[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: How to restrict ICQ direct connections

On Tue, Jul 29, 2003 at 12:02:22PM +0400, Dmitry Turevsky wrote:

> AZ> Я уже здесь задавал этот вопрос, правда в другой форме, но никаких
> AZ> предложений, кроме как "не использовать ICQ" не услышал. Не использовать
> AZ> ICQ невозможно, т.к. пользователей много и многие пользуют ICQ, а
> AZ> административно запрещать нет смысла, т.к. люди должны иметь свободу
> AZ> выбора и комфорт в работе :)
> 
> AZ> А проблема в следующем: если разрешены direct connections в ICQ эта
> AZ> зараза светит IP, причём не только реальный, но и тот, что за
> AZ> брандмауэром, из приватной сети. Не секьюрно это. Возникает естественное
> AZ> желание закрыть direct connections на брандмауэре (при этом теряется
> AZ> возможность передавать файлы через ICQ, зато остаётся возможность
> AZ> обмениваться сообщениями через сервер). Т.е. речь идёт о том, чтоб
> AZ> оставить для ICQ траффика только порт 5190, как я понимаю. Как закрыть
> AZ> входящие direct connections - понятно, но вот как предотвратить
> AZ> соединения из внутренней сети? Согласно icq.com, она использует для
> AZ> (исходящих в том числе) соединений порты 1024-65535. Может, кто делал
> AZ> уже? Может, через connection tracking или ещё как? Неохота изобретать
> AZ> велосипед.

> Я вообще это всё отрезал и запустил icq через сквида.
> Народ удовлетворен.

Ну это означает отрезать вообще все сервисы, оставив только прокси. Это
немного не тот метод.

-- 
Alexey Zagarin
Aquarius Consulting
Phone: +7 (095) 729-5199 *170
E-Mail: alexey@aqc.ru
Reply to: