивается в ису. то есть ни один пакет мимо иса не пройдет, хоть просто натом, хоть проксировать - все попадает под правила. аська на 5190 порту разрешена только определенной группе пользователей. НО. запускаю под не привелигированным пользователем с терминалки, квип2010 тупо подолбил на login.icq.com и qip.ru и перебирает сервера … ПРЫГ СКОК. заработало. скайп - таже фигня. потыкался - потыкался и пролез через какой то там сервер. пока что помониторил куда лезет квип за авторизацией - зарезал обнаруженные адреса, но все это до поры поднятия новых серверов или проксирования через какой либо анонимайзер. надо лазить в пакеты на предмет посмотреть устойчивых конструкций типа GET такой то объект при авторизации и тд. инспектирование трафика, какой софт умеет?

zubastiy

# 11 лет, 9 месяцев назад

Темы: 136

Сообщения: 548

Участник с: 18 сентября 2009

сегодня погонял квип на работе - аццкая сотона спокойно лазит через 80 и 443 порт. 5190 порт закрыт, кроме разрешенных пользователей. сервера аськи зарезаны. как оказалось почти все.

весь трафик изнутри-наружу на корневой циске заворачивается в ису.
то есть ни один пакет мимо иса не пройдет, хоть просто натом, хоть проксировать - все попадает под правила.

аська на 5190 порту разрешена только определенной группе пользователей. НО.
запускаю под не привелигированным пользователем с терминалки, квип2010 тупо подолбил на login.icq.com и qip.ru и перебирает сервера … ПРЫГ СКОК. заработало.
скайп - таже фигня. потыкался - потыкался и пролез через какой то там сервер.
пока что помониторил куда лезет квип за авторизацией - зарезал обнаруженные адреса, но все это до поры поднятия новых серверов или проксирования через какой либо анонимайзер.

надо лазить в пакеты на предмет посмотреть устойчивых конструкций типа GET такой то объект при авторизации и тд.
инспектирование трафика, какой софт умеет?

mango	# 11 лет, 9 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	zubastiy разрешите спросить! зачем трафик через комп учителя пропускать? почему не переделать на кеширующий проксик с двумя подсетями (по подсети на класс)? на котором применять уже всякое? например пускать компы учителей вовсюда, а учеников только куда разрешено? Нет, ребята, вы не понимаете ;-) Повторюсь - это ШКОЛА, млять! Там нихера нет! Какие хабы? какие свичи? Вы о чём? Денег нет вообще. Файрвол+прокся - буду поднимать на машинке 6-7 летней давности, которую соберу из 4-5 убитых тачек. zubastiy надо лазить в пакеты на предмет посмотреть устойчивых конструкций типа GET такой то объект при авторизации и тд. инспектирование трафика, какой софт умеет? Буду мониторить. Как что-то найду - отпишу обязательно.

mango

# 11 лет, 9 месяцев назад

Темы: 43

Сообщения: 1521

Участник с: 18 декабря 2008

zubastiy
разрешите спросить! зачем трафик через комп учителя пропускать?
почему не переделать на кеширующий проксик с двумя подсетями (по подсети на класс)? на котором применять уже всякое? например пускать компы учителей вовсюда, а учеников только куда разрешено?

Нет, ребята, вы не понимаете ;-) Повторюсь - это ШКОЛА, млять! Там нихера нет! Какие хабы? какие свичи? Вы о чём? Денег нет вообще.
Файрвол+прокся - буду поднимать на машинке 6-7 летней давности, которую соберу из 4-5 убитых тачек.

zubastiy
надо лазить в пакеты на предмет посмотреть устойчивых конструкций типа GET такой то объект при авторизации и тд.
инспектирование трафика, какой софт умеет?

Буду мониторить. Как что-то найду - отпишу обязательно.

ramcram	# 11 лет, 9 месяцев назад
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	Ограничить права, запретить средствами windows запуск icq клиента..

zubastiy	# 11 лет, 9 месяцев назад (отредактировано 11 лет, 9 месяцев назад)
Темы: 136 Сообщения: 548 Участник с: 18 сентября 2009	ramcram Ограничить права, запретить средствами windows запуск icq клиента.. по условиям - на компы учеников лазить не надо. ну опять - запретить силами винды, это можно, но только двумя способами (через gpedit.msc) разрешенный список исполняемых программ, или запрещенный список. про разрешенный - понятно, что заколебешся добавлять нужный софт для запуска. про запрещенный - портабл версия, в ней исполняемый файлик может называться как угодно. кстати. если все же лазить на компы учеников. костыль. в винду встроен фаероволл. на нем можно политиками настроить каким процессам можно выходить в сеть. типа политика - приложениям explorer, ie, служебным сервисам можно, все остальное в сеть не ходи. вообще - это не тру вей. надо будет лазить по всем компам ежели чего (можно скриптами, но этож напрягаться надо, проще рубить бошки перед выходом в инет)

zubastiy

# 11 лет, 9 месяцев назад (отредактировано 11 лет, 9 месяцев назад)

Темы: 136

Сообщения: 548

Участник с: 18 сентября 2009

ramcram
Ограничить права, запретить средствами windows запуск icq клиента..

по условиям - на компы учеников лазить не надо.
ну опять - запретить силами винды, это можно, но только двумя способами (через gpedit.msc) разрешенный список исполняемых программ, или запрещенный список.
про разрешенный - понятно, что заколебешся добавлять нужный софт для запуска.
про запрещенный - портабл версия, в ней исполняемый файлик может называться как угодно.

кстати. если все же лазить на компы учеников. костыль.
в винду встроен фаероволл. на нем можно политиками настроить каким процессам можно выходить в сеть.
типа политика - приложениям explorer, ie, служебным сервисам можно, все остальное в сеть не ходи.

вообще - это не тру вей. надо будет лазить по всем компам ежели чего (можно скриптами, но этож напрягаться надо, проще рубить бошки перед выходом в инет)