Re: [Comm] ICQ

Re: [Comm] ICQ

[Nizamov Shavkat]

>> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>> какие только правила не писал всеровно она конектится без проблем.
>> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>
> host login.icq.com
> Все полученные ip запретить в output

через анонимную проксю будут ходить %)))
лучше сам порт закрыть - 3 тысячи с чем-то

Re: [Comm] ICQ

[Maxim Tyurin]

Polovnikov Denis <altlinux@lg-support.ru> writes:

> Здравствуйте, community.
>
> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
> какие только правила не писал всеровно она конектится без проблем.
> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.

host login.icq.com
Все полученные ip запретить в output

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

[Comm] ICQ

[Polovnikov Denis]

Здравствуйте, community.

Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
какие только правила не писал всеровно она конектится без проблем.
Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: Re[2]: [Comm] ICQ

[Nizamov Shavkat]

>>> host login.icq.com
>>> Все полученные ip запретить в output
>
> Это геморойно получается тоды придется прописывать к 4 правилам на
> запрет еще 4 на разрешение для меня :-)

а вы -src !***.***.***.*** используйте и будет всего четыре правила :))

Re: [Comm] ICQ

[Maxim Tyurin]

"Nizamov Shavkat" <shawkat@samdu.uz> writes:

>>> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>>> какие только правила не писал всеровно она конектится без проблем.
>>> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>>
>> host login.icq.com
>> Все полученные ip запретить в output
>
> через анонимную проксю будут ходить %)))
> лучше сам порт закрыть - 3 тысячи с чем-то

Дело в том что полностью его закрыть можно только административными
мерами. Иначе будут ходить через туннели, pooling, ...

От изобретательного пользователя не поможет.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re[2]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Nizamov.

Вы писали 16 апреля 2004 г., 15:51:14:

>>> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>>> какие только правила не писал всеровно она конектится без проблем.
>>> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>>
>> host login.icq.com
>> Все полученные ip запретить в output

Это геморойно получается тоды придется прописывать к 4 правилам на
запрет еще 4 на разрешение для меня :-)

NS> через анонимную проксю будут ходить %)))
NS> лучше сам порт закрыть - 3 тысячи с чем-то

Не смогут http идет только через мой прокси а на нем любое упоминание
об Аське закрыть.

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re[2]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Nizamov.

Вы писали 16 апреля 2004 г., 15:51:14:

>>> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>>> какие только правила не писал всеровно она конектится без проблем.
>>> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>>
>> host login.icq.com
>> Все полученные ip запретить в output

Это геморойно получается тоды придется прописывать к 4 правилам на
запрет еще 4 на разрешение для меня :-)

NS> через анонимную проксю будут ходить %)))
NS> лучше сам порт закрыть - 3 тысячи с чем-то

Не смогут http идет только через мой прокси а на нем любое упоминание
об Аське закрыть.

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: Re[2]: [Comm] ICQ

[Mike Lykov]

В сообщении от Пятница 16 Апрель 2004 17:18 Polovnikov Denis написал:

> Не смогут http идет только через мой прокси а на нем любое упоминание
> об Аське закрыть.

если пускать только через прокси, в нем достаточно закрыть login.icq.com

-- 
Mike

Re: Re[4]: [Comm] ICQ

[Nizamov Shavkat]

>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>> запрет еще 4 на разрешение для меня :-)
>
> -A OUTPUT -d 64.12.161.153 -j DROP
> -A OUTPUT -d 64.12.161.185 -j DROP
> -A OUTPUT -d 64.12.200.89 -j DROP
> -A OUTPUT -d 205.188.179.233 -j DROP
>
> прописываю правила на запрет и нефига не понимаю эти ip без проблем
> пингуются и аська на них конектится :-(

давайте сюда полностью команду

-t nat указывается ?

Re: Re[2]: [Comm] ICQ

[Nizamov Shavkat]

>>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>> пингуются и аська на них конектится :-(
>
> MT> У тебя NAT?
> MT> Если да то писать это нужно в FORWARD
>
> Да нат.
>
> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
> кроме вот этих случаев.
> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i eth0 -o eth1 -j ACCEPT
> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
> -A FORWARD -i eth0 -o ppp+ -j ACCEPT
> -A FORWARD -j LOG  --log-prefix "DROP"
>
> в таблицу nat тоже писал всеравно пинг есть.
>

пинг на клиенте проверяется или на сервере ?

Re: [Comm] ICQ

[Maxim Tyurin]

Polovnikov Denis <altlinux@lg-support.ru> writes:

> Здравствуйте, Nizamov.
>
> Вы писали 16 апреля 2004 г., 16:08:44:
>
>>>>> host login.icq.com
>>>>> Все полученные ip запретить в output
>>>
>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>> запрет еще 4 на разрешение для меня :-)
>
> -A OUTPUT -d 64.12.161.153 -j DROP
> -A OUTPUT -d 64.12.161.185 -j DROP
> -A OUTPUT -d 64.12.200.89 -j DROP
> -A OUTPUT -d 205.188.179.233 -j DROP
>
> прописываю правила на запрет и нефига не понимаю эти ip без проблем
> пингуются и аська на них конектится :-(

У тебя NAT?
Если да то писать это нужно в FORWARD
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re[4]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Nizamov.

