Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
ICQ-шлюз 05.11.03 08:45
Автор: alien <Андрей> Статус: Member
|
Надо открыть доступ к ICQ через шлюз и при этом ко всему остальному доступ надо запретить.
Вобщем, вопрос такой: Какие серверы использует ICQ для передачи сообщений и авторизации?.
ОС: Linux
Firewall: IPTables
|
|
по моим сведениям, *.icq.com - это 64.12.0.0/16 и 205.188.0.0/16 12.11.03 17:55
Автор: jammer <alex naumov> Статус: Elderman
|
во всяком случае так обращаются icq-клиенты через http/https.
а еще патчить - на NATе ты баннеры не отрежешь :)))
|
|
ICQ-шлюз 05.11.03 09:33
Автор: RazDolBai Статус: Member
|
nslookup login.icq.com
tcp:5190
> Надо открыть доступ к ICQ через шлюз и при этом ко всему
> остальному доступ надо запретить.
> Вобщем, вопрос такой: Какие серверы использует ICQ
> для передачи сообщений и авторизации?.
> ОС: Linux
> Firewall: IPTables
|
| |
Ну да 05.11.03 10:00
Автор: void <Grebnev Valery> Статус: Elderman
|
> nslookup login.icq.com
> tcp:5190
>
> > Надо открыть доступ к ICQ через шлюз и при этом ко
> всему
> > остальному доступ надо запретить.
> > Вобщем, вопрос такой: Какие серверы
> использует ICQ
> > для передачи сообщений и авторизации?.
> > ОС: Linux
> > Firewall: IPTables
И что интересно - не только "Linux & IPTables" ;))))
|
| | |
Было бы, да "бы" мешает... 05.11.03 11:49
Автор: alien <Андрей> Статус: Member
|
Судя по всему, login.icq.com является сервером для авторизации.
tcpdump показывает, что после небольшого диалога с login.icq.com отправка/прием сообщений происходит с другим сервером, причем особой закономерности не видно: 64.12.31.32, 64.12.30.252, ...
Эти адреса WHOIS приписывает America Online (собственно, так и должно быть), DNS вообще про них ничего не знает...
Вот и хотелось бы узнать, какие серверы работают с пересылкой сообщений...
P.S. А "Linux & IPTables" было указано для желающих написать готовые правила для firewall'a.
|
| | | |
И еще... 05.11.03 13:24
Автор: alien <Андрей> Статус: Member
Отредактировано 05.11.03 13:25 Количество правок: 1
|
Только что заметил, что для каждого пользователя сервер, который пересылает сообщения, один и тот же. И это при том, что все ходят через один и тот же шлюз.
Может кто знает URL этих серверов или список их IP-адресов
|
| | | | |
И еще... 05.11.03 13:59
Автор: RazDolBai Статус: Member
|
адреса асечных серверов имеют тенденцию меняться, поэтому либо придется постоянно перенастраивать файрвол либо поставить внутри сетки прокси (Squid или Socks5).
все сервера с которыми общается аська находятся в тех же подсетях что и login.icq.com (на данный момент это 64.12/16 и 205.188/16)
> Только что заметил, что для каждого пользователя сервер,
> который пересылает сообщения, один и тот же. И это при том,
> что все ходят через один и тот же шлюз.
>
> Может кто знает URL этих серверов или список их IP-адресов
|
| | | | | |
И еще... 06.11.03 07:13
Автор: alien <Андрей> Статус: Member
Отредактировано 06.11.03 07:16 Количество правок: 1
|
> адреса асечных серверов имеют тенденцию меняться, поэтому
> либо придется постоянно перенастраивать файрвол либо
> поставить внутри сетки прокси (Squid или Socks5).
> все сервера с которыми общается аська находятся в тех же
> подсетях что и login.icq.com (на данный момент это 64.12/16
> и 205.188/16)
Squid в сетке стоит. Все через него ходят в Интернет за бабки. Учет трафика и денег ведется при помощи самописной биллинговой системы, которая работает на основе анализа журналов Сквида. Для каждого пользователя заведен свой аккаунт. Т.е. без наличия аккаунта в инет доступа нет. Открыть доступ к аськиным серверам можно при помощи acl, но тогда возникает проблема - как считать трафик если пользователь не указан. Конечно можно написать дополнительный скрипт, но это уже через %опу получается. Хотелось бы более элегантного способа. Как вариант, можно завести специального пользователя на Сквиде, но как при помощи acl разрешить ему доступ только к аське (login.icq.com:5190)? Если это возможно сделать ТОЛЬКО при помощи acl не используя редиректоров, то проблема решается сама собой, но читая конфиг Сквида я такой возможности не нашел (может читал невнимательно).
Теперь доводы по отношению к IPTables...
