Re: icq iptables deny
On Sun, Apr 06, 2003 at 10:10:09PM +0300, Evheny Khoruzhy wrote: слишком умён для своей зарплаты и сделал всё, за что ему платят, а [skip] если не хочет человек работать, то зачем он нужен? Вы ж сами уже ответили. Формула (c) одного моего друга: зарплата = уровень*работа + ответственность -- WBR, Michael Shigorin [EMAIL PROTECTED] -- Linux.Kiev http://www.linux.kiev.ua/
Re: icq iptables deny
Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Само использование ICQ создает дыру в сети. Если еще учесть дыры, которые постоянно находят в клиентском аськином софте, то невольно задумаешься, а не предложить ли поискать другую работу админу, который до сих пор еще не догадался заблокировать это на корню. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом. Это должно определяться в первую очередь политикой безопасности стуктуры ИТ.
Re: icq iptables deny
On 2003.04.06 at 21:19:03 +0300, Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я Я предлагаю не запрещать их. Хотя можно составить трудовой контракт так, чтобы в нем было явно сказано, что использование всего, что не разрешено - запрещено. Опять же, ICQ существует уже лет этак шесть.
Re: icq iptables deny
On 2003.04.07 at 12:44:02 +0700, Ilya Palagin wrote: Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Само использование ICQ создает дыру в сети. Если еще учесть Само существование сети создает дыру. Если вы зачем-то сделали сеть, подумайте о том, а не проще ли разрешить использование ICQ и других подобных протоколов. дыры, которые постоянно находят в клиентском аськином софте, то невольно Что-то за последние два года я не припомню ни одного DSA по поводу ICQ-клиентов, включенных в дистрибутив Debian. Если не считать неприглядной истории со сборкой micq.
Re: icq iptables deny
On Sun, Apr 06, 2003 at 09:19:03PM +0300, Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом. По-моему, если сотрудник много времени проводит в аське, то либо он слишком умён для своей зарплаты и сделал всё, за что ему платят, а больше не хочет (ни денег, ни работы), либо он просто лентяй и совсем ничего не хочет делать. В обоих случаях таким сотрудникам стоит подумать о смене места работы. Никакие запреты тут не помогут - если не хочет человек работать, то зачем он нужен? -- Best regards, Evgeny Khoruzhy [EMAIL PROTECTED]
Re: icq iptables deny
Evheny Khoruzhy wrote: On Sun, Apr 06, 2003 at 09:19:03PM +0300, Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом. По-моему, если сотрудник много времени проводит в аське, то либо он слишком умён для своей зарплаты и сделал всё, за что ему платят, а больше не хочет (ни денег, ни работы), либо он просто лентяй и совсем ничего не хочет делать. В обоих случаях таким сотрудникам стоит подумать о смене места работы. Никакие запреты тут не помогут - если не хочет человек работать, то зачем он нужен? Думаю просто нужно платить человеку за работу а не за время проведенное на рабочем месте. А отвлечение от работы часто помогает отдохнуть. -- С уважением, Кондрашов Николай, ИТ-менеджер ЗАО Автоматика-Север +7(812) 1183238, 3039648 http://www.avt.com.ru/ mailto:[EMAIL PROTECTED]
RE: icq iptables deny
Раз уж я эту тему завел, хочу сказать пару слов... Думаю так, есть ICQ - есть соблазн, нет ICQ - нет соблазна. и по аналогии Евгений -Original Message- From: Nickolay Kondrashov [mailto:[EMAIL PROTECTED] Sent: Monday, April 07, 2003 12:08 PM To: debian-russian@lists.debian.org Subject: Re: icq iptables deny Evheny Khoruzhy wrote: On Sun, Apr 06, 2003 at 09:19:03PM +0300, Dmitriy Sirant wrote: Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом. По-моему, если сотрудник много времени проводит в аське, то либо он слишком умён для своей зарплаты и сделал всё, за что ему платят, а больше не хочет (ни денег, ни работы), либо он просто лентяй и совсем ничего не хочет делать. В обоих случаях таким сотрудникам стоит подумать о смене места работы. Никакие запреты тут не помогут - если не хочет человек работать, то зачем он нужен? Думаю просто нужно платить человеку за работу а не за время проведенное на рабочем месте. А отвлечение от работы часто помогает отдохнуть. -- С уважением, Кондрашов Николай, ИТ-менеджер ЗАО Автоматика-Север +7(812) 1183238, 3039648 http://www.avt.com.ru/ mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: icq iptables deny