Вы писали 16 апреля 2004 г., 16:08:44:

>>>> host login.icq.com
>>>> Все полученные ip запретить в output
>>
>> Это геморойно получается тоды придется прописывать к 4 правилам на
>> запрет еще 4 на разрешение для меня :-)

-A OUTPUT -d 64.12.161.153 -j DROP
-A OUTPUT -d 64.12.161.185 -j DROP
-A OUTPUT -d 64.12.200.89 -j DROP
-A OUTPUT -d 205.188.179.233 -j DROP

прописываю правила на запрет и нефига не понимаю эти ip без проблем
пингуются и аська на них конектится :-(

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re[2]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Maxim.

Вы писали 16 апреля 2004 г., 17:06:42:

MT> Polovnikov Denis <altlinux@lg-support.ru> writes:

>> Здравствуйте, Nizamov.
>>
>> Вы писали 16 апреля 2004 г., 16:08:44:
>>
>>>>>> host login.icq.com
>>>>>> Все полученные ip запретить в output
>>>>
>>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>>> запрет еще 4 на разрешение для меня :-)
>>
>> -A OUTPUT -d 64.12.161.153 -j DROP
>> -A OUTPUT -d 64.12.161.185 -j DROP
>> -A OUTPUT -d 64.12.200.89 -j DROP
>> -A OUTPUT -d 205.188.179.233 -j DROP
>>
>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>> пингуются и аська на них конектится :-(

MT> У тебя NAT?
MT> Если да то писать это нужно в FORWARD

Да нат.

Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
кроме вот этих случаев.
-A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -j LOG  --log-prefix "DROP"

в таблицу nat тоже писал всеравно пинг есть.



-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: [Comm] ICQ

[Maxim Tyurin]

Polovnikov Denis <altlinux@lg-support.ru> writes:

> Здравствуйте, Maxim.
>
> Вы писали 16 апреля 2004 г., 17:06:42:
>
> MT> Polovnikov Denis <altlinux@lg-support.ru> writes:
>
>>> Здравствуйте, Nizamov.
>>>
>>> Вы писали 16 апреля 2004 г., 16:08:44:
>>>
>>>>>>> host login.icq.com
>>>>>>> Все полученные ip запретить в output
>>>>>
>>>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>>>> запрет еще 4 на разрешение для меня :-)
>>>
>>> -A OUTPUT -d 64.12.161.153 -j DROP
>>> -A OUTPUT -d 64.12.161.185 -j DROP
>>> -A OUTPUT -d 64.12.200.89 -j DROP
>>> -A OUTPUT -d 205.188.179.233 -j DROP
>>>
>>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>> пингуются и аська на них конектится :-(
>
> MT> У тебя NAT?
> MT> Если да то писать это нужно в FORWARD
>
> Да нат.
>
> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
> кроме вот этих случаев.
> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i eth0 -o eth1 -j ACCEPT

> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
> -A FORWARD -i eth0 -o ppp+ -j ACCEPT

Эти 2 правила разрешают любой транспорт в/из Инета насколько я понимаю
(ppp у вас в Инет идет?)

Нужно запрещающее ICQ правило ставить в начале.

А еще лучше почитать iptables tutorial - там есть порядок прохождения цепочек.


> -A FORWARD -j LOG  --log-prefix "DROP"
>
> в таблицу nat тоже писал всеравно пинг есть.

Пинг идет ICMP пакетами.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re[4]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Nizamov.

Вы писали 16 апреля 2004 г., 17:04:07:

>>>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>>> пингуются и аська на них конектится :-(
>>
>> MT> У тебя NAT?
>> MT> Если да то писать это нужно в FORWARD
>>
>> Да нат.
>>
>> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
>> кроме вот этих случаев.
>> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
>> -A FORWARD -i eth0 -o eth1 -j ACCEPT
>> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
>> -A FORWARD -i eth0 -o ppp+ -j ACCEPT
>> -A FORWARD -j LOG  --log-prefix "DROP"
>>
>> в таблицу nat тоже писал всеравно пинг есть.
>>

NS> пинг на клиенте проверяется или на сервере ?

На клиенте конечно..

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: [Comm] ICQ

[Artem K. Jouravsky]

On Fri, Apr 16, 2004 at 04:51:14PM +0500, Nizamov Shavkat wrote:
> >> Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
> >> какие только правила не писал всеровно она конектится без проблем.
> >> Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
> >
> > host login.icq.com
> > Все полученные ip запретить в output
> 
> через анонимную проксю будут ходить %)))
> лучше сам порт закрыть - 3 тысячи с чем-то
tcp/5190, по умолчанию.
Но ICQ коннектится на любой порт, хоть на 80-й. Проще с помощью лома и
приказа от начальства.

