Запрет icq через Squid

[Durman]

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2

Второй роутер стоит? Пиши структуру сети.

роутер 192.168.1.2  стоит временно, до появления 3го интрефеса на шлюзе (Ubuntu).

задача шлюза.

раздача на 2  подсети (разделенные) (пока раздача идет на одну сеть)
первая сеть (192.168.1.х) работает без ограничений ( работают аська, одноклассники и прочие прелести)
вторая сеть (192.168.2.х) рабачая сеть.. тут должны работать ограничения на некоторых пользоватаелей (у кого то нет icq, а кто-то не видет одноклассников, а некоторым все доступно)

вседствии выборочного доступа и пытался реализовать это на squid`е

там где "router" точно маршрутизатор? Какая-то дебильная конфигурация
Пользователь решил продолжить мысль 21 Мая 2010, 22:32:47:Имхо, там коммутатор

[200cm3]

там ASUS WL-500gP-v1 маршрутизатор, коммутатор 4xLAN,Wi-Fi точка доступа, 802.11g, 54 Мбит/с,  принт-сервер

[AnrDaemon]

Вынеси его в отдельную (третью) сеть.
192.168.10.0/30
192.168.10.1 роутер
192.168.10.2 сервер

[Tokh]

может проще по йапишнику прикрыть и все?

По которому?

Можно терпеливо собрать статистику запросов к DNS:
tcpdump --показать-весь-пакет-без-ограничения-по-размеру | grep порт 53 > /var/log/my-ns-spy.log
Потом ipcalc - понять на какие подсети можно разбить собранные ip адреса. nslookup уже не нужен, всё должно быть в log файле. Идеи о доменных именах развить через nslookup.

И тут раскрыть намерения закрыв найденные подсети. Но следом могут всплыть ещё какие-то особенности, типа SSL сразу на IP адреса, без доменных имён...

Надо бы разбирать тело пакетов, отыскивая заголовки протокола ICQ и автопилотом банить обнаруженные IP манипулируя iptables. Однако SSL... Однако есть же доступ к харду, где стоит ICQ... Но ведь Hamachi и прочие прелести...

ИМХО чем по IP банить, можно банить по зарплате приказом директора.

P.S. Самый простой способ заставить 9 человек из 10 делать нужное тебе - доверять им. (с) Уильям Фолкнер, Трилогия о Сноупсах. Букв много, да, но "букварик" освещает знания из числа "must have".

[200cm3]

Вынеси его в отдельную (третью) сеть.
192.168.10.0/30
192.168.10.1 роутер
192.168.10.2 сервер

роутер 192.168.1.2  стоит временно, до появления 3го интрефеса на шлюзе (Ubuntu).

[AnrDaemon]

Я не слепой.

[roma333]

Заверните все порты аськи на сквид, и хрен кто пролезет

[Sam Stone]

2roma333
И сломать https?..

[200cm3]

Ну если при использовании прозрачной прокси через Squid не получится может тогда iptables?

firewall:

...
for i in $(cat /etc/fw_icq); do
 for j in $(cat /etc/fw_ip); do
  iptables -A FORWARD -s $j -d $i -j REJECT
 done
done
...

fw_icq: (списки IP по которым конектится icq)

64.12.0.0/16
207.200.0.0/16
205.188.0.0/16

fw_ip: (списки IP кому не разрешен выход в icq )

192.168.2.201
192.168.2.213

[AnrDaemon]

Для таких извращений создают отдельные таблицы. чтобы основную не засирать.

[VinnyPooh]

Не с той стороны подходите.
Хорошо работают административные методы.
Типа распечатали логи за месяц - лишили премии.
Два лишения - основная масса народу сидеть не будет.
Кстати, лишать премии можно также за левый софт установленный в системе (это я к тому, что можно это обосновать лицензионной чистотой компов)
Ещё один уровень - юзер не должен сам ничего ставить в систему, опустите их (сорри за такое) по правам.
Ещё более интересный уровень - платить за результат работы, тогда хоть чем пусть занимаются на работе, хоть сутками сидят, увы если у человека по условиям работы оклад это малоприменимо, но чистые оклады не часты сейчас, а вот премиальную часть можно резать просто жёстко.

ЗЫ. В паре знакомых контор народу после того, как порезали аську и соцсети, этот народ тупо поставил её на мобильник и сидел в ней, в одноквасниках и прочих контактах в итоге времени терялось даже больше, плюнули и перевели всех на сделку по оплате.

То есть если есть ожидание, что народ будет тратить время больше на работу - то это фигня, они будут пасьянс раскладывать, в носу чесать, курить станут больше или чай пить.

[200cm3]

да, это  все достаточно разумно

[Scorry]

запретительные меры, как правильно указал VinnyPooh, неэффективны.
со своей стороны хочу отметить, что если народ общается в сети и шарится по сайтам — это не проблема; проблема тогда, когда это происходит вместо работы.
самый простой выход — не держать на работе дармоедов.

теперь по существу вопроса: если есть выход в нет, рано или поздно лазейка найдётся. пройдено/узнано/испробовано, и с позиции работника, и с позиции нанимателя.