Printable Version of Topic
Click here to view this topic in its original format |
Forums > Глюкодром > Как на прокси прикрыть MSN? |
Posted by: obaldin on 13-06-2006, 20:03 |
Есть HTTP прокси (скажем, squid). Что на нем надо прикрыть, чтобы Microsoft Messenger не мог через него вылезти? |
Posted by: Zemlynin on 13-06-2006, 20:41 |
host: messenger.hotmail.com port: 1863 порт для передачи данных : 6891 вроде всё.... |
Posted by: heineken man on 13-06-2006, 21:48 |
MIME TYPE: APPLICATION/X-MSN-MESSENGER LOGIN SERVERS: gateway.messenger.hotmail.com login.gateway.hotmail.com MIME самый главный. Насчет веб-версии клиента проверю завтра, кажется там другой MIME TYPE. Zemlynin: у него веб-прокси, весь трафик идет через TCP PORT 80. |
Posted by: obaldin on 14-06-2006, 01:38 |
Спасибо, буду пробовать. Действительно, речь о веб-прокси, так что по портам не закроешь. MIME был бы идеален, но я что-то не соображу, как squid научить ограничивать по нему доступ. Правда, squid умеет это делать по User-Agent, может в этом направлении покопать? |
Posted by: heineken man on 14-06-2006, 01:51 |
http://www.squid-cache.org/mail-archive/squid-users/200306/0281.html (http://www.squid-cache.org/mail-archive/squid-users/200306/0281.html |
Posted by: heineken man on 14-06-2006, 11:13 |
ВЕБ-клиента по MIME TYPE не перекроешь - там APPLICATION/X-JAVASCRIPT. Зато LOGIN SERVER: sc.webmessenger.msn.com. Закрой *.webmessenger.msn.com. вкупе с нормальным клиентом, и пол-фирмы перестанет с тобой здороваться. Вторая половина не расстроится, поскольку пользуется ICQ. |
Posted by: Lord KiRon on 14-06-2006, 18:25 |
Или даже скайпом который из любой задницы умудряется вылазить Кстати а зачем закрывать то ? Многие фирмы как раз наоборот пользуются им для связи ... |
Posted by: obaldin on 14-06-2006, 18:31 |
heineken man Спасибо, поиграемся Lord KiRon Не люблю MSN |
Posted by: Brait on 15-06-2006, 06:49 | ||
|
Posted by: obaldin on 19-06-2006, 19:49 | ||
(Уходит компилить 2.5) |
Posted by: obaldin on 05-07-2006, 15:19 |
Теперь возникла необходимость (на будущее) забанить скайп с icq? Есть для них такие хитрости? |
Posted by: heineken man on 05-07-2006, 15:23 |
Я когда-то пробовал с ISA SERVER - не получилось. При тунеллировании через HTTP, в отличие от "простого" клиента с его разными портами для разных чатов цепляться не за что - те же маймы, тот же сервер, тот же agent. Мы у себя решаем эту проблему по другому - юзерам запрещено пользоваться обычным клиентом, только его веб версией - webmessenger.msn.com, а там фичи войса и видео отсутствуют как таковые. Если найдешь как все же заблокировать на прокси - не забудь поделиться. |
Posted by: heineken man on 05-07-2006, 15:25 |
Мой предыдущий пост относится к стертому вопросу о возможности разрешить только текстовый чат, закрыв голосовой. |
Posted by: obaldin on 05-07-2006, 15:35 | ||
|
Posted by: heineken man on 05-07-2006, 16:16 | ||
Скайпу через прокси заблокировать с одной стороны очень тяжело, а с другой очень просто. Тяжело, потому что она рвется по всякому, если один способ не проходит - она пробует по другому. В конце-концов, она "ворует" установки прокси из броузера и открывает SSL соединение через прокси по 443 порту на кучу рандомальных адресов супернодов, заблокировать которые по адресам/именам невозможно даже теоретически (супернодом можешь быть даже ты сам со своим домашним компом). В случае SSL CONNECT в логах прокси не обнаруживается никаких зацеплялок, типа MIME TYPE, USER-AGENT и пр. Один из способов, который всерьез рассматривается - это блокировка SSL трафика вообще, оставляя только ограниченный список адресов для банков, почты и связанных с работой сайтов. Скайп конечно блокируется, но вот либидо от таких решений сильно понижается. Как все же заблокировать: - Применение комерческих "спецсредств", специально натренированных на отлов скайпа, даже вычленение его внутри SSL-encrypted трафика - не наш случай. - У меня в сети на прокси введена принудительная аутентикация в WINDOWS AD, как оказалось скайп так работать не умеет. Пока. - Еще способ, довольно элегантный: поскольку обращение к супернодам идет по цифровым адресам, то на прокси делается аксес-лист, запрещaющий обращение не по именам для обращение типа CONNECT. Типа такого:
Последнее сам не пробовал, но не вижу почему бы ему не работать. ICQ блокируется довольно просто традиционными способами, по маймам и серверам. В инете полно материалов, глянь сам. |
Posted by: obaldin on 10-07-2006, 20:27 | ||||
Squid у меня теперь 2.5. Кстати, я уже некоторое время не могу зайти на www.squid-cache.org - это только у меня проблема? |
Posted by: heineken man on 10-07-2006, 20:30 |
Я зашел. |
Posted by: obaldin on 10-07-2006, 21:14 | ||
Забавно, у меня проблема из двух разных мест (правда, оба работают через Барак) traceroute доходит досюда:
и засыхает...
|
Posted by: heineken man on 10-07-2006, 23:55 |
Трейс работать не обязан. Точнее - работает, не работает - ничего не значит. Похоже на проблемы с транспарент прокси у Барака, ежели тебя через него пропускают. Определить наверняка нельзя, но обычно они не ховаются - какой-нибудь www.showmyip.com покажет наличие оного в заголовке VIA: |
Posted by: obaldin on 14-07-2006, 19:44 |
Кстати: Skype Protocol Has Been Cracked (http://politics.slashdot.org/politics/06/07/14/1514226.shtml |