P.S. да, и не забудьте про http://go.icq.com

--
С уважением,
   Артём.
ЗАО "СЕМА.РУ"
************
I cannot conceive that anybody will require multiplications at the rate
of 40,000 or even 4,000 per hour ...
		-- F. H. Wales (1936)

Re[2]: [Comm] ICQ

[Polovnikov Denis]

Здравствуйте, Maxim.

Вы писали 16 апреля 2004 г., 17:27:42:

MT> Polovnikov Denis <altlinux@lg-support.ru> writes:

>> Здравствуйте, Maxim.
>>
>> Вы писали 16 апреля 2004 г., 17:06:42:
>>
>> MT> Polovnikov Denis <altlinux@lg-support.ru> writes:
>>
>>>> Здравствуйте, Nizamov.
>>>>
>>>> Вы писали 16 апреля 2004 г., 16:08:44:
>>>>
>>>>>>>> host login.icq.com
>>>>>>>> Все полученные ip запретить в output
>>>>>>
>>>>>> Это геморойно получается тоды придется прописывать к 4 правилам на
>>>>>> запрет еще 4 на разрешение для меня :-)
>>>>
>>>> -A OUTPUT -d 64.12.161.153 -j DROP
>>>> -A OUTPUT -d 64.12.161.185 -j DROP
>>>> -A OUTPUT -d 64.12.200.89 -j DROP
>>>> -A OUTPUT -d 205.188.179.233 -j DROP
>>>>
>>>> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>>> пингуются и аська на них конектится :-(
>>
>> MT> У тебя NAT?
>> MT> Если да то писать это нужно в FORWARD
>>
>> Да нат.
>>
>> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
>> кроме вот этих случаев.
>> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
>> -A FORWARD -i eth0 -o eth1 -j ACCEPT

>> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
>> -A FORWARD -i eth0 -o ppp+ -j ACCEPT

MT> Эти 2 правила разрешают любой транспорт в/из Инета насколько я понимаю
MT> (ppp у вас в Инет идет?)

Да это чтоб VPN мог во внутреню сеть ходить :-)
MT> Нужно запрещающее ICQ правило ставить в начале.

MT> А еще лучше почитать iptables tutorial - там есть порядок прохождения цепочек.

Все всем спасибо за помощь Аська умерла :-) облымывается польностью
через http тоже пробится не может. У меня стоит прозрачный прокси весь http трафик идет через него, а он
обламывает любые намеки на icq.com.

-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

Re: [Comm] ICQ

[Alexey Morsov]

Maxim Tyurin wrote:

> "Nizamov Shavkat" <shawkat@samdu.uz> writes:
> 
> 
>>>>Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>>>>какие только правила не писал всеровно она конектится без проблем.
>>>>Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>>>
>>>host login.icq.com
>>>Все полученные ip запретить в output
>>
>>через анонимную проксю будут ходить %)))
>>лучше сам порт закрыть - 3 тысячи с чем-то
> 
> 
> Дело в том что полностью его закрыть можно только административными
> мерами. Иначе будут ходить через туннели, pooling, ...
А если -P FORWARD DROP ?
> 
> От изобретательного пользователя не поможет.

-- 
С наилучшими пожеланиями,
Алексей.

Re: [Comm] ICQ

[Alexey Morsov]

Polovnikov Denis wrote:

> Здравствуйте, Nizamov.
> 
> Вы писали 16 апреля 2004 г., 16:08:44:
> 
> 
>>>>>host login.icq.com
>>>>>Все полученные ip запретить в output
>>>
>>>Это геморойно получается тоды придется прописывать к 4 правилам на
>>>запрет еще 4 на разрешение для меня :-)
> 
> 
> -A OUTPUT -d 64.12.161.153 -j DROP
> -A OUTPUT -d 64.12.161.185 -j DROP
> -A OUTPUT -d 64.12.200.89 -j DROP
> -A OUTPUT -d 205.188.179.233 -j DROP
> 
Ну так вы запретили конекты в указанным хостам с локальнйо машины 
(т.е. с вашего роутера - вы тоже самое пропишите в FORWARD
> прописываю правила на запрет и нефига не понимаю эти ip без проблем
> пингуются и аська на них конектится :-(
> 

-- 
С наилучшими пожеланиями,
Алексей.

