ICQ завернуть на порт 5190

[sorgchik]

Кто подскажет, сейчас icq коннектится обычно к серверам с помощью порта 443 или 80. Как принудительно фаерволом ее отправить на порт 5190?

[fisher74]

Вообще ОБЫЧНО icq-клиенты коннектятся на порт 5190, но если  указать в сервере другой порт, то пытается коннектиться на него. Пытается, потому что не всегда пользователи указывают порты, которые слушают сервера icq

Можете прояснить Ваш вопрос?

[sorgchik]

мне на шлюзе необходимо запретить всем 443 порт, но без него не подключается icq.
Установлен официальный клиент icq версии 8.2 сборка 7137. Он по умолчанию конектится к серверам (в основном к 178.237.18.236) на 443 порт.
Выбор серверов для подключения в программе нет.
Нужно заставить icq подключаться к серверу по 5190, желательно с помощью фаервола.

[fisher74]

так значит задача состоит в другом: как запретить все соединения на 443-порт, кроме тех, которые идут на определённые ip-ы. Так не противоречит каким-то другим условиям?

[sorgchik]

нет, тут имено главное

запретить все соединения на 443

без кроме =)

[fisher74]

я попытался описать Вам техническое задание в правильном виде. Вы же извращаете задачу и пытаетесь лечить насморк ректально.
Ещё раз разберитесь, что Вам нужно:
1. Запретить ВСЕ соединения по 443-порту
2. Обеспечить работу icq-клиентов, по совпаденю работающих на этом же порту.

По Вашему ТЗ предлагается перенаправить траффик на другой порт сервера... А сервер-то на этом порту ждёт соединений?

[sorgchik]

Смотрите, сервер 178.237.18.236 работает с ICQ как через 443, так и через 5190.
Я хочу, чтобы не происходило соединений на 443, а перенаправлялось на стандартный для ICQ порт.
Что тут ректально?

[fisher74]

запрет Вы хотите сделать ректальный. Сейчас обьясню почему.
Рассматриваем то что Вы хотите

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -d 178.237.18.236 -p tcp --dport 443 -j DNAT --to-destination 178.237.18.236:5190
sudo iptables -A FORWARD -p tcp --dport 443 -j DROPи вопрос об остальной защите шлюза и локальной сети остаётся открытым.

теперь о чём я говорю.
При нормально настроенном шлюзе есть дефолтное правило
и первым же разрешение пакетов установленных соединений

Код: [Выделить]

sudo iptbles -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTэто практически аксиома. То есть изначально у нас закрыто ВСЁ.

А теперь разрешаем нашу аську

Код: [Выделить]

sudo iptables -A FORWARD  -d 178.237.18.236 -p tcp --dport 443 -j ACCEPTВСЁ И защита локальной сети обеспечена и трафик под контролем.
А дальше разрешайте то что надо... надо http пропустить? Легко

Код: [Выделить]

sudo iptables -A FORWARD  -i eth1 -p tcp --dport 80 -j ACCEPTи т.п.


Пользователь решил продолжить мысль 03 Октября 2014, 00:26:07:P.S. То что просили я Вам дал, как видите... Так что выбирайте способ. Только потом не говорите, что я Вас не предупреждал.

[AnrDaemon]

Стандартный порт сейчас 443. 5190 это старый порт без шифрования трафика.
Как его ещё не прикрыли - ЯХЗ.

[fisher74]

Стандартный порт сейчас 443.

не много отстал... (

Как его ещё не прикрыли - ЯХЗ.

Видимо для совместимости со старыми клиентами.

[ArcFi]

Стандартный порт сейчас 443. 5190 это старый порт без шифрования трафика.

Можно пруф?

Код: [Выделить]

openssl s_client -connect slogin.icq.com:5190