obaldin
@ 13-06-2006, 20:03
Есть HTTP прокси (скажем, squid). Что на нем надо прикрыть, чтобы Microsoft Messenger не мог через него вылезти?
Zemlynin
@ 13-06-2006, 20:41
host: messenger.hotmail.com
port: 1863
порт для передачи данных : 6891
вроде всё....
heineken man
@ 13-06-2006, 21:48
MIME TYPE: APPLICATION/X-MSN-MESSENGER
LOGIN SERVERS:
gateway.messenger.hotmail.com
login.gateway.hotmail.com
MIME самый главный. Насчет веб-версии клиента проверю завтра, кажется там другой MIME TYPE.
Zemlynin: у него веб-прокси, весь трафик идет через TCP PORT 80.
obaldin
@ 14-06-2006, 01:38
Спасибо, буду пробовать. Действительно, речь о веб-прокси, так что по портам не закроешь. MIME был бы идеален, но я что-то не соображу, как squid научить ограничивать по нему доступ. Правда, squid умеет это делать по User-Agent, может в этом направлении покопать?
heineken man
@ 14-06-2006, 01:51
heineken man
@ 14-06-2006, 11:13
ВЕБ-клиента по MIME TYPE не перекроешь - там APPLICATION/X-JAVASCRIPT. ;)
Зато LOGIN SERVER: sc.webmessenger.msn.com. Закрой *.webmessenger.msn.com. вкупе с нормальным клиентом, и пол-фирмы перестанет с тобой здороваться. :punk: :wub:
Вторая половина не расстроится, поскольку пользуется ICQ. :fear2: :w00t:
Lord KiRon
@ 14-06-2006, 18:25
Или даже скайпом который из любой задницы умудряется вылазить :)
Кстати а зачем закрывать то ? Многие фирмы как раз наоборот пользуются им для связи ...
obaldin
@ 14-06-2006, 18:31
heineken man
Спасибо, поиграемся
Lord KiRon
Не люблю MSN :)
Brait
@ 15-06-2006, 06:49
| QUOTE (obaldin @ 15-06-2006, 01:31) |
| Не люблю MSN :) |
Кааак я тебя понимаю! :rolleyes: :up: :diablo: :diablo: :diablo: :w00t: :laugh:
obaldin
@ 19-06-2006, 19:49
| QUOTE (obaldin @ 14-06-2006, 01:38) |
| MIME был бы идеален, но я что-то не соображу, как squid научить ограничивать по нему доступ. |
Похоже, это squid 2.4 еще не умеет.
(Уходит компилить 2.5)
obaldin
@ 05-07-2006, 15:19
Теперь возникла необходимость (на будущее) забанить скайп с icq? Есть для них такие хитрости?
heineken man
@ 05-07-2006, 15:23
Я когда-то пробовал с ISA SERVER - не получилось. При тунеллировании через HTTP, в отличие от "простого" клиента с его разными портами для разных чатов цепляться не за что - те же маймы, тот же сервер, тот же agent.
Мы у себя решаем эту проблему по другому - юзерам запрещено пользоваться обычным клиентом, только его веб версией - webmessenger.msn.com, а там фичи войса и видео отсутствуют как таковые.
Если найдешь как все же заблокировать на прокси - не забудь поделиться. :fear2: :w00t:
heineken man
@ 05-07-2006, 15:25
Мой предыдущий пост относится к стертому вопросу о возможности разрешить только текстовый чат, закрыв голосовой.
obaldin
@ 05-07-2006, 15:35
| QUOTE (heineken man @ 05-07-2006, 15:23) |
| Если найдешь как все же заблокировать на прокси - не забудь поделиться. |
Да, если чего услышу - поделюсь, но, как выяснилось это был не МСНовский чат, а, кажется, скайп.
heineken man
@ 05-07-2006, 16:16
Скайпу через прокси заблокировать с одной стороны очень тяжело, а с другой очень просто. Тяжело, потому что она рвется по всякому, если один способ не проходит - она пробует по другому. В конце-концов, она "ворует" установки прокси из броузера и открывает SSL соединение через прокси по 443 порту на кучу рандомальных адресов супернодов, заблокировать которые по адресам/именам невозможно даже теоретически (супернодом можешь быть даже ты сам со своим домашним компом). В случае SSL CONNECT в логах прокси не обнаруживается никаких зацеплялок, типа MIME TYPE, USER-AGENT и пр. Один из способов, который всерьез рассматривается - это блокировка SSL трафика вообще, оставляя только ограниченный список адресов для банков, почты и связанных с работой сайтов.
Скайп конечно блокируется, но вот либидо от таких решений сильно понижается. :laugh:
Как все же заблокировать:
- Применение комерческих "спецсредств", специально натренированных на отлов скайпа, даже вычленение его внутри SSL-encrypted трафика - не наш случай.
- У меня в сети на прокси введена принудительная аутентикация в WINDOWS AD, как оказалось скайп так работать не умеет. Пока. :bad1:
- Еще способ, довольно элегантный: поскольку обращение к супернодам идет по цифровым адресам, то на прокси делается аксес-лист, запрещaющий обращение не по именам для обращение типа CONNECT. Типа такого:
| QUOTE |
# Your acl definitions
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
# Apply your acls
http_access deny connect numeric_IPs all |
Последнее сам не пробовал, но не вижу почему бы ему не работать. :fear2: :w00t:
ICQ блокируется довольно просто традиционными способами, по маймам и серверам. В инете полно материалов, глянь сам. :rolleyes:
obaldin
@ 10-07-2006, 20:27
| QUOTE (heineken man @ 05-07-2006, 16:16) |
на прокси делается аксес-лист, запрещaющий обращение не по именам для обращение типа CONNECT. Типа такого:
| QUOTE | # Your acl definitions
acl numeric_IPs urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
# Apply your acls
http_access deny connect numeric_IPs all |
|
Помучившись некоторое время безуспешно с этим acl'ом, обнаружил, как мне кажется, в нем ошибку: вместо urlpath_regex надо написать url_regex. Исправил и тогда все заработало. В смысле - перестало работать :)
Squid у меня теперь 2.5.
Кстати, я уже некоторое время не могу зайти на www.squid-cache.org - это только у меня проблема?
heineken man
@ 10-07-2006, 20:30
Я зашел.
obaldin
@ 10-07-2006, 21:14
Забавно, у меня проблема из двух разных мест (правда, оба работают через Барак) :(
traceroute доходит досюда:
| CODE |
10 ggr2-p340.n54ny.ip.att.net (12.123.0.89) 313.906 ms 267.354 ms 294.240 ms
11 192.205.33.54 (192.205.33.54) 247.955 ms 424.441 ms 228.225 ms
12 so1-3-0-622M.ar2.DEN2.gblx.net (67.17.71.130) 302.776 ms 299.343 ms 424.1 |
и засыхает...
heineken man
@ 10-07-2006, 23:55
Трейс работать не обязан. Точнее - работает, не работает - ничего не значит. Похоже на проблемы с транспарент прокси у Барака, ежели тебя через него пропускают. Определить наверняка нельзя, но обычно они не ховаются - какой-нибудь www.showmyip.com покажет наличие оного в заголовке VIA:
obaldin
@ 14-07-2006, 19:44