Re: [Comm] ICQ

[Alexey Morsov]

Polovnikov Denis wrote:

> Здравствуйте, Maxim.
> 
> Вы писали 16 апреля 2004 г., 17:06:42:
> 
> MT> Polovnikov Denis <altlinux@lg-support.ru> writes:
> 
> 
>>>Здравствуйте, Nizamov.
>>>
>>>Вы писали 16 апреля 2004 г., 16:08:44:
>>>
>>>
>>>>>>>host login.icq.com
>>>>>>>Все полученные ip запретить в output
>>>>>
>>>>>Это геморойно получается тоды придется прописывать к 4 правилам на
>>>>>запрет еще 4 на разрешение для меня :-)
>>>
>>>-A OUTPUT -d 64.12.161.153 -j DROP
>>>-A OUTPUT -d 64.12.161.185 -j DROP
>>>-A OUTPUT -d 64.12.200.89 -j DROP
>>>-A OUTPUT -d 205.188.179.233 -j DROP
>>>
>>>прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>>пингуются и аська на них конектится :-(
> 
> 
> MT> У тебя NAT?
> MT> Если да то писать это нужно в FORWARD
> 
> Да нат.
> 
> Пробовал в FORWARD тоже самое ни какого эфекта. У меня форвард закрыт
> кроме вот этих случаев.
> -A FORWARD -m state -i eth1 -o eth0 --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i eth0 -o eth1 -j ACCEPT
> -A FORWARD -i ppp+ -o eth0 -j ACCEPT
> -A FORWARD -i eth0 -o ppp+ -j ACCEPT
> -A FORWARD -j LOG  --log-prefix "DROP"
Ну и чего? У тебя ж тут все открыто
> 
> в таблицу nat тоже писал всеравно пинг есть.
> 
> 
> 

-- 
С наилучшими пожеланиями,
Алексей.

Re: [Comm] ICQ

[Maxim Tyurin]

Alexey Morsov <samurai@ricom.ru> writes:

> Maxim Tyurin wrote:
>
>> "Nizamov Shavkat" <shawkat@samdu.uz> writes:
>>
>>>>>Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
>>>>>какие только правила не писал всеровно она конектится без проблем.
>>>>>Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
>>>>
>>>>host login.icq.com
>>>>Все полученные ip запретить в output
>>>
>>>через анонимную проксю будут ходить %)))
>>>лучше сам порт закрыть - 3 тысячи с чем-то
>> Дело в том что полностью его закрыть можно только административными
>> мерами. Иначе будут ходить через туннели, pooling, ...
> А если -P FORWARD DROP ?
>> От изобретательного пользователя не поможет.

iptables -I OUTPUT -j DROP
iptables -I FORWARD -j DROP
точно поможет :)

Только есть такая незадача что Инет нужен для работы.
Гораздо проще запретить это административными мерами чем вычислять все
способы которыми пролезть можно.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Comm] ICQ

[Igor Solovyov]

Hi!
On Fri, 16 Apr 2004 15:00:49 +0300
Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote:

> > Народ подскажите плиз как перекрыть ICQ в iptables? Я уже запарился
> > какие только правила не писал всеровно она конектится без проблем.
> > Вообщем я чегото не догоняю :-( Народ ходит в инет через НАТ.
> 
> host login.icq.com
> Все полученные ip запретить в output

Наверное лучше вcе-таки в forward ?
А что, прописывание просто имени login.icq.com вместо кучи айпишников
в цепочках iptables кто-то запретил?
:-))

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

[Comm] Re: ICQ

[Денис Смирнов]

On Fri, Apr 16, 2004 at 05:07:15PM +0400, Polovnikov Denis wrote:

 PD> -A OUTPUT -d 64.12.161.153 -j DROP
 PD> -A OUTPUT -d 64.12.161.185 -j DROP
 PD> -A OUTPUT -d 64.12.200.89 -j DROP
 PD> -A OUTPUT -d 205.188.179.233 -j DROP
 PD> прописываю правила на запрет и нефига не понимаю эти ip без проблем
 PD> пингуются и аська на них конектится :-(

У ICQ дофига IP-шников. Реально справиться можно только полным запретом
доступа к подсетям aol. 

Гораздо лучшее (IMHO) решение сделать запрет использования ICQ частью
правил пользования сетью. После этого можно ловить ICQ чем-либо вроде
сниффера (к коммерческим файрволам точно есть плагины, для сниффера надо
будет искать или писать). Ну и заставить пользователей подписать документ
(который и так должен быть подписан, IMHO), что _вся_ корреспонденция
написаная с использованием оборудования в офисе является собственностью
компании, ибо сотрудники _не имеют права_ его использовать в личных целях.

После этого предупредить всех и дампы всех ICQ-разговоров либо класть на
стол непосредственному руководсту, либо, более садистский метод,
вывешивать автоматом в интранет.

