| 1.1, vgray (??), 19:11, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
Млин, опять горе админы учат других как делать жизнь пользователям хуже
Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.
| | |
| |
| 2.8, galy (?), 12:44, 24/08/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
Криво настроеных серверов не так уж и много и для них можно сделать правила усключений.
| | |
| |
| |
| 4.21, uder (ok), 01:48, 31/08/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Использовать IP вместо доменного имени в современном Интенете, это конечно не "криво настроенным", но скорее всего что-то из той области.
| | |
| |
| 5.24, unscrubber (?), 07:32, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
если уж на то пошло то встречаются такие доменные имена длиной более 20 символов что уж проще айпишник запомнить. да и между это способо подстраховки от атак на dns. вобщем не вижу ни кривизны ни проблемы собственно в юзабилити. и вы отдалились от темы - к скайпу это никакого отношения не имеет.
| | |
| |
| 6.33, Андрей (??), 21:16, 03/09/2010 [^] [^^] [^^^] [ответить]
| +/– |
а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ?
и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
| | |
|
|
|
|
|
| 1.3, Kirill (??), 19:54, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тут не всё так однозначно.
Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
| | |
| |
| 2.11, vodz (?), 17:38, 24/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Данный совет такие ftp-шики и http-шники не затронет. Вчитайтесь внимательнее: блокируется
https://[0-9.]+:433 И это весьма действенно, так как уважающая себя организация не станет делать сертификат для https на цифровой адрес.
| | |
| |
| |
| 4.13, vodz (ok), 17:53, 24/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
Хм, я тоже туплю. У меня то стоит "http_access deny CONNECT" на самом деле, а не как у топикстартера...
| | |
|
|
|
| |
| 2.5, dnskin (?), 22:54, 23/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей обстановке.
| | |
| |
| 3.7, vgray (ok), 06:34, 24/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И
>ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом
>случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей
>обстановке.
Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает.
Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.
| | |
| |
| 4.9, galy (?), 12:47, 24/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.
| | |
| |
| 5.10, vgray (ok), 12:58, 24/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.
Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы?
Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.
| | |
|
|
|
|
| 1.6, zapal (?), 23:28, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати в примере конфига SQUIDa написано:
For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.
Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
Я использовал так
#acl dom_none dstdomain none
#http_access deny dom_none
Но долго у меня squid с такам правилом не проработал - однокласники достали ;)
| | |
| 1.16, Nas_tradamus (ok), 12:19, 26/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Только вот Скайп так не заблокируешь.
Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
| | |
| |
| 2.22, uder (ok), 01:55, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Только вот Скайп так не заблокируешь.
>Список IP динамический и все время меняется - это раз. Скайп умеет
>ходить через любой открытый порт - это два. Скайп умеет шифровать
>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>- это три.
прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
| | |
| |
| 3.25, Nas_tradamus (ok), 11:54, 31/08/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>Только вот Скайп так не заблокируешь.
>>Список IP динамический и все время меняется - это раз. Скайп умеет
>>ходить через любой открытый порт - это два. Скайп умеет шифровать
>>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>>- это три.
>
>прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
>
Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.
| | |
|
|
| 1.18, 187 (?), 14:48, 28/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не залочишь его так.
Странно, что вообще до сих пор тема открыта.
Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех.
А иначе (по крайней мере, бесплатно) - никак, имхо.
| | |
| |
| |
| 3.20, 187 (?), 22:28, 29/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
Ну, я пишу то, как это работало.
Делать так или иначе - решать вам.
| | |
| 3.23, uder (ok), 02:02, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>минут. Потом он найдет лазейку через другой порт.
>
>У Криса Касперски есть отличная статья на тему сабжа:
>
>http://www.xakep.ru/magazine/xa/100/064/1.asp
открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS рубить больно круто.
| | |
| |
| 4.26, Nas_tradamus (ok), 11:56, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>>минут. Потом он найдет лазейку через другой порт.
>>
>>У Криса Касперски есть отличная статья на тему сабжа:
>>
>>http://www.xakep.ru/magazine/xa/100/064/1.asp
>
>открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS
>рубить больно круто.
Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях "компа с инетом".
| | |
| |
| 5.27, Andrew Kolchoogin (?), 17:38, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях
> "компа с инетом".
Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;)))
Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает.
А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно...
Хотя... Борьба брони и снаряда, как известно, вечна. ;)
| | |
| |
| 6.28, Nas_tradamus (ok), 18:08, 31/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом.
В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..
| | |
| |
| 7.29, ы (?), 14:56, 01/09/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Кстати, в винде можно групповыми политиками блочить skype.exe
mv skype.exe msword.exe
| | |
|
|
|
|
|
|
| 1.34, sergicus (ok), 16:51, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:
А этот метод сейчас работает ??
я делал так - полностью блокировал 443 порт таким правилом
ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443
| | |
| 1.35, anonymous (??), 14:32, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой.
Решил это следующим образом:
Код:
# ACL для выявления обращений к серверам ICQ
acl Numeric_IPs_whitelist dst 94.100.181.58/31
acl Numeric_IPs_whitelist dst 94.100.181.54/31
acl Numeric_IPs_whitelist dst 94.100.181.52/31
acl Numeric_IPs_whitelist dst 94.100.180.10/31
acl Numeric_IPs_whitelist dst 94.100.178.26/31
acl Numeric_IPs_whitelist dst 94.100.181.62/31
acl Numeric_IPs_whitelist dst 194.67.57.142/31
acl Numeric_IPs_whitelist dst 94.100.178.24/31
acl Numeric_IPs_whitelist dst 94.100.181.50/31
acl Numeric_IPs_whitelist dst 94.100.181.56/31
acl Numeric_IPs_whitelist dst 94.100.180.22/31
acl Numeric_IPs_whitelist dst 94.100.180.20/31
acl Numeric_IPs_whitelist dst 195.222.173.104/31
acl Numeric_IPs_whitelist dst 195.68.160.0/24
acl Numeric_IPs_whitelist dst 94.100.181.48/31
acl Numeric_IPs_whitelist dst 64.12.0.0/16
acl Numeric_IPs_whitelist dst 195.239.111.0/24
acl Numeric_IPs_whitelist dst 94.100.178.28/31
acl Numeric_IPs_whitelist dst 205.188.0.0/16
acl Numeric_IPs_whitelist dst 94.100.181.64/31
acl Numeric_IPs_whitelist dst 94.100.181.60/31
acl Numeric_IPs_whitelist dst 195.128.51.156/31
# Разрешаем подключение к серверам ICQ указанным в ACL
http_access allow Numeric_IPs_whitelist
# ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
# ACL для выявления обращений со словом skype в заголовке User Agent
acl Skype_UA browser ^skype^
# Блокируем skype по двум вышеописанным признакам
http_access deny numeric_IPS
http_access deny Skype_UA
| | |
| 1.36, Некропостер (?), 04:06, 30/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 всё ещё проще.
ставишь прокси с авторизацией и готово.
скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации.
PROFIT
| | |
|