Можно ли закрыть всякие там Аськи и Одиги?
 

Народ! Блин, помогите плз...
Директор потребовал закрыть Аську/Одигу.
Мы ее в IPChains прикрыли по адресам сайтов, но говорят, что это можно без проблем обойти. Может кто-нить знает, как закрыть их насмерть? Или они используют какой-н порт?
Спасибо!!! :idontnow:

а как у вас доступ в сеть организован ???

Ася и Одиго доступны вообщем то и через Web интерфейс :) (грузяться java апплеты и все :)))

Да и вроде траффик то не напрягают, зачем их закрывать?

Ой...совсем забыл про топик... извиняйте :)

Дык...ээээ...юзеры сидят без ограничений в нете, под winXP/2k
Имеют доступ ко всем портам...
А на Файерволле закрыли некоторые сайты, т.е. в IPChains поприкрывали некоторые особоизвестные чаты, и т.п.

Директорство сказало в морг - значит в морг. :(
Сказали вообщем закрыть нафиг...вот только каким макаром?

А если закрыть нафиг ДОСТУП к их серверам

login.icq.com

(правда как я понимаю это алиас....серверов несколько они нагрузку делят:)))))

Ну вот таким макаром мы и сделали...но кто-то каким-то макаром умудряется пролезть...

Я тоже боролся с аськой... Под юзеров она просто не ставится, а Аутпостом я разрешил работать лишь определенным приложениям, остальные блокируются... вот и весь сказ. В любом случае можно запретить обращение на icq.com (64.12.164.129 205.188.248.25 205.188.248.89 64.12.164.153) и на login.icq.com (205.188.179.233 64.12.200.89) причем такие установки надо ставить общие чтобы распространялись на браузеры.

Ну еще бы...в IPChains закрыть их нахрен и усе...
Я знаю, куда они гады лезут...есть сайт www.damochka.ru, там есть какая-то онлайновая хрень, таже самая айсикуха.

Надо tcpdump'ом глянуть, какие порты задействованы, но я в этом ломак, т.к. линуху только начинаю осваивать.

Да... на самом деле используется гораздо больше АйПишных адресов (надо забить 64.12.*.* ятак сделал и она перестала работать), я только что проверил... а порт 5190 (так говорит Агнитум).

Агнитум...Енто хто такой? Можешь объяснить плз поподробнее.
А за совет спасибо!!! Щас прикрою...

"Агнитум...Енто хто такой?" >>> Agnitum Outpost Firewall Pro

Спасибо...извините за серость, ента штука под Виндой живет?
Просто WinGate вообще в какашку глючит, хотелось замену достойную найти(извините за оффтопик)...

Хеппибездю всех!

Хотя ладно, я поиском погляжу.

Ну WinGate это же не файрволл это прокси-сервер, а Agnitum Firewall Outpost это как раз Firewall...

Да и с днем Рождения тебя форум!!! :)

А вооюще если хочешь я тебе могу скинуть полный лог из стека TCP протокола при коннекте аськи к серваку... там по-моему редиректы по портам есть... только он не маленький...

Скинь плз!!!
koptev@ilip.itc.etu.ru
Правда я ламер, но попробую разобраться...

прикрытие портов не поможет
а вообще как кто то тут сказал ранее нужно прирывать
сетки :205.188.* 64.12*
хотя из-за этого перестают работать некоторые сайты.

Неее...ну само собой разумеется, что WinGate - это прокси, но там же есть файервол, он правда совсем хилый, но нужно-то для сети, а не "Personal Firewall"...

Bosmr
1) А вот пародоксальный вопрос. А кокого они вообще в инет лазят?
Обруби им доступ в инет. Тоесть только одна тачка админа и может лезть в инет. Директорскую тачку можно тоже запустить туды, вот и все.
2) Сделай постоянную айпу в сети. Тогда мона будет просто ослеживать кто куда лезить. Для этого есть софт соответствующий есть. И отрубать все нежелательные поползновения. Это более сложный прием, но на то ты и сисадмин.

Так это бездник празднуют. Ну тогда чтоб это число равнялось 1000 :))

по портам резать бессмыслено там автоконфигурация просто на фаерволе не знаю как на всяких там Agnitum Firewall Outpost не разбирался а Nis 2003 режет по приложениям а для веб интерфейса отреж подсети уже сказанные

Agnitum тоже прекоасно режет приложения... Ставишь список разрешенных а все остальное на блокирвку....

Ну ладно, все по порядку.
Юзеры имеют доступ в инет только потому, что он им нужен, т.е. директора этого не запрещали. Ну ясное дело почта, им нужен еще поисковик, там дельные вещи из сети выковыривать, на сайты партнеров заходить и т.п.
Но в основном, конечно, инет юзается для развлекухи. Тут его не прирежешь... Короче, надо смириться.