Главное с юристами сначала посоветоваться (я не шибко знаком с этим) при
каких условиях за подобный перехват траффика и его публикование сотрудник
не сможет поднять шум.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: ICQ

[tarzan]

Првиветствую, большое спасибо за предоставленные ресурсы, вы просили написать 
вам, после того как материаллы будут скачены: скачал, можете закрывать 
ссылки, теперь будет что почитать...еще раз Большое спасибо. До Свидания.
-- 
TaRZaN
icq: 223397065
e-mail's: tarzan@vt.samgtu.ru
          zaur_mproc@mail.ru  

[Comm] Re: [JT] ICQ

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 1416 bytes --]

Денис Смирнов пишет:
> On Fri, Apr 16, 2004 at 05:07:15PM +0400, Polovnikov Denis wrote:
> 
>  PD> -A OUTPUT -d 64.12.161.153 -j DROP
>  PD> -A OUTPUT -d 64.12.161.185 -j DROP
>  PD> -A OUTPUT -d 64.12.200.89 -j DROP
>  PD> -A OUTPUT -d 205.188.179.233 -j DROP
>  PD> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>  PD> пингуются и аська на них конектится :-(
> 
> У ICQ дофига IP-шников. Реально справиться можно только полным запретом
> доступа к подсетям aol. 
> 
> Гораздо лучшее (IMHO) решение сделать запрет использования ICQ частью
> правил пользования сетью. После этого можно ловить ICQ чем-либо вроде
> сниффера (к коммерческим файрволам точно есть плагины, для сниффера надо
> будет искать или писать). Ну и заставить пользователей подписать документ
> (который и так должен быть подписан, IMHO), что _вся_ корреспонденция
> написаная с использованием оборудования в офисе является собственностью
> компании, ибо сотрудники _не имеют права_ его использовать в личных целях.
> 
> После этого предупредить всех и дампы всех ICQ-разговоров либо класть на
> стол непосредственному руководсту, либо, более садистский метод,
> вывешивать автоматом в интранет.

Злобный вариант.

Лучше заинтересовать сотрудников работой и научиться видеть 
результаты их труда. А уж если сотрудник за разговорами не 
работает...

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

[Comm] Re: ICQ

[Denis Smirnov]

On Sat, Apr 17, 2004 at 12:44:05PM +0300, Michael Shigorin wrote:

 >> Главное с юристами сначала посоветоваться (я не шибко знаком с
 >> этим) при каких условиях за подобный перехват траффика и его
 >> публикование сотрудник не сможет поднять шум.
 MS> Дня бы в такой компании не проработал.  Люди -- это люди, а не
 MS> скот.  Другое дело, что непроизводительный расход рабочего
 MS> времени -- таки да, проблема.  Но _не_решаемая технологически,
 MS> что уже и озвучено.  Поскольку не технологическая она.

Расход _времени_ это не проблема вообще. Если человек выполняет свои
обязанности, то пофиг сколько он работает и как -- пусть хоть порнуху на
рабочем месте смотрит. Есои он при этом хороший работник, то можно ему и
монитор для этого счастья побольше подарить :)

Единственное что может волновать руководство -- сколько именно времени
тратится на IM и хождение по сети с личными целями. Потому как если его
слишком много, то это серьёзный повод задуматься о более другой мотивации
сотрудников.

Есть совсем другая тема -- безопасность. ICQ штука дырявая. Особенно если
речь идёт об закрытой реализации от Mirabilis. Поэтому запрещать её часто
очень важно и нужно. И в любом случае разделять средства для работы с
личной информацией и рабочей (личная инфа всё равно _будет_ на рабочих
машинах, так пусть лучше она будет официально -- на отдельных логинах, не
бэкапиться, к ней не будет прямого доступа руководства, а вот рабочая --
извините, в любой рабочий документ непосредственное начальство _должно_
иметь доступ, и в рабочую переписку в том числе).

И с точки зрения безопасности зарезать ICQ вообще можно и нужно.

P.S. А права самостоятельной установки софта, если админ сказал "не
ставить" у пользователей не должно быть принципиально. Просто потому, что
это не их работа принимать решения в сфере безопасности или оптимизации
эффективности рабочего места.

P.P.S. Если человек использует оборудование компании в личных целях, то
это не должно происходить в ущерб работе, и должно быть согласовано. Я ещё
когда на фуллтайм работал живо объяснил руководству, что если они хотят
чтобы я работал хорошо, им придётся смириться с тем, что:
а) немало времени у меня на экране будет tin с fido7.*
б) немало времени у меня на экране будут opennet, lor, lrn
в) немало времени я буду заниматься своими личными экспериментами, в том
числе _совсем_ не связаными с моими прямыми обязанностями, в том числе
буду это делать и в рабочее время тоже (с минимальным приоритетом, ясное
дело).

А так как я всё это делал открыто, какой-либо контроль со стороны
руководства меня не пугал, ибо делать я всё равно буду то, что _я_ считаю
нужным.

И при таком подходе ни у одного психа не придёт в голову за мной наблюдать
-- потому как реальной пользы он от этого не получит. А вот если придёт,
то он совсем псих, и я ему внятно объясню (своим примером) что такое
криптованые туннели и зачем они нужны :)

P.P.P.S. А вот если мне перережут криптованый тунель, то работать я там не
буду. Как и где-либо, где на меня накладывают какие-либо _ограничения_, не
являющиеся необходимостью для компании и не устраивающие меня.