Собственно, IPTables я хочу использовать потому, что это, как мне кажется, менее ресурсоемко (думаю, что Сквид использует больше ресурсов для поддержки соединения) и более удобно в плане учета трафика (снять показания счетчиков IPTables и закинуть их в базу никаких проблем не вызовет), но здесь меня беспокоит проблема "левого" трафика - сети 64.12/16 и 205.188/16 скорее всего содержат не только аськины серверы и не факт, что на одном из серверов на порту 5190 висит FTP-сервер с кучей фильмов, несанкционированное скачивание которых может привести к подвешиванию меня за яйца начальством. Потому и возникает вопрос - какой домен у серверов ICQ, пересылающих сообщения?. Ведь на основе имени домена не так уж и сложно периодически обновлять правила в цепочках IPTables...
Спасибо всем, кто сможет дать ответ на один из вышеуказанных вопросов.
|
| | | | | | |
icq via squid 12.11.03 18:15
Автор: jammer <alex naumov> Статус: Elderman
|
как при помощи acl разрешить
> ему доступ только к аське
> (login.icq.com:5190)
у меня просто первым правилом в списке стоит разрешение всем внутренним хостам этих подсетей. т.о., icq работает и у тех, у кого http выключен административно.
что касается на кого списывать трафик, то это зависит от того, насколько официальна эта твоя идея - либо действительно на левого пользователя. например у меня сарг говорит, что трафик по аське совершенно несерьезен.
насчет ftp:5190 в подсетях AOL - не исключено, но вообще говоря, смешно :)
|
| | | | | | | |
icq via squid 13.11.03 12:17
Автор: alien <Андрей> Статус: Member
|
|
А как при помощи сквидовских acl-ов разрешить доступ к порту 5190 сетей 64.12.0.0/16 и 205.188.0.0/16? Открывать доступ на все порты нельзя - бесплатным и общедоступным должен быть только трафик аськи.
|
| | | | | | | | |
icq via squid 13.11.03 12:40
Автор: jammer <alex naumov> Статус: Elderman
|
> А как при помощи сквидовских acl-ов разрешить доступ к
> порту 5190 сетей
> 64.12.0.0/16 и
> 205.188.0.0/16? Открывать доступ на все
> порты нельзя - бесплатным и общедоступным должен быть
> только трафик аськи.
используются не только эти порты. в логах я видел также 80, 443, 20480.
вобщем как вариант поэкспериментировать разрешить только https ? http запретить. попробуй.
|
| | | | | | | | | |
icq via squid 14.11.03 11:19
Автор: alien <Андрей> Статус: Member
|
> используются не только эти порты. в логах я видел также 80,
> 443, 20480.
> вобщем как вариант поэкспериментировать разрешить только
> https ? http запретить. попробуй.
Собственно, то какие порты используются аськой - я могу посмотреть на месте. Подскажи, как можно сквидовскими acl'ами разрешить доступ к асечным серверам на указанные порты и чтобы при этом на все остальные запросы надо было авторизоваться, а после авторизации доступ был разрешен везде.
|
| | | | | | | | | | |
icq via squid 14.11.03 15:10
Автор: jammer <alex naumov> Статус: Elderman
|
> > используются не только эти порты. в логах я видел
> также 80,
> > 443, 20480.
> > вобщем как вариант поэкспериментировать разрешить
> только
> > https ? http запретить. попробуй.
>
> Собственно, то какие порты используются аськой - я могу
> посмотреть на месте. Подскажи, как можно сквидовскими
> acl'ами разрешить доступ к асечным серверам на
> указанные порты и чтобы при этом на все остальные запросы
> надо было авторизоваться, а после авторизации доступ был
> разрешен везде.
примерно в таком порядке:
1. если асечный баннер, deny всем
2. если асечный адрес, allow всем
3..10 остальные твои правила.
у меня все проще и сквид пускает на основе IP адреса, на аську всех, а дальше уже всяческие правила. кусок моего конфига ниже. ICQ входит в файл allowall.acl
================================================
# full access to VIP
http_access allow VIP
# cut off fuckin' banners & counters
acl banners url_regex "/usr/local/squid/etc/banners.acl"
deny_info http://169.254.94.16/err_access_denied.html banners
http_access deny banners
# this allowed to all regardless to our_networks
acl allowall url_regex "/usr/local/squid/etc/allowall.acl"
http_access allow allowall
# look at mp3, chats, and other relax on the job
acl mp3 url_regex "/usr/local/squid/etc/mp3.acl"
# deny_info http://jammer.nm.ru/kill.java.script.howto.html mp3
deny_info http://169.254.94.16/annoy.sysadmin.html mp3
http_access deny mp3
# please no girls
acl porn url_regex "/usr/local/squid/etc/porn.acl"
acl noporn url_regex "/usr/local/squid/etc/noporn.acl"
# deny_info http://jammer.nm.ru/kill.java.script.howto.html porn
deny_info http://169.254.94.16/annoy.sysadmin.html porn
http_access allow noporn our_networks
http_access allow noporn lakin
http_access deny porn all
#http_access allow all
# default rule to all good people
http_access allow our_networks
http_access allow lakin
# And finally deny all other access to this proxy
http_access deny all
а тут мои конфиги полностью
|
| | | | | | | | | | |
icq via squid 14.11.03 13:45
Автор: RazDolBai Статус: Member
|
не заморачивайся - поставь Сокс5
в конфиге напишешь
permit - c твоя_сетка 64.12. - 5190
permit - c твоя_сетка 205.188. - 5190
deny - - - - - -
это тебе даст а) доступ к асечным серверам и б) порежет баннеры
> Собственно, то какие порты используются аськой - я могу
> посмотреть на месте. Подскажи, как можно сквидовскими
> acl'ами разрешить доступ к асечным серверам на
> указанные порты и чтобы при этом на все остальные запросы
> надо было авторизоваться, а после авторизации доступ был
> разрешен везде.
|
| | | | | | | | | | | |
носки or no ski ? that's the question 14.11.03 16:10
Автор: jammer <alex naumov> Статус: Elderman
|
> не заморачивайся - поставь Сокс5 это тебе даст а) доступ к асечным серверам и б) порежет баннеры
я лично придерживаюсь такой точки зрения, что:
во-первых, чем меньше сервисов, тем лучше.
во-вторых, по возможности трафик должен идти через proxy, это позволяет использовать кеширование, более удобную (по имени) и более подробную фильтрацию (избирательно в пределах одного и того же хоста) - если сравнивать фильтрацию с файрволлом, да и зачем грузить систему, позволяя прокси-серверу или natd посылать пакеты, которые все равно запрещены на файрволле?
в-третьих, остальной трафик пускать через NAT и только избранным, контролируя трафик хотя бы в смысле его количества. http, ftp и т.д. порты на NATе закрыть (только вчера заметил что они были открыты :) - есть прокси для этого.
разумеется, это не считая просто общей настройки файрволла и прочего.
что же касается баннеров, что носки будут делать с такими запросами??
1068706430.885 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/banners.cb? - NONE/- text/html
1068706432.864 0 169.254.94.12 TCP_DENIED/302 363 GET http://205.188.250.25/cb/547/datafiles/clbanner.cb? - NONE/- text/html
при этом это надо пропускать:
1068677526.735 718168 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.229/monitor? - DIRECT/205.188.213.229 text/html
1068678320.033 718180 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.228/monitor? - DIRECT/205.188.213.228 text/html
1068680131.264 718174 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.231/monitor? - DIRECT/205.188.213.231 text/html
1068686037.543 718192 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.5:20480/monitor? - DIRECT/205.188.179.5 text/html
1068689973.980 718170 169.254.94.2 TCP_MISS/500 1316 GET http://205.188.213.230/monitor? - DIRECT/205.188.213.230 text/html
1068693181.874 718179 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.5:20480/monitor? - DIRECT/205.188.179.5 text/html
1068698337.241 718183 169.254.94.2 TCP_MISS/500 1324 GET http://205.188.179.6:20480/monitor? - DIRECT/205.188.179.6 text/html
и т.д. попробуй тут формализуй задачу на уровне IP-адресов ;)
|
| | | | | | | | | | | | |
носки or no ski ? that's the question 14.11.03 17:38
Автор: RazDolBai Статус: Member
|
> я лично придерживаюсь такой точки зрения, что:
оно конечно хорошо, но от сокса5 никому еще плохо не было ;0)))
по крайней мере у меня сокс со сквидом на пару работают и не пыхтят.
> во-первых, чем меньше сервисов, тем лучше.
а сокс-это не прокси? 80)) здрасьте, приехали
и нафига тебе кэшировать асечную инфу? сквид-для веба, сокс-для аськи
> во-вторых, по возможности трафик должен идти через proxy,
> это позволяет использовать кеширование, более удобную (по
> имени) и более подробную фильтрацию (избирательно в
> пределах одного и того же хоста) - если сравнивать
> фильтрацию с файрволлом, да и зачем грузить систему,
> позволяя прокси-серверу или natd посылать пакеты, которые
> все равно запрещены на файрволле?
ё-ка-лэ-мэ-нэ.
не нужно лечить здорового. у меня у самого всё через прокси идет (сквид+сокс) , всё остальное наглухо закрыто
> в-третьих, остальной трафик пускать через NAT и только
> избранным, контролируя трафик хотя бы в смысле его
> количества. http, ftp и т.д. порты на NATе закрыть (только
> вчера заметил что они были открыты :) - есть прокси для
> этого.
> разумеется, это не считая просто общей настройки файрволла
> и прочего.
а просто не будет пропускать.
по тем аксл-кам для сокс которые я выше приводил у меня никаких баннеров что-то не показыавется (да и не должно).
> что же касается баннеров, что носки будут делать с такими
> запросами??
а не проще-на уровне приложений? ;0))
> и т.д. попробуй тут формализуй задачу на уровне IP-адресов
> ;)
ЗЫ
это уже переходит во флэйм и ответов я больше в эту нитку писать не
буду. от так :0)
|
| | | | | | | | | | | | | |
Сделал я так... 18.11.03 09:17
Автор: alien <Андрей> Статус: Member
|
Открыл доступ в iptables на порт 5190 к хостам 64.12.0.0/16 и 205.188.0.0/16 по протоколу tcp.
Все работает без проблем - и ICQ 2003 и Miranda. ICQ целый день стоит и баннеры пока не показывает (наверное она их забирает с других портов, доступ на которые закрыт).
Вот так...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