On Sun, Apr 06, 2003 at 09:19:03PM +0300, Dmitriy Sirant wrote: [skip] Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я При появлении новых протоколов надо рассматривать целесообразность их применения в деятельности конторы и, при наличии такой целесообразности при условии обеспечения необходимой информационной безопасности, их _разрешать_. Т.е. сначала запрещается вообще _все_, потом рассматривается кому-что надо (imho средства психологической разгрузки и снятия стресса типа общения и игр сюда тоже входят), затем оно исследуется на предмет нанесения ненароком (кривая реализация софта, дырявые протоколы) ущерба безопасности и, если соответствует рамкам принятой в конторе концепции информационной безопасности, разрешается. Причем рассматривается не на уровне icq/не icq, а на уровне конкретных программ, в частности для той же аськи. Например, один клиент асечный (если он дырявый) можно запретить, другой разрешить. И так же со всем остальным софтом/протоколами и прочим. Что касается чем занимается сотрудник в рабочее время, то если оценивать его деятельность не в количестве времени, которое он просидел с умным видом перед монитором (некоторые так даже спать умудряются, причем с открытыми глазами :) ), а _по_результату_, то все будет ОК. Пусть он хоть целый день в аське сидит, а вот если на гора что ему положено не выдаст, тогда репрессии и начнутся. конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом. Конечно! Я понимаю когда техническими методами решаются вопросы _безопасности_. Но только очень недалекие руководители могут пытаться решать техническими методами дисциплинарные вопросы. Ну будут люди вместо компьютерного пасьянса или там шутера какого в обычное домино козла забивать, что конторе от этого легче что-ли будет? А вообще все это последствия тяжелого совкового наследия. При нормальной постановке дела, когда люди ощущают себя командой и понимают что от их работы зависит их же благополучие, то возле них можно с палкой не стоять. Одна беда, мало еще, крайне мало таких контор на Руси :( -- Геннадий Booting... /vmemacs.el
Re: icq iptables deny
On Fri, Mar 28, 2003 at 05:13:45PM +0300, Victor B. Wagner wrote: On 2003.03.27 at 22:34:51 +0200, Bogdan wrote: Угу. И вынести при этом значительную часть аоловских сайтов? см. host login.icq.com, затем whois по ним и напоследоп host оп случайным адресам в диапазоне. А что, на AOL бывает что-то полезное? Если ты закрываешь человеку ICQ, то видимо и все сайты,не относящиеся к работе тоже порезать не вредно. Я бы, правда, на месте этого человека, начал бы подыскивать себе другое место работы, но может быть инициатор треда этого и добивается. Так плохо работать без аськи? Я вот ей никогда не пользовался (предпочитаю асинхронные средства общения). Я много потерял? -- Геннадий Booting... /vmemacs.el
Re: icq iptables deny
On Sun, 6 Apr 2003 16:28:11 +0400 Terehov Gennady [EMAIL PROTECTED] wrote: On Fri, Mar 28, 2003 at 05:13:45PM +0300, Victor B. Wagner wrote: Я бы, правда, на месте этого человека, начал бы подыскивать себе другое место работы, но может быть инициатор треда этого и добивается. Так плохо работать без аськи? Я вот ей никогда не пользовался (предпочитаю асинхронные средства общения). Я много потерял? Ну как объяснить вкус халвы тому, кто её не пробовал? :- -- jabber: [EMAIL PROTECTED] VEL-RIPE
Re: icq iptables deny
On 2003.04.06 at 16:28:11 +0400, Terehov Gennady wrote: А что, на AOL бывает что-то полезное? Если ты закрываешь человеку ICQ, то видимо и все сайты,не относящиеся к работе тоже порезать не вредно. Я бы, правда, на месте этого человека, начал бы подыскивать себе другое место работы, но может быть инициатор треда этого и добивается. Так плохо работать без аськи? Я вот ей никогда не пользовался (предпочитаю асинхронные средства общения). Я много потерял? Работать без аськи вполне себе можно. Хотя, надо признать, некоторые удобства от её наличия бывают. Зачастую это самый быстрый и эффективный способ кинуть URL даже не в другой конец комнаты, а другому пользователю того же компьютера. Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться.
