Re: How to restrict ICQ direct connections
On Thu, Jul 31, 2003 at 10:43:26AM +0300, Michael Shigorin wrote: >> Никто не сваял, я уже искал. Мотивация следующая: ICQ - >> закрытый протокол, значит - must die :) > Здрасьте. А как оно у нас тут бегает у некоторых мимо прокси? > Простой обычный NAT на iptables. Конечно, бегает. Никто и не спорит. Только direct connections не работает. Ты начало треда прочитай :) -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
On Thu, Jul 31, 2003 at 11:07:53AM +0400, Alexey Zagarin wrote: > >>> идёт этот пакет на сервер icq по порту 5190 или нет. Если нет - reject. > >> самое правильное решение для еэтой задачи модуль в iptables по принципу > >> ftp, irc... > > для ipchains помнится такой модуль был, может кто и для iptables сваял? > Никто не сваял, я уже искал. Мотивация следующая: ICQ - > закрытый протокол, значит - must die :) Здрасьте. А как оно у нас тут бегает у некоторых мимо прокси? Простой обычный NAT на iptables. -- WBR, Michael Shigorin <[EMAIL PROTECTED]> -- Linux.Kiev http://www.linux.kiev.ua/
Re: How to restrict ICQ direct connections
On Wed, Jul 30, 2003 at 03:57:31PM +0400, Gerasimov Dmitry wrote: >>> Мне вот интересно, в принципе - возможно такое? >>> К примеру, разбирать исходящие пакеты и определять их принадлежность к >>> ICQ. Наверняка ведь есть там какой-нибудь заголовок в протоколе (я не >>> читал описание протокола, поэтому не в курсе). И дальше - проверять, >>> идёт этот пакет на сервер icq по порту 5190 или нет. Если нет - reject. >> самое правильное решение для еэтой задачи модуль в iptables по принципу >> ftp, irc... > для ipchains помнится такой модуль был, может кто и для iptables сваял? Никто не сваял, я уже искал. Мотивация следующая: ICQ - закрытый протокол, значит - must die :) -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
On Wed, Jul 30, 2003 at 02:31:54PM +0300, Denis A. Egorov wrote: > Здравствуйте, Alexey Zagarin! > > On Wed, Jul 30, 2003 at 03:25:28PM +0400, you wrote: > > -> On Wed, Jul 30, 2003 at 10:59:47AM +0300, Maxim Tyurin wrote: > -> > -> >> У нас корпоративная сетка и, естественно, там всё сделано как ты > -> >> говоришь - все ходят через прокси. И админю её не я :) > -> >> Другое дело, что у нас есть некоторое количество народу, в т.ч. я, > которым по > -> >> долгу службы нужен весь набор - ssh, telnet, snmp ... и т.д. и ходят они > -> >> через отдельный брандмауэр. Так что закрывать сервисы - не метод. > -> > -> > Тогда уж поставить jabber > -> > Настраивается почти все что угодно > -> > Кроме того будет свой сервер, подконтрольный :) > -> > Для действительно нуждающихся в ICQ - открыть транспорт. > -> > -> Этот вариант я держу про запас. > -> Опять таки, это workaround, а не решение проблемы. :) > -> Мне вот интересно, в принципе - возможно такое? > -> К примеру, разбирать исходящие пакеты и определять их принадлежность к > -> ICQ. Наверняка ведь есть там какой-нибудь заголовок в протоколе (я не > -> читал описание протокола, поэтому не в курсе). И дальше - проверять, > -> идёт этот пакет на сервер icq по порту 5190 или нет. Если нет - reject. > -> > > самое правильное решение для еэтой задачи модуль в iptables по принципу > ftp, irc... для ipchains помнится такой модуль был, может кто и для iptables сваял? > > > -- > Denis A. Egorov > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Gerasimov Dmitry e-mail: dima AT polarcup DOT ru icq:26277841 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= pgpaitcKcFSLw.pgp Description: PGP signature
Re: How to restrict ICQ direct connections
Здравствуйте, Alexey Zagarin! On Wed, Jul 30, 2003 at 03:25:28PM +0400, you wrote: -> On Wed, Jul 30, 2003 at 10:59:47AM +0300, Maxim Tyurin wrote: -> -> >> У нас корпоративная сетка и, естественно, там всё сделано как ты -> >> говоришь - все ходят через прокси. И админю её не я :) -> >> Другое дело, что у нас есть некоторое количество народу, в т.ч. я, которым по -> >> долгу службы нужен весь набор - ssh, telnet, snmp ... и т.д. и ходят они -> >> через отдельный брандмауэр. Так что закрывать сервисы - не метод. -> -> > Тогда уж поставить jabber -> > Настраивается почти все что угодно -> > Кроме того будет свой сервер, подконтрольный :) -> > Для действительно нуждающихся в ICQ - открыть транспорт. -> -> Этот вариант я держу про запас. -> Опять таки, это workaround, а не решение проблемы. :) -> Мне вот интересно, в принципе - возможно такое? -> К примеру, разбирать исходящие пакеты и определять их принадлежность к -> ICQ. Наверняка ведь есть там какой-нибудь заголовок в протоколе (я не -> читал описание протокола, поэтому не в курсе). И дальше - проверять, -> идёт этот пакет на сервер icq по порту 5190 или нет. Если нет - reject. -> самое правильное решение для еэтой задачи модуль в iptables по принципу ftp, irc... -- Denis A. Egorov
