блокировка icq

0

0

такая проблема: надо заблокировать локальный юзеров от возможности болтать по icq в инете, сеть устроена так, что запретить весь трафик, а затем разрешить по определенным службам - нельзя, нарушается взаимодействие между серверами в локалке, блокировать по порту через iptables - непонятно какой порт блокировать, тк на клиентах icq порты разные могут быть, как быть ? был бы благодарен за совет ...

Ссылка

←	3c590 (3com) и BNC

iptables masqurade два сетевых интерфейса

→

в hosts пропиши аськины сервера на 127.0.0.1 и все а порт у аськи надо блокировать 5190 в сторону сервера

anonymous
(21.11.03 06:49:14 MSK)

Ответ на: комментарий от anonymous 21.11.03 06:49:14 MSK

гы.........5190 эт по деваулту стоит............ можно и другой порт поставить :)))) Самое надежное, это забанить все сети icq в дени :))

anonymous
(21.11.03 11:16:33 MSK)

Ссылка

здравствуйте, парни )))
я тут недавно задавал вопрос по этоме жу поводу, в ответ получил лишь пространственные рассуждения о том стоит ли делать людям плохо... ;-)

ну, вобщем-то, людям я все-таки плохо сделал - зарубил аську )))

итак:
iptables
не могу понять фразу "сеть устроена так, что запретить весь трафик, а затем разрешить по определенным службам - нельзя, нарушается взаимодействие между серверами в локалке" ну да ладно - речь не об этом...
правила iptables нужно создавать жестко (иначе, на хрен нам такой файервол?), то есть - если открываете (форвардите) какой-нить порт для выхода наружу, обязательно указывайте к какому хосту, с какого и через какой интерфейс (если их много, этих интерфейсов), если вы хоть какой-нибудь порт в инет откроете без указания для какого хоста - аська пролезет )
в принцыпе, если аська вам не нужна совсем, то можно перекомпилить сурскод на предмет отключения следующих модулей: ip_conntrack_irc и ip_nat_irc

squid
тут я прописал запрет dstdom_regex на icq.com и messaging.aol.com

асечники обламались...