Re: icq iptables deny
Вопрос скорее в другом: если человеку хотят зарезать использование аськи, это примерно то же самое, как запрет вести частные переговоры по рабочему телефону. Если такое не было оговорено с самого начала при поступлении на работу, и возникает явочным порядком в процессе, то следует сильно подумать, а стоит ли в этой конторе оставаться. Т.е. при появлении новых протоколов обмена сообщениями - Вы предлагаете менять трудовые контракты оговаривая в новых редакциях на запрет ? Ну это я конечно утрирую, я тоже согласен, что решение этой проблемы должно происходить на административном уровне (приказ и т.д.) а не на техническом.
Re: icq iptables deny
On Sun, Apr 06, 2003 at 08:24:06PM +0300, Vladimir N.Velychko wrote: On Sun, 6 Apr 2003 16:28:11 +0400 Terehov Gennady [EMAIL PROTECTED] wrote: On Fri, Mar 28, 2003 at 05:13:45PM +0300, Victor B. Wagner wrote: Я бы, правда, на месте этого человека, начал бы подыскивать себе другое место работы, но может быть инициатор треда этого и добивается. Так плохо работать без аськи? Я вот ей никогда не пользовался (предпочитаю асинхронные средства общения). Я много потерял? Ну как объяснить вкус халвы тому, кто её не пробовал? :- Достаточно сказать что он есть :) Но вот беда, мне по аське общаться не с кем :) Только если с женой, компьютер которой стоит в соседней комнате. -- Геннадий Booting... /vmemacs.el
Re: icq iptables deny
Закрыть login.icq.com Да и вообще, из udp можно оставить толко пакеты идущие с/на 53 порт dns-сервера On Thu, 27 Mar 2003 18:55:36 +0300 Филатов Евгений [EMAIL PROTECTED] wrote: Всем доброго дня. Вопрос как средствами iptables закрыть доступ конкретной машины в сети к icq. или максимально затруднить ? Заранее спасибо. С Уважением, Филатов Евгений -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: icq iptables deny
вот нашел ... может кому пригодится iptables -A FORWARD -p TCP --dport 5190 -j REJECT iptables -A FORWARD -d login.icq.com -j REJECT http://testweb.oofle.com/messaging/ICQ/index.htm Филатов Евгений -Original Message- From: Филатов Евгений Sent: Thursday, March 27, 2003 6:56 PM To: debian-russian@lists.debian.org Subject: icq iptables deny Всем доброго дня. Вопрос как средствами iptables закрыть доступ конкретной машины в сети к icq. или максимально затруднить ? Заранее спасибо. С Уважением, Филатов Евгений
Re: icq iptables deny
Здрастсвуйте, On Thu, Mar 27, 2003 at 07:43:07PM +0300, Филатов Евгений wrote: вот нашел ... может кому пригодится iptables -A FORWARD -p TCP --dport 5190 -j REJECT iptables -A FORWARD -d login.icq.com -j REJECT http://testweb.oofle.com/messaging/ICQ/index.htm icq великолепно работает через прокси, который может висеть на несколько нестандартном порту. Как выход - принудительно завернуть все tcp-пакеты на прокси-сервер, а там фильтровать для данного ip контент и заголовки. Кроме того, существует вэбовская версия icq, которой ничего, кроме браузера не нужно. -- Elena Egorova
Re: icq iptables deny