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: ICQ

[Денис Смирнов]

On Sat, Apr 17, 2004 at 01:46:58PM +0400, Vitaly Ostanin wrote:

 VO> Лучше заинтересовать сотрудников работой и научиться видеть 
 VO> результаты их труда. А уж если сотрудник за разговорами не 
 VO> работает...

У ICQ есть один серьёзный недостаток -- очень не многие осознают _сколько_
времени она отнимает реально. Особенно с учётом времени на переключения
"трёп<->работа". Любой IM, если он висит постоянно и по нему отвлекают
друзья и т.д. это _ОЧЕНЬ_ плохо. И проблема решается в первую очередь
разъяснением того насколько это плохо. Например проведя на работе
семинарчик по тайм-менеджменту, и введя хорошую систему поощрений за
собственное движение в этом направлении.

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: [JT] ICQ

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 1512 bytes --]

Денис Смирнов пишет:
> On Sat, Apr 17, 2004 at 01:46:58PM +0400, Vitaly Ostanin wrote:
> 
>  VO> Лучше заинтересовать сотрудников работой и научиться видеть 
>  VO> результаты их труда. А уж если сотрудник за разговорами не 
>  VO> работает...
> 
> У ICQ есть один серьёзный недостаток -- очень не многие осознают _сколько_
> времени она отнимает реально. 

Это проблема пользователей. Начальство должен волновать 
результат, а не поза, в которой этот результат достигнут.

> Особенно с учётом времени на переключения
> "трёп<->работа". 

Гораздо больше времени теряется при переключении "звонки 
пользователей - работа".

Я всё к тому, что распечатка переписки и вообще детальное 
наблюдение за сотрудниками - тупиковый путь, не говоря уже об 
этической стороне. Лишний стимул не работать, а обходить 
наблюдение :)

> Любой IM, если он висит постоянно и по нему отвлекают
> друзья и т.д. это _ОЧЕНЬ_ плохо. 

Ну и пусть висит, у меня половина друзей - коллеги по роду 
деятельности :) Да и на личные разговоры отвлекаться иногда надо, 
психика не железная.

> И проблема решается в первую очередь
> разъяснением того насколько это плохо. Например проведя на работе
> семинарчик по тайм-менеджменту, и введя хорошую систему поощрений за
> собственное движение в этом направлении.

Плохо - это когда сотрудник плохо делает свою работу. IM зачастую 
работу ускоряет, так что не надо их рубить под корень.

PS Не люблю ICQ, я вообще-то про Jabber :)

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

[Comm] Re: ICQ

[Денис Смирнов]

On Sat, Apr 17, 2004 at 04:25:09PM +0400, Vitaly Ostanin wrote:

 >> У ICQ есть один серьёзный недостаток -- очень не многие осознают _сколько_
 >> времени она отнимает реально. 
 VO> Это проблема пользователей. Начальство должен волновать 
 VO> результат, а не поза, в которой этот результат достигнут.

Это таки проблема начальства позаботиться о том, чтобы они это знали. Ибо
найти сейчас сотрудников, которые это осознают вероятность стремится к
нулю.
 
 >> Особенно с учётом времени на переключения
 >> "трёп<->работа". 
 VO> Гораздо больше времени теряется при переключении "звонки 
 VO> пользователей - работа".
 VO> Я всё к тому, что распечатка переписки и вообще детальное 
 VO> наблюдение за сотрудниками - тупиковый путь, не говоря уже об 
 VO> этической стороне. Лишний стимул не работать, а обходить 
 VO> наблюдение :)

Распечатка переписки и прочее может применяться как крайне жёсткий метод
требовать её _полного прекращения_, там где она действительно может быть
мягко скажем не рекомендованой.

 >> Любой IM, если он висит постоянно и по нему отвлекают
 >> друзья и т.д. это _ОЧЕНЬ_ плохо. 
 VO> Ну и пусть висит, у меня половина друзей - коллеги по роду 
 VO> деятельности :) Да и на личные разговоры отвлекаться иногда надо, 
 VO> психика не железная.

Ясное дело.
 
 >> И проблема решается в первую очередь
 >> разъяснением того насколько это плохо. Например проведя на работе
 >> семинарчик по тайм-менеджменту, и введя хорошую систему поощрений за
 >> собственное движение в этом направлении.
 VO> Плохо - это когда сотрудник плохо делает свою работу. IM зачастую 
 VO> работу ускоряет, так что не надо их рубить под корень.

Разумеется. И в одной компании мне приходилось блокировать доступ ко всему
интернету, за исключением... ICQ и почты. Причём почты только с одного
конкретного сервера. Потому как там так работа была организована, и там
это было вполне осознаный выбор руководства. И у меня были лишь
разногласия на тему моего желания таки поставить Jabber, и шлюз в ICQ уже
на нём. Отказ был с обоснованием "аська красивее", ну что-ж, это уже не
мои проблемы, мне меньше работы, аська она в ведении местного эникейщика :)
 
 VO> PS Не люблю ICQ, я вообще-то про Jabber :)

Jabber, кстати, совсем другое дело. По крайней мере есть масса OpenSource
клиентов, безопасности которых я доверяю гораздо больше чем поделию от
Mirabilis.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: ICQ

[Igor Solovyov]

Hi!
On Sat, 17 Apr 2004 12:47:31 +0400
Денис Смирнов <mithraen@freesource.info> wrote:

> On Fri, Apr 16, 2004 at 05:07:15PM +0400, Polovnikov Denis wrote:
> 
>  PD> -A OUTPUT -d 64.12.161.153 -j DROP
>  PD> -A OUTPUT -d 64.12.161.185 -j DROP
>  PD> -A OUTPUT -d 64.12.200.89 -j DROP
>  PD> -A OUTPUT -d 205.188.179.233 -j DROP
>  PD> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>  PD> пингуются и аська на них конектится :-(
> 
> У ICQ дофига IP-шников. Реально справиться можно только полным запретом
> доступа к подсетям aol. 

Я уже писал. А что прописывание имени вместо ip не помогает?

-A FORWARD -d login.icq.com -j DROP


-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re[2]: [Comm] Re: ICQ

[Polovnikov Denis]

Здравствуйте, Igor.

Вы писали 18 апреля 2004 г., 8:25:03:

IS> Hi!
IS> On Sat, 17 Apr 2004 12:47:31 +0400
IS> Денис Смирнов <mithraen@freesource.info> wrote:

>> On Fri, Apr 16, 2004 at 05:07:15PM +0400, Polovnikov Denis wrote:
>> 
>>  PD> -A OUTPUT -d 64.12.161.153 -j DROP
>>  PD> -A OUTPUT -d 64.12.161.185 -j DROP
>>  PD> -A OUTPUT -d 64.12.200.89 -j DROP
>>  PD> -A OUTPUT -d 205.188.179.233 -j DROP
>>  PD> прописываю правила на запрет и нефига не понимаю эти ip без проблем
>>  PD> пингуются и аська на них конектится :-(
>> 
>> У ICQ дофига IP-шников. Реально справиться можно только полным запретом
>> доступа к подсетям aol. 

IS> Я уже писал. А что прописывание имени вместо ip не помогает?

IS> -A FORWARD -d login.icq.com -j DROP

Да я еще в пятницу все отрубил как напрямую так и через прокси :-)
По поводу хитрожопых сотрудников как тут упоминалось дак у меня их нет
колектив женский ;-) Только кот после отключения они меня своими
стонами достали уже, все злятся что лешили их возможности трепатся.



-- 
С уважением,
 Polovnikov                          mailto:altlinux@lg-support.ru

[Comm] Re: ICQ

[Денис Смирнов]

On Sun, Apr 18, 2004 at 10:25:03AM +0600, Igor Solovyov wrote:

 IS> Я уже писал. А что прописывание имени вместо ip не помогает?
 IS> -A FORWARD -d login.icq.com -j DROP

В момент выполнения команды iptables, AFAIR, просто произойдёт ресолвинг
имени. Возможно даже только в _один_ из IP-шников.

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: ICQ

[Денис Смирнов]

On Mon, Apr 19, 2004 at 10:33:29AM +0400, Polovnikov Denis wrote:

 PD> Да я еще в пятницу все отрубил как напрямую так и через прокси :-)
 PD> По поводу хитрожопых сотрудников как тут упоминалось дак у меня их нет
 PD> колектив женский ;-) Только кот после отключения они меня своими
 PD> стонами достали уже, все злятся что лешили их возможности трепатся.

Гы. В целях надёжности и удобства я попытался перетащить всех на IMAP
с хранением почты на сервере. Соответственно в качестве почтовика
поставить ThunderBird... Наивный. Секретарь мне ТАКУЮ истерику закатила,
что я был просто в шоке. Основная проблема "выглядит по другому, я
привыкла к The Bat". Никаких претензий к usability и т.д. не было. Только
_другой_ внешний вид.

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: ICQ

[Maxim Tyurin]

Денис Смирнов <mithraen@freesource.info> writes:

> On Mon, Apr 19, 2004 at 10:33:29AM +0400, Polovnikov Denis wrote:
>
>  PD> Да я еще в пятницу все отрубил как напрямую так и через прокси :-)
>  PD> По поводу хитрожопых сотрудников как тут упоминалось дак у меня их нет
>  PD> колектив женский ;-) Только кот после отключения они меня своими
>  PD> стонами достали уже, все злятся что лешили их возможности трепатся.
>
> Гы. В целях надёжности и удобства я попытался перетащить всех на IMAP
> с хранением почты на сервере. Соответственно в качестве почтовика
> поставить ThunderBird... Наивный. Секретарь мне ТАКУЮ истерику закатила,
> что я был просто в шоке. Основная проблема "выглядит по другому, я
> привыкла к The Bat". Никаких претензий к usability и т.д. не было. Только
> _другой_ внешний вид.

Странные у вас пользователи какие-то. Начитаюсь тут ужасов - потом
кашмары снятся :)

Вообще-то если хорошо объяснить зачем так надо то пользователи и
строем ходить будут и шаг чеканить. Только объяснять хорошо надо ;)

Переход The Bat! -> Mozilla Mail у нас был произведен очень
гладко. Никаких истерик не было. Даже впечатлились полезной идеей
shared folders.

Теперь продумывается стратегический план по переходу M$ Office -> OpenOffice.org

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Comm] Re: ICQ

[Gosha]

Hi!
On Mon, 19 Apr 2004 11:08:19 +0400
Денис Смирнов <mithraen@freesource.info> wrote:

>  IS> Я уже писал. А что прописывание имени вместо ip не помогает?
>  IS> -A FORWARD -d login.icq.com -j DROP
> 
> В момент выполнения команды iptables, AFAIR, просто произойдёт
> ресолвинг имени. Возможно даже только в _один_ из IP-шников.

А я думал наоборот - произойдет обратный "резолвинг" при
работе правила.

Наверное ошибался? :-)

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

[Comm] Re: ICQ

[Денис Смирнов]

On Mon, Apr 19, 2004 at 07:33:46PM +0300, Maxim Tyurin wrote:

 MT> Вообще-то если хорошо объяснить зачем так надо то пользователи и
 MT> строем ходить будут и шаг чеканить. Только объяснять хорошо надо ;)

Это зависит от пользователя. Руководство перевести куда-либо элементарно,
они, блин, умные -- зарабатывать хотят и время при этом экономить. Если им
чётко объяснить что и зачем нужно, они переучатся.

А тем, кто чисто на зарплате сидит, и кому плевать и на компанию, и на
руководство, и нет мозгов чтобы понимать что учиться новому это способ
увеличить в будущем свою зарплату, те, блин, редиски, блин, задалбывают,
блин, идиотизмами. Им нужно чтобы "красиво". Слова "удобно" у них
полностью идентично "красиво". И ничего с такими не сделаешь, ибо по
соотношению цена/производительность эти недоумки в некоторых условиях
бывают вполне выгодны (например при недостаточной образованности
руководства, чтобы суметь заинтересовать и загрузить приносящей прибыль
аботой более высокооплачиваемого сотрудника). В нынешних условиях такие
компании пока вполне себе выживают (ибо далеко не на IT сейчас всё у нас
держится). И поэтому приходится и с таким встречаться :)

 MT> Переход The Bat! -> Mozilla Mail у нас был произведен очень
 MT> гладко. Никаких истерик не было. Даже впечатлились полезной идеей
 MT> shared folders.
 MT> Теперь продумывается стратегический план по переходу M$ Office -> OpenOffice.org

Хорошо. Я так и собирался там сделать. Сначала bat -> mozilla, потом
office -> openoffice, а потом уже на паре машин можно и windows -> master
сделать :)

-- 
С уважением, Денис

http://freesource.info

[Comm] Re: ICQ

[Денис Смирнов]

On Tue, Apr 20, 2004 at 09:15:56AM +0600, Gosha wrote:

 G> А я думал наоборот - произойдет обратный "резолвинг" при
 G> работе правила.
 G> Наверное ошибался? :-)

Думаю что да, потому как на каждый пакетик делать обратный ресолвинг никто
не будет :)

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: ICQ

[Andrey Brindeew]

[-- Attachment #1: Type: text/plain, Size: 357 bytes --]

On Mon, Apr 19, 2004 at 07:33:46PM +0300, Maxim Tyurin wrote:
> Переход The Bat! -> Mozilla Mail у нас был произведен очень
> гладко. Никаких истерик не было. Даже впечатлились полезной идеей
> shared folders.

Человек сколько у вас в организации?

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]

Re: [Comm] Re: ICQ

[Maxim Tyurin]

Andrey Brindeew <abr@altlinux.ru> writes:

> On Mon, Apr 19, 2004 at 07:33:46PM +0300, Maxim Tyurin wrote:
>> Переход The Bat! -> Mozilla Mail у нас был произведен очень
>> гладко. Никаких истерик не было. Даже впечатлились полезной идеей
>> shared folders.
>
> Человек сколько у вас в организации?

Человек много.
А компы человек 100 использует.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			

Re: [Comm] Re: ICQ

[Andrey Brindeew]

[-- Attachment #1: Type: text/plain, Size: 303 bytes --]

On Wed, Apr 21, 2004 at 11:20:03AM +0300, Maxim Tyurin wrote:
> Человек много.
> А компы человек 100 использует.

Надо над вашим опытом помедитировать. У нас компового народу в пять раз
больше.

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --]