Printable Version of Topic
Click here to view this topic in its original format
Forums > Глюкодром > Как на прокси прикрыть MSN?


Posted by: obaldin on 13-06-2006, 20:03
Есть HTTP прокси (скажем, squid). Что на нем надо прикрыть, чтобы Microsoft Messenger не мог через него вылезти?

Posted by: Zemlynin on 13-06-2006, 20:41
host: messenger.hotmail.com
port: 1863
порт для передачи данных : 6891

вроде всё....

Posted by: heineken man on 13-06-2006, 21:48
MIME TYPE: APPLICATION/X-MSN-MESSENGER

LOGIN SERVERS:
gateway.messenger.hotmail.com
login.gateway.hotmail.com


MIME самый главный. Насчет веб-версии клиента проверю завтра, кажется там другой MIME TYPE.

Zemlynin: у него веб-прокси, весь трафик идет через TCP PORT 80.

Posted by: obaldin on 14-06-2006, 01:38
Спасибо, буду пробовать. Действительно, речь о веб-прокси, так что по портам не закроешь. MIME был бы идеален, но я что-то не соображу, как squid научить ограничивать по нему доступ. Правда, squid умеет это делать по User-Agent, может в этом направлении покопать?

Posted by: heineken man on 14-06-2006, 01:51
http://www.squid-cache.org/mail-archive/squid-users/200306/0281.html (http://www.squid-cache.org/mail-archive/squid-users/200306/0281.html

Posted by: heineken man on 14-06-2006, 11:13
ВЕБ-клиента по MIME TYPE не перекроешь - там APPLICATION/X-JAVASCRIPT. ;)

Зато LOGIN SERVER: sc.webmessenger.msn.com. Закрой *.webmessenger.msn.com. вкупе с нормальным клиентом, и пол-фирмы перестанет с тобой здороваться. :punk: :wub:

Вторая половина не расстроится, поскольку пользуется ICQ. :fear2: :w00t:

Posted by: Lord KiRon on 14-06-2006, 18:25
Или даже скайпом который из любой задницы умудряется вылазить :)

Кстати а зачем закрывать то ? Многие фирмы как раз наоборот пользуются им для связи ...

Posted by: obaldin on 14-06-2006, 18:31
heineken man
Спасибо, поиграемся

Lord KiRon
Не люблю MSN :)

Posted by: Brait on 15-06-2006, 06:49
QUOTE (obaldin @ 15-06-2006, 01:31):
Не люблю MSN :)
Кааак я тебя понимаю! :rolleyes: :up: :diablo: :diablo: :diablo: :w00t: :laugh:

Posted by: obaldin on 19-06-2006, 19:49
QUOTE (obaldin @ 14-06-2006, 01:38):
MIME был бы идеален, но я что-то не соображу, как squid научить ограничивать по нему доступ.
Похоже, это squid 2.4 еще не умеет.

(Уходит компилить 2.5)

Posted by: obaldin on 05-07-2006, 15:19
Теперь возникла необходимость (на будущее) забанить скайп с icq? Есть для них такие хитрости?

Posted by: heineken man on 05-07-2006, 15:23
Я когда-то пробовал с ISA SERVER - не получилось. При тунеллировании через HTTP, в отличие от "простого" клиента с его разными портами для разных чатов цепляться не за что - те же маймы, тот же сервер, тот же agent.
Мы у себя решаем эту проблему по другому - юзерам запрещено пользоваться обычным клиентом, только его веб версией - webmessenger.msn.com, а там фичи войса и видео отсутствуют как таковые.

Если найдешь как все же заблокировать на прокси - не забудь поделиться. :fear2: :w00t:

Posted by: heineken man on 05-07-2006, 15:25
Мой предыдущий пост относится к стертому вопросу о возможности разрешить только текстовый чат, закрыв голосовой.

Posted by: obaldin on 05-07-2006, 15:35
QUOTE (heineken man @ 05-07-2006, 15:23):
Если найдешь как все же заблокировать на прокси - не забудь поделиться.
Да, если чего услышу - поделюсь, но, как выяснилось это был не МСНовский чат, а, кажется, скайп.

Posted by: heineken man on 05-07-2006, 16:16
Скайпу через прокси заблокировать с одной стороны очень тяжело, а с другой очень просто. Тяжело, потому что она рвется по всякому, если один способ не проходит - она пробует по другому. В конце-концов, она "ворует" установки прокси из броузера и открывает SSL соединение через прокси по 443 порту на кучу рандомальных адресов супернодов, заблокировать которые по адресам/именам невозможно даже теоретически (супернодом можешь быть даже ты сам со своим домашним компом). В случае SSL CONNECT в логах прокси не обнаруживается никаких зацеплялок, типа MIME TYPE, USER-AGENT и пр. Один из способов, который всерьез рассматривается - это блокировка SSL трафика вообще, оставляя только ограниченный список адресов для банков, почты и связанных с работой сайтов.
Скайп конечно блокируется, но вот либидо от таких решений сильно понижается. :laugh:

Как все же заблокировать:

- Применение комерческих "спецсредств", специально натренированных на отлов скайпа, даже вычленение его внутри SSL-encrypted трафика - не наш случай.


- У меня в сети на прокси введена принудительная аутентикация в WINDOWS AD, как оказалось скайп так работать не умеет. Пока. :bad1:

- Еще способ, довольно элегантный: поскольку обращение к супернодам идет по цифровым адресам, то на прокси делается аксес-лист, запрещaющий обращение не по именам для обращение типа CONNECT. Типа такого:

QUOTE:
# Your acl definitions
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
# Apply your acls
http_access deny connect numeric_IPs all

Последнее сам не пробовал, но не вижу почему бы ему не работать. :fear2: :w00t:

ICQ блокируется довольно просто традиционными способами, по маймам и серверам. В инете полно материалов, глянь сам. :rolleyes:

Posted by: obaldin on 10-07-2006, 20:27
QUOTE (heineken man @ 05-07-2006, 16:16):
на прокси делается аксес-лист, запрещaющий обращение не по именам для обращение типа CONNECT. Типа такого:

QUOTE:
# Your acl definitions
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
# Apply your acls
http_access deny connect numeric_IPs all
Помучившись некоторое время безуспешно с этим acl'ом, обнаружил, как мне кажется, в нем ошибку: вместо urlpath_regex надо написать url_regex. Исправил и тогда все заработало. В смысле - перестало работать :)
Squid у меня теперь 2.5.
Кстати, я уже некоторое время не могу зайти на www.squid-cache.org - это только у меня проблема?

Posted by: heineken man on 10-07-2006, 20:30
Я зашел.

Posted by: obaldin on 10-07-2006, 21:14
Забавно, у меня проблема из двух разных мест (правда, оба работают через Барак) :(
traceroute доходит досюда:
CODE
10  ggr2-p340.n54ny.ip.att.net (12.123.0.89)  313.906 ms  267.354 ms  294.240 ms
11  192.205.33.54 (192.205.33.54)  247.955 ms  424.441 ms  228.225 ms
12  so1-3-0-622M.ar2.DEN2.gblx.net (67.17.71.130)  302.776 ms  299.343 ms  424.1
и засыхает...

Posted by: heineken man on 10-07-2006, 23:55
Трейс работать не обязан. Точнее - работает, не работает - ничего не значит. Похоже на проблемы с транспарент прокси у Барака, ежели тебя через него пропускают. Определить наверняка нельзя, но обычно они не ховаются - какой-нибудь www.showmyip.com покажет наличие оного в заголовке VIA:

Posted by: obaldin on 14-07-2006, 19:44
Кстати:
Skype Protocol Has Been Cracked (http://politics.slashdot.org/politics/06/07/14/1514226.shtml

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)