> адреса асечных серверов имеют тенденцию меняться, поэтому > либо придется постоянно перенастраивать файрвол либо > поставить внутри сетки прокси (Squid или Socks5). > все сервера с которыми общается аська находятся в тех же > подсетях что и login.icq.com (на данный момент это 64.12/16 > и 205.188/16)
Squid в сетке стоит. Все через него ходят в Интернет за бабки. Учет трафика и денег ведется при помощи самописной биллинговой системы, которая работает на основе анализа журналов Сквида. Для каждого пользователя заведен свой аккаунт. Т.е. без наличия аккаунта в инет доступа нет. Открыть доступ к аськиным серверам можно при помощи acl, но тогда возникает проблема - как считать трафик если пользователь не указан. Конечно можно написать дополнительный скрипт, но это уже через %опу получается. Хотелось бы более элегантного способа. Как вариант, можно завести специального пользователя на Сквиде, но как при помощи acl разрешить ему доступ только к аське (login.icq.com:5190)? Если это возможно сделать ТОЛЬКО при помощи acl не используя редиректоров, то проблема решается сама собой, но читая конфиг Сквида я такой возможности не нашел (может читал невнимательно).
Теперь доводы по отношению к IPTables...
Собственно, IPTables я хочу использовать потому, что это, как мне кажется, менее ресурсоемко (думаю, что Сквид использует больше ресурсов для поддержки соединения) и более удобно в плане учета трафика (снять показания счетчиков IPTables и закинуть их в базу никаких проблем не вызовет), но здесь меня беспокоит проблема "левого" трафика - сети 64.12/16 и 205.188/16 скорее всего содержат не только аськины серверы и не факт, что на одном из серверов на порту 5190 висит FTP-сервер с кучей фильмов, несанкционированное скачивание которых может привести к подвешиванию меня за яйца начальством. Потому и возникает вопрос - какой домен у серверов ICQ, пересылающих сообщения?. Ведь на основе имени домена не так уж и сложно периодически обновлять правила в цепочках IPTables...
Спасибо всем, кто сможет дать ответ на один из вышеуказанных вопросов.
> Надо открыть доступ к ICQ через шлюз и при этом ко всему > остальному доступ надо запретить. > Вобщем, вопрос такой: Какие серверы использует ICQ > для передачи сообщений и авторизации?. > ОС: Linux > Firewall: IPTables
> nslookup login.icq.com > tcp:5190 > > > Надо открыть доступ к ICQ через шлюз и при этом ко > всему > > остальному доступ надо запретить. > > Вобщем, вопрос такой: Какие серверы > использует ICQ > > для передачи сообщений и авторизации?. > > ОС: Linux > > Firewall: IPTables
И что интересно - не только "Linux & IPTables" ;))))
Было бы, да "бы" мешает...05.11.03 11:49 Автор: alien <Андрей> Статус: Member
Судя по всему, login.icq.com является сервером для авторизации.
tcpdump показывает, что после небольшого диалога с login.icq.com отправка/прием сообщений происходит с другим сервером, причем особой закономерности не видно: 64.12.31.32, 64.12.30.252, ...
Эти адреса WHOIS приписывает America Online (собственно, так и должно быть), DNS вообще про них ничего не знает...
Вот и хотелось бы узнать, какие серверы работают с пересылкой сообщений...
P.S. А "Linux & IPTables" было указано для желающих написать готовые правила для firewall'a.
И еще...05.11.03 13:24 Автор: alien <Андрей> Статус: Member Отредактировано 05.11.03 13:25 Количество правок: 1
Только что заметил, что для каждого пользователя сервер, который пересылает сообщения, один и тот же. И это при том, что все ходят через один и тот же шлюз.
Может кто знает URL этих серверов или список их IP-адресов
И еще...05.11.03 13:59 Автор: RazDolBai Статус: Member
адреса асечных серверов имеют тенденцию меняться, поэтому либо придется постоянно перенастраивать файрвол либо поставить внутри сетки прокси (Squid или Socks5).
