ICQ: забанить нафиг !!!!
7639
26
На собрании порешили запретить пользователю пользоваться аськой. Как я могу закрыть на сервере доступ пользователю? Пользователь админ на компе. Остальным (6 человек) поьзоваться аськой можно. Даже нужно.
Сервер работает как шлюз.
Dimich
Пропишите в hosts c:\windows\system32\drivers\etc\hosts (на локальной машине)

127.0.0.1 localhost
207.46.232.182 login.icq.com
207.46.197.32 login.icq.com


P.S. Если пользователь грамотный, то он еще может найти кучу дыр (анонимайзер, откорректирует файл hosts и т.д. и т.п.)
Dimich
удалить аську с его компа, а если пользователь будет замечен за перепиской по асе, то молотком по пальцам (можно взыскать и в денежном эквиваленте, или добавить трудочасов провинившемуся ) :ха-ха!: Имхо намного эффективнее действует, чем закрывание портов и правка hosts.
Baal
то молотком по пальцам (можно взыскать и в денежном эквиваленте, или добавить трудочасов провинившемуся ) :ха-ха!: Имхо намного эффективнее действует, чем закрывание портов и правка hosts.
Тут я полностью согласен, но я приходящий там админ. В моё отсутствие могут творить чё угодно, как всё поломают так и звонят:улыб:
scanner
Прописать собирался на крайний случай. Ну в принципе если что так и сделаю. Паламают если ограничения, буду оппелировать (стучать как заяц на барабане) ихнему директору. Хотел просто как нить это централизованно решить, но походу это только проксю городить. Неохота, гемор этот лишний.
Мне ещё поручили социальные сети закрыть. Всем !!
Просто праздник какой то:хехе:
Поеду в ночь всё закрывать. Днём, при пользователях, чёт я очкую:хехе:
Dimich
Кроме login.icq.com, есть еще:
login.oscar.aol.com
ibucp-vip-d.blue.aol.com
ibucp-vip-m.blue.aol.com
bucp2-vip-m.blue.aol.com
bucp-m08.blue.aol.com
и еще наверняка куча других, а также кроме порта 5190, можно еще подключаться на порт 4000.
А еще есть вэб-аська, через порт 80...............:бебе:
Silvia
Список серверов дёрну из QIPа, там всё развито:улыб:
А вот с веб-аськой не знаю как бороться, наверное только развитой системой осведомителей:хехе:
Dimich
Ну как вариант еще поставить Outpost и там создать правила что можно пропускать, а что нельзя, в Outposte включить парольную защиту от изменения любых настроек.

Ну и собственно запретить пользователю удалять самостоятельно программу, таким образом можно не городить прокси на сервере.

Лучше бы конечно чтоб у пользователя на локальной машине не было административных прав, это бы облегчило вам работу.
Dimich
приходящий там админ. В моё отсутствие могут творить чё угодно
Тут важно четко понять: это надо вам или директору.
Если лично вам - то можно и по морде схлопотать, за самоуправство, и правильно. Если директору - у него есть куча рычагов и без закрытия портов.
Правда, встречаются ссыкливые директора, котрые на админов валят "ниче не знаю".
Dimich
У меня просто на шлюзе есть правило для блокировки исходящих соединений в подсети
64.12.0.0/16 и 205.188.0.0/16 - аоловские, в которых сервера асечные висят. Вроде пока хватает.
А еще правило на хттп-соединения - блокировать запросы с "icq" в заголовке... Применяю это дело на тех, кому надо запретить аську - пока хватает. Не исключено, что сильно умелый и упорный сможет обойти, но у меня пока таких не встречалось...
scanner
Outpost стоит, но это же всё локально.... Т.е. опять таки всё на местах.... Хост перепишу кароче.
KSergey
Да диру это надо. Упаси Хосподь самостоятельно такие решения принимать:улыб:
PN
У меня просто на шлюзе есть правило для блокировки исходящих соединений...
Это массовый бан ? Меня индивидуальный интересует. Еслиб прям индивидуально пользователя позабанить яб более спокойно себя чуствовал. А то ведь как бывает, понапишешь правил всяких, запретов. Потом придёт чей то бойфрен и на...эээ.... вертит по продвинутому, что потом бывает ось под снос проще :хммм:
Dimich
Ну так Админа под пароль, юзеров на кол (тьфу) в ограниченные учетные записи. На биос тоже пароль. Пусть вертят.
Dimich
Почему же массовый? Это просто заготовки для правил доступа в инет на шлюзе, а уж на кого его применить - это и решает директор, посредством админа... Чем инет-то раздается на сервере, каким софтом? На машине юзера какбе ничего и не надо делать... Ну, разве что запретить этому юзеру менять настройки сети... Твикером каким-нить, либо напрямую политикой...