Elena Egorova wrote: Здрастсвуйте, On Thu, Mar 27, 2003 at 07:43:07PM +0300, Филатов Евгений wrote: вот нашел ... может кому пригодится iptables -A FORWARD -p TCP --dport 5190 -j REJECT iptables -A FORWARD -d login.icq.com -j REJECT http://testweb.oofle.com/messaging/ICQ/index.htm icq великолепно работает через прокси, который может висеть на несколько нестандартном порту. Как выход - принудительно завернуть все tcp-пакеты на прокси-сервер, а там фильтровать для данного ip контент и заголовки. Кроме того, существует вэбовская версия icq, которой ничего, кроме браузера не нужно. Нужно. java-апплет там на 5190 коннектится (по крайней мере, так месяц назад было) -- Elena Egorova -- Pasha Kustovmailto:[EMAIL PROTECTED] IATP System Administrator Assistant
Re: icq iptables deny
On 2003.03.27 at 20:11:00 +0200, sixthfish wrote: Здравствуйте, Bogdan. Вы писали 27 марта 2003 г., 18:45:52: B Закрыть login.icq.com B Да и вообще, из udp можно оставить толко пакеты идущие с/на 53 B порт dns-сервера ICQ уже тысячу лет, как работает по TCP. Закрывать нужно 5190 порт (tcp). Закрывать login.icq.com особого смысла нет. Т.к. это пул адресов -- у них прямой dns не равен обратному. Прямой -- всегда login.icq.com, а обратные имена всегда разные. Посему, что именно будет отфильтровывать iptables -- трудно сказать. М.б. адрес, который проресолвит на момент добавления правила в таблицу (не уверен). Есть еще мнение, что login.icq.com хосты слушают чуть ли не все 64K портов :) Именно поэтому их и надо закрывать. Только не тупо, указанием DNS-имени в командной строке iptables, а отрезолвив его посредством host или nslookup, и закрыв все найденные адреса. Причем, вероятно, на уровне сетей класса C.
Re: icq iptables deny
Угу. И вынести при этом значительную часть аоловских сайтов? см. host login.icq.com, затем whois по ним и напоследоп host оп случайным адресам в диапазоне. On Thu, 27 Mar 2003 22:54:58 +0300 Victor B. Wagner [EMAIL PROTECTED] wrote: On 2003.03.27 at 20:11:00 +0200, sixthfish wrote: Здравствуйте, Bogdan. Вы писали 27 марта 2003 г., 18:45:52: B Закрыть login.icq.com B Да и вообще, из udp можно оставить толко пакеты идущие с/на 53 B порт dns-сервера ICQ уже тысячу лет, как работает по TCP. Закрывать нужно 5190 порт (tcp). Закрывать login.icq.com особого смысла нет. Т.к. это пул адресов -- у них прямой dns не равен обратному. Прямой -- всегда login.icq.com, а обратные имена всегда разные. Посему, что именно будет отфильтровывать iptables -- трудно сказать. М.б. адрес, который проресолвит на момент добавления правила в таблицу (не уверен). Есть еще мнение, что login.icq.com хосты слушают чуть ли не все 64K портов :) Именно поэтому их и надо закрывать. Только не тупо, указанием DNS-имени в командной строке iptables, а отрезолвив его посредством host или nslookup, и закрыв все найденные адреса. Причем, вероятно, на уровне сетей класса C. Угу. И вынести при этом значительную часть аоловских сайтов? см. host login.icq.com, затем whois по ним и напоследоп host по случайным адресам в диапазоне. Я проверял.