|
|
|
|
|
6.33, Андрей (??), 21:16, 03/09/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ?
и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
| |
|
|
|
|
|
|
|
3.7, vgray (ok), 06:34, 24/08/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– |
>Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И
>ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом
>случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей
>обстановке.
Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает.
Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.
| |
|
|
5.10, vgray (ok), 12:58, 24/08/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.
Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы?
Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.
| |
|
|
|
|
1.6, zapal (?), 23:28, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
Кстати в примере конфига SQUIDa написано:
For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.
Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
Я использовал так
#acl dom_none dstdomain none
#http_access deny dom_none
Но долго у меня squid с такам правилом не проработал - однокласники достали ;)
| |
|
2.22, uder (ok), 01:55, 31/08/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
>Только вот Скайп так не заблокируешь.
>Список IP динамический и все время меняется - это раз. Скайп умеет
>ходить через любой открытый порт - это два. Скайп умеет шифровать
>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>- это три.
прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
| |
|
3.25, Nas_tradamus (ok), 11:54, 31/08/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –1 +/– |
>>Только вот Скайп так не заблокируешь.
>>Список IP динамический и все время меняется - это раз. Скайп умеет
>>ходить через любой открытый порт - это два. Скайп умеет шифровать
>>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>>- это три.
>
>прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
>
Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.
| |
|
|
|
|
|
|
5.27, Andrew Kolchoogin (?), 17:38, 31/08/2010 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях
> "компа с инетом".
Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;)))
Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает.
А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно...
Хотя... Борьба брони и снаряда, как известно, вечна. ;)
| |
|
|
|
|
1.34, sergicus (ok), 16:51, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
> Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:
А этот метод сейчас работает ??
я делал так - полностью блокировал 443 порт таким правилом
ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443
| |
1.35, anonymous (??), 14:32, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой.
Решил это следующим образом:
Код:
# ACL для выявления обращений к серверам ICQ
acl Numeric_IPs_whitelist dst 94.100.181.58/31
acl Numeric_IPs_whitelist dst 94.100.181.54/31
acl Numeric_IPs_whitelist dst 94.100.181.52/31
acl Numeric_IPs_whitelist dst 94.100.180.10/31
acl Numeric_IPs_whitelist dst 94.100.178.26/31
acl Numeric_IPs_whitelist dst 94.100.181.62/31
acl Numeric_IPs_whitelist dst 194.67.57.142/31
acl Numeric_IPs_whitelist dst 94.100.178.24/31
acl Numeric_IPs_whitelist dst 94.100.181.50/31
acl Numeric_IPs_whitelist dst 94.100.181.56/31
acl Numeric_IPs_whitelist dst 94.100.180.22/31
acl Numeric_IPs_whitelist dst 94.100.180.20/31
acl Numeric_IPs_whitelist dst 195.222.173.104/31
acl Numeric_IPs_whitelist dst 195.68.160.0/24
acl Numeric_IPs_whitelist dst 94.100.181.48/31
acl Numeric_IPs_whitelist dst 64.12.0.0/16
acl Numeric_IPs_whitelist dst 195.239.111.0/24
acl Numeric_IPs_whitelist dst 94.100.178.28/31
acl Numeric_IPs_whitelist dst 205.188.0.0/16
acl Numeric_IPs_whitelist dst 94.100.181.64/31
acl Numeric_IPs_whitelist dst 94.100.181.60/31
acl Numeric_IPs_whitelist dst 195.128.51.156/31
# Разрешаем подключение к серверам ICQ указанным в ACL
http_access allow Numeric_IPs_whitelist
# ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
# ACL для выявления обращений со словом skype в заголовке User Agent
acl Skype_UA browser ^skype^
# Блокируем skype по двум вышеописанным признакам
http_access deny numeric_IPS
http_access deny Skype_UA
| |
|