ЗЫ. А переписка хоста не поможет - это на всех локальных пользователей этой машины. Да и адресов входа на аську много всяких. Плюс, если юзер не дурак - запустит АВЗ и проведет восстановление системы без разбора по пунктам, в число которых входит и правка файла хостов... Если надо ограничить доступ в инет юзеру с локальными админскими правами - только на шлюзе мутить правила доступа, все локальные обойдет рано или поздно.
PN
Чем инет-то раздается на сервере, каким софтом?
WinSer2008
Dimich
Я у себя проще делаю. Юзера, кому положенно, ходят в инет через проксю с запрещенным методом connect. Кому положенна аска, открываю порт на машину. А вышеописанные способы обходятся нараз =)
Dimich
Не сочтите за рекламу - http://www.lan2net.ru/
Сам пользуюсь, доволен. Именно вот для таких вещей, а так же закрытия прямого хода наружу на 25 порт, например (была раз беда с бот-вирусом на одном из компов, спам рассылал).
Цены - смешны, а если всего 1 пользователя надо "особо обработать" - то и вовсе смехотворны, пол-деня работы админа - дороже.
KSergey
Типа реклама?
:спок:
Даже тот же юзергейт дешевле. Но возможностей больше.
ganymed
Типа реклама?
Понимайте как хотите.
По поводу цен - не знаю. Просто для описанного случая - достаточно лицензии на 3 пользователя, я не знаю других вариантов, чтобы было дешевле. Я такой и пользуюсь.
PN
на шлюзе есть правило для блокировки исходящих соединений в подсети
64.12.0.0/16 и 205.188.0.0/16 - аоловские, в которых сервера асечные висят..
Есть такое правило, работает. Но нужно к этому добавить, что необходима привызка ай-пи адресов к МАС-ам, иначе юзеры могут обходить правило путем подмены ай-пи. До веб-аськи наши пользовтели пока еще не додумались. Примерно так же банится и майл-клиент. Запрет группе адресов на майловский пулл адресов с 16-й маской, за исключением 25-го, 110-го и 80-го порта. И что это за шлюз такой, на винде? Это ж сколько денег надо: винда + фаер(прокси)+антивирь. Не проще ли использовать системы для этого предназначенные?
Server 2003 + ISA 2006. Антивиря на шлюзе нет - клиентских хватает, с управлением через сервер. Если на шлюзе поднять авторизацию и настроить политики не по ИП, а по доменным пользователям, то даже привязки ип к маку не надо будет делать, ибо ограниченный в доступе юзер с любого компьютера уже не сможет попользоваться аськой.

По деньгам, кстати, вполне разумно получается, если что...
Dimich
п.9
Радикальное решение - поставить на сервер linux, поднять над, и заблочить всю свору "нехороших" сайтов =)
senrew
решение - поставить на сервер linux
Верно, по-другому никак! Только линукс! И юзеров тоже на линукс!
А еще лучше на Маки! Долой PC с его форточками!!!
senrew
п.9
поднять над, и заблочить всю свору "нехороших" сайтов =)
Над чем его поднять?

ЗЫ. Напомнило совет, как избавиться от тараканов - загнать их под шкаф и отпилить у шкафа ножки...
Сибиряк
Весна в этом годе поздняя....
И обострения тоже поздние:хехе: