SQUID+ICQ

[mInBlack]

Здарвствуйте....
Подскажите вчем не прав....
acl localnet proxy_auth REQUIRED

#......................................Zapret ICQ.................................
acl ICQDomain dstdomain .icq.com
acl ICQNet dst 64.12.0.0/255.255.0.0
acl ICQNet dst 205.188.0.0/255.255.0.0

#........................................All access.................................
acl user1 src 192.168.152.25
acl user2 src 192.168.150.152
acl user3 src 192.168.146.34
#...................................... Access deny..................................

acl porno url_regex -i "/etc/squid/blok/blok"
acl banners url_regex -i "/etc/squid/blok/banners"
acl bmail url_regex -i "/etc/squid/blok/bmail"
#........................................................... .........................

http_access deny ICQDomain
http_access deny ICQNet

http_access allow manager localhost
http_access allow localnet !porno !banners
http_access allow user1 !banners
http_access allow user2 !banners
http_access allow user3 !banners

Пишу...........
http_access allow user3 ICQDomain ICQNet
Не пускает......

Хотя
http_access allow user3 !banners - отрабатывает

Спасибо за помощь....

[Igor B.]

Сегодня ICQ вроде как поменял протокол?

[mInBlack]

Сегодня ICQ вроде как поменял протокол?

Возможно, но я запрещаю доступ к ICQ-сети......

[7biohazard7]

Мне кажется незачем этот сыр-бор городить с IP адресами.
Ведь пользователи без метода CONNECT к аське не подключатся,
ну так разрешите только определенные порты для CONNECT которые
только для SSL используются

[Slimy]

А разве это остановит ICQ ? Всмысле goicq всеравно работать будет.

[7biohazard7]

Почему будет? оно что какое-то особенное?

[Slimy]

Почему будет? оно что какое-то особенное?

ну он вроде как все в http заворачивает. Не буду утвердать точно тчо так везде но вот в катрированной версии интернета от web-plus родной клиент аси не пашет а онлайновый работат тото которы на жабе на флеше тоже не пахает . Причем иногда бывает что какое то время сервер иправно блокирует и онлайновую аську (неб больше часа) а потом все опять работает.

[mInBlack]

Проблема решается так:

Вот рабочий конфиг...

acl localnet proxy_auth REQUIRED

#......................................Zapret ICQ.................................
acl ICQDomain dstdomain .icq.com
acl ICQNet dst 64.12.0.0/255.255.0.0
acl ICQNet dst 205.188.0.0/255.255.0.0

#........................................All access.................................
acl user1 src 192.168.152.25
acl user2 src 192.168.150.152
acl user3 src 192.168.146.34
#...................................... Access deny..................................

acl porno url_regex -i "/etc/squid/blok/blok"
acl banners url_regex -i "/etc/squid/blok/banners"
acl bmail url_regex -i "/etc/squid/blok/bmail"
#........................................................... .........................

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 5190 # icq
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered portsP
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
http_access allow user1 !banners
http_access allow user2 !banners
http_access allow user3 !banners

http_access allow manager localhost
http_access allow localnet !porno !banners !ICQDomain !ICQNet

http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost


http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports

http_access deny CONNECT !SSL_ports
http_access deny localnet porno ICQDomain ICQNet
#
# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Exampe rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks

http_access allow localhost
http_access allow localnet !banners !porno !bmail
http_access allow localnet !ICQDomain !ICQNet


# And finally deny all other access to this proxy
http_access deny all

И все блокируется втом числе и ICQ2GO

[7biohazard7]

Понимаю что дело сугубо личное и вроде работает, но не смог удержаться
если удалить строку :
acl Safe_ports port 5190 # icq
то АСька уже не работала бы. И никаких сетей не понадобилось бы.
Это во первых, во вторых обоснуйте вот это строку пож-та:

acl Safe_ports port 1025-65535 # unregistered portsP

Это для чего вообще? Чтоб пошире возможности были бы.

[mInBlack]

7biohazard7
Если внимательно посмотрите конфиг, то увидите, что отключать аську абсолютно для всех не надо.....
При этом имея открытый 443 Вы абсолютно спокойно коннектитесь и через него, а закрыть и его не имею возможности.

Отностиельно этого творения acl Safe_ports port 1025-65535 # unregistered portsP впринципе соглашусь, строка достаточно интересная для анализа, как то не придавал ей никогда значения, она в дефолтовом конфиге торчит......

[7biohazard7]

На счет разных пользователей заметил, но считаю что это можно решить все тем же CONNECT.
А про 443 не согласен, почему вы считаете что ICQ сможет пролезть через 443 порт?
я думаю вы ошибаетесь.
Я уверен что вы знаете что 443 для https, а при чем здесь ICQ?
Или вас ввела в заблуждение надпись о типе прокси HTTP/HTTPS.
А давайте в качестве эксперимента запустим какой-нибудь Ethereal
и посмотрим что происходит когда ваш клиент пытается велезти наружу.

[Wizard]

На счет разных пользователей заметил, но считаю что это можно решить все тем же CONNECT.
А про 443 не согласен, почему вы считаете что ICQ сможет пролезть через 443 порт?

Достаточно просто попробовать в настройках аськи указать 443-й порт и убедиться самому.
Кроме того, когда-то я наблюдал ещё более интересное поведение - она подключалась к ЛЮБОМУ порту. Сейчас не знаю, давно не было надобности в таких испытаниях, поскольку порезали как господин mInBlack - сеть и домен.

[7biohazard7]

Так-так давайте по подробнее, то есть вы хотите
сказать что я указываю в настройках ICQ например login.icq.com и порт 443 и
попадаю в Аську? :o

[Wizard]

Так-так давайте по подробнее, то есть вы хотите
сказать что я указываю в настройках ICQ например login.icq.com и порт 443 и
попадаю в Аську? :o

Совершенно верно!

[7biohazard7]

Тогда приношу извинения. Не знал. Мне кажется что в этом
ICQ-шники виноваты, проверил серваки слушают по большому количеству портов.
И спасибо за информацию, самому думаю пригодится.

[lexus3d]

ладно хорошо, тогда вопрос возникает, естьпрограмы для тунелирования трафика (не кривя душой, сам такой пользуюсь Http-Tunnel), делает просто заворачивает тот же icq трафик в http, тогда как это можно запретить? или это уже совсем другая история и тут не чего не поможет кроме того как запрещать конечные хосты туннелирования?

[_Storm]

ладно хорошо, тогда вопрос возникает, естьпрограмы для тунелирования трафика (не кривя душой, сам такой пользуюсь Http-Tunnel), делает просто заворачивает тот же icq трафик в http, тогда как это можно запретить? или это уже совсем другая история и тут не чего не поможет кроме того как запрещать конечные хосты туннелирования?

Httport3 например все заварачивает на специальный прокси (точно не помню, кажеться на сайте указано у них). Если запретить соединения с этим сервером, то httport работать не будет.

[mInBlack]

Дико извеняюсь, но в вышеупомянутой конфе имеет место быть баг...
Заключается в том, что юзеру выдается окошко для авторизации, но при нажатии отмена все благополучно начинает грузится....
Вот поправил...

acl localnet proxy_auth REQUIRED

#......................................Zapret ICQ.................................
acl ICQDomain dstdomain .icq.com
acl ICQNet dst 64.12.0.0/255.255.0.0
acl ICQNet dst 205.188.0.0/255.255.0.0

#........................................All access.................................
acl u1 src 192.168.152.25
acl u2 src 192.168.150.152
acl u3 src 192.168.146.34
acl u4 src 192.168.151.42
acl u5 src 192.168.147.42
#...................................... Access deny..................................

acl porno url_regex -i "/etc/squid/blok/blok"
acl banners url_regex -i "/etc/squid/blok/banners"
acl bmail url_regex -i "/etc/squid/blok/bmail"
#........................................................... .........................

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 5190 # icq
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered portsP
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
# NOTE on default values:
#
# If there are no "access" lines present, the default is to deny
# the request.
#
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list. If the last line was
# deny, then the default is allow. Conversely, if the last line
# is allow, the default will be deny. For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
#
#Default:
http_access allow manager localhost
http_access allow localnet !porno !banners !ICQDomain !ICQNet

http_access allow u1 !banners
http_access allow u2 !banners
http_access allow u3 !banners
http_access allow u4 !banners
http_access allow u5 !banners

http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost


http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports

http_access deny CONNECT !SSL_ports
http_access deny localnet porno ICQDomain ICQNet
#
# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Exampe rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks

http_access allow localhost
http_access allow localnet !banners !porno !bmail
http_access allow localnet !ICQDomain !ICQNet


# And finally deny all other access to this proxy
http_access deny all