запрет icq через IPTABLES

а почему ты решил, что ася коннектится только через 5190? зайди на их сайт и посмотри - там куча портов, через которые она может это делать

проблема не в том на какой порт она конектится!!! читай внимательнее вопрос!

$ host login.icq.com
login.icq.com is an alias for login.glogin.messaging.aol.com.
login.glogin.messaging.aol.com has address 205.188.153.121
login.icq.com is an alias for login.glogin.messaging.aol.com.
login.icq.com is an alias for login.glogin.messaging.aol.com.

А с чего ты решил, что 64.12.0.0/24?

потому что ip 64.12.164.247 login.icq.com так все таки чего не хватает в правиле???

iptables -A OUTPUT -s 192.168.8.55 -d 64.12.0.0/24 -p tcp --dport 5190 -j DROP
или
iptables -A INPUT -s 192.168.8.55 -d 64.12.0.0/24 -p tcp --dport 5190 -j DROP

кто-то кого-то не слышит

# host login.icq.com
login.icq.com is an alias for login.glogin.messaging.aol.com.
login.glogin.messaging.aol.com has address 205.188.153.121
login.icq.com is an alias for login.glogin.messaging.aol.com.
login.icq.com is an alias for login.glogin.messaging.aol.com.

205.188.153.121 != 64.12.164.247
следовательно:

login.icq.com != 64.12.164.247

отсюда вопрос: что неправильно в правиле??? :-))))))

попробовал добавить: iptables -A INPUT -s 192.168.8.55 -d 64.12.0.0/24 -p tcp --dport 5190 -j DROP iptables-save все сохранилось DROP tcp -- admin 64.12.0.0/24 tcp dpt:5190 но аська все-равно конектится, почему так? :-(

# ping login.icq.com
PING login.glogin.messaging.aol.com (205.188.179.233) 56(84) bytes of data.
64 bytes from ibucp-vip-d.blue.aol.com (205.188.179.233): icmp_seq=1 ttl=50 time=272 ms

объясняю популярно, блин
iptables -A INPUT -s 192.168.8.55 -d 205.188.0.0/16 -p tcp --dport 5190 -j DROP

гы , а кто вам сказал что ип 64.12.164.247 попадает под 64.12.0.0/24

на сколько я помню , в библии по маскам это 64.12.0.0-64.12.0.256

шутники блин ;)

Аццки жжоте господа ! :-)))

1) 64.12.164.247 подпадает под 64.12.0.0/16 2) нахрена нужен ip? 3) iptables -A OUTPUT -p tcp --dport 5190 -j DROP

Ну и какие ещё там порты используются.

обойдешься, юзерам надо ходить по аське!!!!

>-A OUTPUT
Если это на роутере, то ты крут немерянно! :-)))

> Если это на роутере, то ты крут немерянно! :-)))

Из вопроса вроде следует, что это десктопная машина.

>iptables -A OUTPUT -s 192.168.8.55/32 -d 64.12.0.0/24 -p tcp --dport 5190 -j DROP

Если это не на роутере, а на обычной тачке, то зачем указывать source адрес?

ICQ имеет подсети:
64.12.0.0/16
152.163.0.0/16
205.188.179.0/16

Следовательно:
iptables -A OUTPUT 64.12.0.0/16 -p tcp --dport 5190 -j DROP
iptables -A OUTPUT 152.163.0.0/16 -p tcp --dport 5190 -j DROP
iptables -A OUTPUT 205.188.179.0/16 -p tcp --dport 5190 -j DROP

на серверах ICQ открыты все порты на подключение, следовательно:
Следовательно:
iptables -A OUTPUT 64.12.0.0/16 -j DROP
iptables -A OUTPUT 152.163.0.0/16 -j DROP
iptables -A OUTPUT 205.188.179.0/16 -j DROP

Народ, пробуем, говорим что получается!

>на серверах ICQ открыты все порты на подключение, следовательно: >Следовательно: >iptables -A OUTPUT 64.12.0.0/16 -j DROP да не так! Если уж нато пошло: iptables -A OUTPUT -d 64.12.0.0/16 -j DROP

Только непонятно, нахрена вы прицепились к этому -d $STUPID_IP? Когда хотят запретить использование какого-то сервиса, то закрывают стандартный порт для него, или не так? Если так то пожалуйста: $IPT -A OUTPUT -p tcp --dport 5190 -j DROP Все... Тем более не знаю какие у аськи IP существуют, но знаю что есть масса гейтов, через которые можно влезть в аську. Так что дропать надо все по порту.

>Только непонятно, нахрена вы прицепились к этому -d $STUPID_IP?
>Когда хотят запретить использование какого-то сервиса, то закрывают
>стандартный порт для него, или не так?
ответ: т.к. стандартный порт для ICQ - любой, а по умолчанию - 5190