icq маст дай

[gorlum]

Люди добрыя помогите аську прикрыть, для определенного IP.
Freebsd-5.3
IPFW

[brj]

Это в зависимости от типа твоего файрвола делается. Логика как надо сделать:

Для пасового файрвола:

файрвол добавить правило на отказ всего от твоегоипи на login.icq.com через интерфейс который смотрит в интренет.

Для кипстейтного / чекстейтного / ната:
файрвол добавить правило на отказ всего от твоегоипи на login.icq.com

[gorlum]

пробовал не получается (login.icq.com это алиас кластера) у которого много IP адрессов)

[brj]

запереть всю подсеть AOL.
запереть Login.icq.com 5190

[gorlum]

опять косяк аська могет ходить не только по порту 5190, а по любому свободному

[brj]

Если она не сможет сделать Login, то и ходить она не будет.

tcpdump / tethereal и запускать останавливать аську тебе в помошники.

[Smith]

Сурово, но можно блокировать все адреса из сеток ICQ (AOL), вроде были 64.12.0.0/16 и 205.188.0.0/16 - но лучше проверить.

[art]

вообще то выход клиентов наружу - неправильно. Конечно если это копоративная сеть, а не коммерческие клиенты.

Поскольку существует очень много проксей, то закрыть по адресам или портам нельзя. Единственное средство - закрыть все, пустить ICQ через прокси и разрешить METHOD CONNECT на login.icq.com только определенным группам.

Даже в очень большой сети есть не более 5-7 сервисов, которым нужен метод CONNECT. Как правило это банки, карточки клиентов телефонных операторов и т.д.

[apelsin]

art прав.

единственное что (из оптыта) когда ICQ работает через SQUID
клиенты время от времени вываливаются "офф-лайн" на несколько секунд, потом соединение восстонавливается.

(Почему такое происходит так и не разобрался, наврно потому что это не очень мешало)

[art]

именно со сквидом такого не наблюдал.
А вот то что ISA валится при передаче по методу CONNECT более 1мб - это видел.

[Stranger03]

(Почему такое происходит так и не разобрался, наврно потому что это не очень мешало)

Поставить keep connection alive. И использовать https.