Вот. Посему, Агнитум тут не помощник, т.к. он же Personal, а нужен файервол для сети. IPChains мало чем помогает. Хотя дельный совет был прикрыть все по айпишникам...пока единственное на мой взгляд решение( я к сож сейчас сессию сдаю, поэтому руки до всего этого пока не дошли. Вот после 25го все сотворю).
Вот и была идея поставить WinGate, т.к. в нем есть файервол для сети. Ктому же несколько дельных прилад есть, типа слежение за юзерами и т.п. Но WinGate сам по себе глючит, хотя возможно, мы его неправильно поставили(глюк заключался в том, что в произвольный момент, на абсолютно любой раб.станции исчезал доступ в инет. С ним также глючила база данных).

Отрубать ненужные юзеровские коннекты конечно можно, но я, блин, работаю на полставки, т.к. и учусь одновременно, поэтому, как бы, хотелось автоматического действия. По приложению...ну блин, я просто запретил им ставить софт адиговскийи аськин, но они юзают эту хрень в онлайне, т.е. есть какие-то сайты, с пом.которых прогу можно и не ставить, она работает прямо с него.

Посему, мож кто знает дельную прогу для СЕТИ, которая решила бы все проблемы, выше сказанные...ну было бы еще круто, если б она могла как WinGate следить за юзерами...
Сенкс!

A chego-bi ne razreshit konnekt tolko na 80, 443, 25 i 110 (25, 110 tolko esli pop/mail servera narujnie).

Есть еще и такие проги как : TheBee и &rqi
так они могут пахать с дискеты главное наличие инета
а пашут не пуже аськи а местами даже лучше
Как Ты их сможеш прикрыть ?

не думаю что там на столько продвинутые юзверя плюс они вооющето тоже какимито портами пользуются их на фаерволе заткнуть непроблема лезет такое то непущать и все тут

Bosmr
Попробуй вместо WinGate поставить WinRoute, у меня не первый год работает без глюков, есть встроенный фаерволл для сетки, по портам и по IP.

Firewall wotknut nado i wse. Porti budut zakriti namertwo.

Согласен с helldomain
если закрыть исходящие то все аськи просто потеряют смысл

Nu... Ishodyaschie... No togda ne wse ;-))). A to na koi inet togda nujen ;-))).

а вообще то ведь жестооко подсказывать как аську прикрыть, сами небось хоть раз да попадали в такую ситауцию, когда админа матом крыли :)
Но... сделай такой вариант, поставь на проксе авторизацию и всех кто лезет куда не надо ( аська, одиго, порно, музыка) - в блэк лист который или на стол начальству или инет отрубать. Причем вариант с начальством предпочтительнее- объсни им, мол типа злостных нарушителей все равно не прикрыть, только будут ломать систему и мешать ит.д., а вот если ктним начальство взыскания применит или зарплату урежет. то они с одного раза поимут.
Только учти, любить тебя сотрудники будут нежной и пламенной любовью.

Da. Liubow sotrudnikow granic ne budet znat.

Ок! Спасибо всем!
Сейчас все буду пробовать.

А последний вариант я думаю не подойдет...если б юзеров было сотни 2-3 то еще ладно, но их чуть больше 20. :)

login.icq.com принимает соединение на любые порты для Аси, поэтому закрывать 5190 не имеет смысла, вариант закрыть всю подсеть как говорили тут, но есть обход (пользователи будут ходить через прокси, если догадаются где его найти).
З.Ы.
Оставь Linux ( но настроенный) потом когда выучишься оценишь.

Извините за столь долгий ответ...
Всем огрмное спасибо, прикрыл именно на айпишникам.
VisNetic рулит!

Да...насчет Мандрейка...пусть земля ему будет пухом... :)
Пришил гаденыш какой-то...
Мне админ провайдерский объяснил, что ipconfig неправильно был настроен, и может быть на руку сыграл открытый фтп :)

Но может оно и к лучшему...по крайней мере, теперь хоть не боюсь с файерволлом играться.

Топик можно закрывать.

Nu, zachem zakriwat top. A naschet ipconfig - chto tam mojno ne tak nastroit???

Тьфу блин....ipconfig....
IPChains... извините :)

Da. Jestoko ;-))).

вы конечно молодцы, кто же спорит...
а теперь подскажите глупенькой девушке как же ей оживить асю, после того как "злой админ" ее зарубил? вы тут говорили о каких-то там способах, не будете ли добры - поподробнее??
самое интересное, что у руководства ася осталась в рабочем состоянии, а мы, простые работяги остались без средства связи с внешним миром... Мне так кажется - не честно!

есть 2 способа: использовать прокси сервер или через вэб-интрефейс.
если через вэб, то заходишь в своем браузере на сайт go.icq.com и там нажимаешь start icq2go. если через прокси, то то тебе найти рабочий прокси и вписать его в настройках клиента icq. это делается по-разному в различных клиентах. в общем случае тебе нужно найти пункт Connection и там поставить птичку Use proxy server, вбить туда адрес прокси и переконнектиться к icq. сам прокси можешь взять на www.void.ru.