все сервера с которыми общается аська находятся в тех же подсетях что и login.icq.com (на данный момент это 64.12/16 и 205.188/16)
> Только что заметил, что для каждого пользователя сервер, > который пересылает сообщения, один и тот же. И это при том, > что все ходят через один и тот же шлюз. > > Может кто знает URL этих серверов или список их IP-адресов
И еще...06.11.03 07:13 Автор: alien <Андрей> Статус: Member Отредактировано 06.11.03 07:16 Количество правок: 1
> адреса асечных серверов имеют тенденцию меняться, поэтому > либо придется постоянно перенастраивать файрвол либо > поставить внутри сетки прокси (Squid или Socks5). > все сервера с которыми общается аська находятся в тех же > подсетях что и login.icq.com (на данный момент это 64.12/16 > и 205.188/16)
Squid в сетке стоит. Все через него ходят в Интернет за бабки. Учет трафика и денег ведется при помощи самописной биллинговой системы, которая работает на основе анализа журналов Сквида. Для каждого пользователя заведен свой аккаунт. Т.е. без наличия аккаунта в инет доступа нет. Открыть доступ к аськиным серверам можно при помощи acl, но тогда возникает проблема - как считать трафик если пользователь не указан. Конечно можно написать дополнительный скрипт, но это уже через %опу получается. Хотелось бы более элегантного способа. Как вариант, можно завести специального пользователя на Сквиде, но как при помощи acl разрешить ему доступ только к аське (login.icq.com:5190)? Если это возможно сделать ТОЛЬКО при помощи acl не используя редиректоров, то проблема решается сама собой, но читая конфиг Сквида я такой возможности не нашел (может читал невнимательно).
Теперь доводы по отношению к IPTables...
Собственно, IPTables я хочу использовать потому, что это, как мне кажется, менее ресурсоемко (думаю, что Сквид использует больше ресурсов для поддержки соединения) и более удобно в плане учета трафика (снять показания счетчиков IPTables и закинуть их в базу никаких проблем не вызовет), но здесь меня беспокоит проблема "левого" трафика - сети 64.12/16 и 205.188/16 скорее всего содержат не только аськины серверы и не факт, что на одном из серверов на порту 5190 висит FTP-сервер с кучей фильмов, несанкционированное скачивание которых может привести к подвешиванию меня за яйца начальством. Потому и возникает вопрос - какой домен у серверов ICQ, пересылающих сообщения?. Ведь на основе имени домена не так уж и сложно периодически обновлять правила в цепочках IPTables...
Спасибо всем, кто сможет дать ответ на один из вышеуказанных вопросов.
icq via squid12.11.03 18:15 Автор: jammer <alex naumov> Статус: Elderman
как при помощи acl разрешить
> ему доступ только к аське > (login.icq.com:5190)
у меня просто первым правилом в списке стоит разрешение всем внутренним хостам этих подсетей. т.о., icq работает и у тех, у кого http выключен административно.
что касается на кого списывать трафик, то это зависит от того, насколько официальна эта твоя идея - либо действительно на левого пользователя. например у меня сарг говорит, что трафик по аське совершенно несерьезен.
насчет ftp:5190 в подсетях AOL - не исключено, но вообще говоря, смешно :)
icq via squid13.11.03 12:17 Автор: alien <Андрей> Статус: Member
А как при помощи сквидовских acl-ов разрешить доступ к порту 5190 сетей 64.12.0.0/16 и 205.188.0.0/16? Открывать доступ на все порты нельзя - бесплатным и общедоступным должен быть только трафик аськи.
icq via squid13.11.03 12:40 Автор: jammer <alex naumov> Статус: Elderman
> А как при помощи сквидовских acl-ов разрешить доступ к > порту 5190 сетей > 64.12.0.0/16 и > 205.188.0.0/16? Открывать доступ на все > порты нельзя - бесплатным и общедоступным должен быть > только трафик аськи.
используются не только эти порты. в логах я видел также 80, 443, 20480.
вобщем как вариант поэкспериментировать разрешить только https ? http запретить. попробуй.
icq via squid14.11.03 11:19 Автор: alien <Андрей> Статус: Member
> используются не только эти порты. в логах я видел также 80, > 443, 20480. > вобщем как вариант поэкспериментировать разрешить только > https ? http запретить. попробуй.
Собственно, то какие порты используются аськой - я могу посмотреть на месте. Подскажи, как можно сквидовскими acl'ами разрешить доступ к асечным серверам на указанные порты и чтобы при этом на все остальные запросы надо было авторизоваться, а после авторизации доступ был разрешен везде.
icq via squid14.11.03 15:10 Автор: jammer <alex naumov> Статус: Elderman
> > используются не только эти порты. в логах я видел > также 80, > > 443, 20480. > > вобщем как вариант поэкспериментировать разрешить > только > > https ? http запретить. попробуй. > > Собственно, то какие порты используются аськой - я могу > посмотреть на месте. Подскажи, как можно сквидовскими > acl'ами разрешить доступ к асечным серверам на > указанные порты и чтобы при этом на все остальные запросы > надо было авторизоваться, а после авторизации доступ был > разрешен везде.
примерно в таком порядке:
1. если асечный баннер, deny всем
2. если асечный адрес, allow всем
3..10 остальные твои правила.
у меня все проще и сквид пускает на основе IP адреса, на аську всех, а дальше уже всяческие правила. кусок моего конфига ниже. ICQ входит в файл allowall.acl
не заморачивайся - поставь Сокс5
в конфиге напишешь
permit - c твоя_сетка 64.12. - 5190
permit - c твоя_сетка 205.188. - 5190
deny - - - - - -
это тебе даст а) доступ к асечным серверам и б) порежет баннеры
> Собственно, то какие порты используются аськой - я могу > посмотреть на месте. Подскажи, как можно сквидовскими > acl'ами разрешить доступ к асечным серверам на > указанные порты и чтобы при этом на все остальные запросы > надо было авторизоваться, а после авторизации доступ был > разрешен везде.
носки or no ski ? that's the question14.11.03 16:10 Автор: jammer <alex naumov> Статус: Elderman
> не заморачивайся - поставь Сокс5 это тебе даст а) доступ к асечным серверам и б) порежет баннеры
я лично придерживаюсь такой точки зрения, что:
во-первых, чем меньше сервисов, тем лучше.
во-вторых, по возможности трафик должен идти через proxy, это позволяет использовать кеширование, более удобную (по имени) и более подробную фильтрацию (избирательно в пределах одного и того же хоста) - если сравнивать фильтрацию с файрволлом, да и зачем грузить систему, позволяя прокси-серверу или natd посылать пакеты, которые все равно запрещены на файрволле?
в-третьих, остальной трафик пускать через NAT и только избранным, контролируя трафик хотя бы в смысле его количества. http, ftp и т.д. порты на NATе закрыть (только вчера заметил что они были открыты :) - есть прокси для этого.
разумеется, это не считая просто общей настройки файрволла и прочего.
что же касается баннеров, что носки будут делать с такими запросами??
оно конечно хорошо, но от сокса5 никому еще плохо не было ;0)))
по крайней мере у меня сокс со сквидом на пару работают и не пыхтят.
> во-первых, чем меньше сервисов, тем лучше.
а сокс-это не прокси? 80)) здрасьте, приехали
и нафига тебе кэшировать асечную инфу? сквид-для веба, сокс-для аськи
> во-вторых, по возможности трафик должен идти через proxy, > это позволяет использовать кеширование, более удобную (по > имени) и более подробную фильтрацию (избирательно в > пределах одного и того же хоста) - если сравнивать > фильтрацию с файрволлом, да и зачем грузить систему, > позволяя прокси-серверу или natd посылать пакеты, которые > все равно запрещены на файрволле?
ё-ка-лэ-мэ-нэ.
не нужно лечить здорового. у меня у самого всё через прокси идет (сквид+сокс) , всё остальное наглухо закрыто
> в-третьих, остальной трафик пускать через NAT и только > избранным, контролируя трафик хотя бы в смысле его > количества. http, ftp и т.д. порты на NATе закрыть (только > вчера заметил что они были открыты :) - есть прокси для > этого. > разумеется, это не считая просто общей настройки файрволла > и прочего.
а просто не будет пропускать.
по тем аксл-кам для сокс которые я выше приводил у меня никаких баннеров что-то не показыавется (да и не должно).
> что же касается баннеров, что носки будут делать с такими > запросами??
а не проще-на уровне приложений? ;0))
> и т.д. попробуй тут формализуй задачу на уровне IP-адресов > ;) ЗЫ
это уже переходит во флэйм и ответов я больше в эту нитку писать не
буду. от так :0)
Сделал я так...18.11.03 09:17 Автор: alien <Андрей> Статус: Member
Открыл доступ в iptables на порт 5190 к хостам 64.12.0.0/16 и 205.188.0.0/16 по протоколу tcp.
Все работает без проблем - и ICQ 2003 и Miranda. ICQ целый день стоит и баннеры пока не показывает (наверное она их забирает с других портов, доступ на которые закрыт).
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