Re: How to restrict ICQ direct connections
On Wed, Jul 30, 2003 at 10:59:47AM +0300, Maxim Tyurin wrote: >> У нас корпоративная сетка и, естественно, там всё сделано как ты >> говоришь - все ходят через прокси. И админю её не я :) >> Другое дело, что у нас есть некоторое количество народу, в т.ч. я, которым по >> долгу службы нужен весь набор - ssh, telnet, snmp ... и т.д. и ходят они >> через отдельный брандмауэр. Так что закрывать сервисы - не метод. > Тогда уж поставить jabber > Настраивается почти все что угодно > Кроме того будет свой сервер, подконтрольный :) > Для действительно нуждающихся в ICQ - открыть транспорт. Этот вариант я держу про запас. Опять таки, это workaround, а не решение проблемы. :) Мне вот интересно, в принципе - возможно такое? К примеру, разбирать исходящие пакеты и определять их принадлежность к ICQ. Наверняка ведь есть там какой-нибудь заголовок в протоколе (я не читал описание протокола, поэтому не в курсе). И дальше - проверять, идёт этот пакет на сервер icq по порту 5190 или нет. Если нет - reject. -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
On Tue, Jul 29, 2003 at 02:06:15PM +0400, Alexey Zagarin wrote: > У нас корпоративная сетка и, естественно, там всё сделано как ты > говоришь - все ходят через прокси. И админю её не я :) > Другое дело, что у нас есть некоторое количество народу, в т.ч. я, которым по > долгу службы нужен весь набор - ssh, telnet, snmp ... и т.д. и ходят они > через отдельный брандмауэр. Так что закрывать сервисы - не метод. Тогда уж поставить jabber Настраивается почти все что угодно Кроме того будет свой сервер, подконтрольный :) Для действительно нуждающихся в ICQ - открыть транспорт. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
On Tue, Jul 29, 2003 at 12:50:54PM +0300, Maxim Tyurin wrote: >>> Я вообще это всё отрезал и запустил icq через сквида. >>> Народ удовлетворен. >> Ну это означает отрезать вообще все сервисы, оставив только прокси. Это >> немного не тот метод. > У вас корпоративная сетка или сто-то вроде Интернет кафе? > В корпоративной сетке ICQ вообще не место, а с разрешенным direct > connect тем более. > За такое security officer подлежит расстрелу :) У нас корпоративная сетка и, естественно, там всё сделано как ты говоришь - все ходят через прокси. И админю её не я :) Другое дело, что у нас есть некоторое количество народу, в т.ч. я, которым по долгу службы нужен весь набор - ssh, telnet, snmp ... и т.д. и ходят они через отдельный брандмауэр. Так что закрывать сервисы - не метод. -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
Maxim Tyurin <[EMAIL PROTECTED]> writes: > On Tue, Jul 29, 2003 at 01:23:28PM +0400, Alexey Zagarin wrote: > > On Tue, Jul 29, 2003 at 12:02:22PM +0400, Dmitry Turevsky wrote: > > > Я вообще это всё отрезал и запустил icq через сквида. > > > Народ удовлетворен. > > > > Ну это означает отрезать вообще все сервисы, оставив только прокси. Это > > немного не тот метод. > > У вас корпоративная сетка или сто-то вроде Интернет кафе? > В корпоративной сетке ICQ вообще не место, а с разрешенным direct > connect тем более. IM достаточно удобный инструмент. И пользы от него, зачастую, бывает больше, чем вреда. Другое дело, что не все используют IM по назначению, но это общая проблема корпоративной политики доступа к Интернету. > За такое security officer подлежит расстрелу :) Сначала отдать под трибунал, а уж потом расстрелять ;-) -- С уважением, Константин Матюхин root:x:0:0:God:/root:/bin/sh daemon:x:1:1:Daemon:/usr/sbin:/bin/sh adam:x:1001:1001:Adam:/home/adam:/bin/sh eva:x:1002:1002:Eva:/home/eva:/bin/sh
Re: How to restrict ICQ direct connections
On Tue, Jul 29, 2003 at 01:23:28PM +0400, Alexey Zagarin wrote: > On Tue, Jul 29, 2003 at 12:02:22PM +0400, Dmitry Turevsky wrote: > > Я вообще это всё отрезал и запустил icq через сквида. > > Народ удовлетворен. > > Ну это означает отрезать вообще все сервисы, оставив только прокси. Это > немного не тот метод. У вас корпоративная сетка или сто-то вроде Интернет кафе? В корпоративной сетке ICQ вообще не место, а с разрешенным direct connect тем более. За такое security officer подлежит расстрелу :) -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
On Tue, Jul 29, 2003 at 12:02:22PM +0400, Dmitry Turevsky wrote: > AZ> Я уже здесь задавал этот вопрос, правда в другой форме, но никаких > AZ> предложений, кроме как "не использовать ICQ" не услышал. Не использовать > AZ> ICQ невозможно, т.к. пользователей много и многие пользуют ICQ, а > AZ> административно запрещать нет смысла, т.к. люди должны иметь свободу > AZ> выбора и комфорт в работе :) > > AZ> А проблема в следующем: если разрешены direct connections в ICQ эта > AZ> зараза светит IP, причём не только реальный, но и тот, что за > AZ> брандмауэром, из приватной сети. Не секьюрно это. Возникает естественное > AZ> желание закрыть direct connections на брандмауэре (при этом теряется > AZ> возможность передавать файлы через ICQ, зато остаётся возможность > AZ> обмениваться сообщениями через сервер). Т.е. речь идёт о том, чтоб > AZ> оставить для ICQ траффика только порт 5190, как я понимаю. Как закрыть > AZ> входящие direct connections - понятно, но вот как предотвратить > AZ> соединения из внутренней сети? Согласно icq.com, она использует для > AZ> (исходящих в том числе) соединений порты 1024-65535. Может, кто делал > AZ> уже? Может, через connection tracking или ещё как? Неохота изобретать > AZ> велосипед. > Я вообще это всё отрезал и запустил icq через сквида. > Народ удовлетворен. Ну это означает отрезать вообще все сервисы, оставив только прокси. Это немного не тот метод. -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
Re: How to restrict ICQ direct connections
Hello Alexey, вторник, 29 июля 2003 г., you wrote: AZ> Я уже здесь задавал этот вопрос, правда в другой форме, но никаких AZ> предложений, кроме как "не использовать ICQ" не услышал. Не использовать AZ> ICQ невозможно, т.к. пользователей много и многие пользуют ICQ, а AZ> административно запрещать нет смысла, т.к. люди должны иметь свободу AZ> выбора и комфорт в работе :) AZ> А проблема в следующем: если разрешены direct connections в ICQ эта AZ> зараза светит IP, причём не только реальный, но и тот, что за AZ> брандмауэром, из приватной сети. Не секьюрно это. Возникает естественное AZ> желание закрыть direct connections на брандмауэре (при этом теряется AZ> возможность передавать файлы через ICQ, зато остаётся возможность AZ> обмениваться сообщениями через сервер). Т.е. речь идёт о том, чтоб AZ> оставить для ICQ траффика только порт 5190, как я понимаю. Как закрыть AZ> входящие direct connections - понятно, но вот как предотвратить AZ> соединения из внутренней сети? Согласно icq.com, она использует для AZ> (исходящих в том числе) соединений порты 1024-65535. Может, кто делал AZ> уже? Может, через connection tracking или ещё как? Неохота изобретать AZ> велосипед. Я вообще это всё отрезал и запустил icq через сквида. Народ удовлетворен. Best regards, Dmitry -- My E-Mail: mailto:[EMAIL PROTECTED] My PGP key: http://www.lim.ru/~dimon/dimonkey.txt Fingerprint: 5C 0B 61 83 4C A2 DD 84 B9 C3 E6 E7 25 91 69 48 --
How to restrict ICQ direct connections
Hi! Я уже здесь задавал этот вопрос, правда в другой форме, но никаких предложений, кроме как "не использовать ICQ" не услышал. Не использовать ICQ невозможно, т.к. пользователей много и многие пользуют ICQ, а административно запрещать нет смысла, т.к. люди должны иметь свободу выбора и комфорт в работе :) А проблема в следующем: если разрешены direct connections в ICQ эта зараза светит IP, причём не только реальный, но и тот, что за брандмауэром, из приватной сети. Не секьюрно это. Возникает естественное желание закрыть direct connections на брандмауэре (при этом теряется возможность передавать файлы через ICQ, зато остаётся возможность обмениваться сообщениями через сервер). Т.е. речь идёт о том, чтоб оставить для ICQ траффика только порт 5190, как я понимаю. Как закрыть входящие direct connections - понятно, но вот как предотвратить соединения из внутренней сети? Согласно icq.com, она использует для (исходящих в том числе) соединений порты 1024-65535. Может, кто делал уже? Может, через connection tracking или ещё как? Неохота изобретать велосипед. -- Alexey Zagarin Aquarius Consulting Phone: +7 (095) 729-5199 *170 E-Mail: [EMAIL PROTECTED]
