Я не очень силен в настройках фильтров. Прочитав примеры все же не получается сделать фильтр. Обращаюсь к вам за помощью.

Есть шлюз D-link 604 (на адресе 10.111.111.254)
Есть локальная сеть с адресами 10.111.111.....
Работает DHCP. Я знаю что у конкретного пользователя IP адрес 10.111.111.25.

Требуется пользователю запретить ICQ, но не всем.


Я так понимаю, что нужно сделать фильтр в разделе IP filters.
Делаю фильтр:

Enable
IP address 10.111.111.25-10.111.111.25
Port Range 5110-5195
Protocol Both
Shedule Always


Применяю его.
Презагружаю устройство кнопкой Reboot.
Иду к устройству, дергаю питание.

Аська продолжает работать.......
Что я делаю не так?

сходи telnet-ом по любому порту на login.icq.com и узнаешь

Ну вы не смейтесь особо. Я думаю - не стыдно незнать, стыдно не спросить. Попробовал я telnet-ом на login.icq.com по разным портам (5110-5190, 443) Соединение не проходит. Может телнет вообще закрыт провайдером? Но не суть, смущает другой факт. В D-link'e есть по умолчанию (в разделе фильтры) уже несколько фильтров закрывающие те, или иные порты, я включил запрет на все порты и открыл только TCP 20-21, 80, 110, 25, UDP 53. Что самое интересное, аська молчит - но иногда все же коннект у нее проходит. Я уже всю голову сломал себе. Что ж не так то?????

Попробовал настроить правила - все получилось.
1. На клиенте прописываете в качестве DNS сервера LAN IP роутера (чтобы работала функция Domain Blocking).
2. В роутере создаете два фильтра
IP Filters
Enabled
IP Address - ip адрес Вашего клиента
Port Range - 5190
Protocol - TCP
Schedule - Always

Domain Blocking
Allow users to access all domains except "Blocked Domains"
login.icq.com

Потом перегружаем компьютер клиента и роутер.
Первое правило в IP Filters запретит нормальную работу icq по 5190 порту, второе правило поможет если icq использует http прокси, то есть использует для работы http протокол.

1) А как же быть в таком случае, если требуется отрубить доступ к аське только конкретному пользователю, а не всем? Если учитывать то, что сеть работает по DHCP?

2) Клиент, соответственно легко может убрать прописанный мной DNS сервер, и к тому же может поменять свой IP. Прописать другой? В этом случае как блокировать? по MAC'у?

Мда проблема, неблагодарное это занятие отрубать icq, проще весь трафик зарезать, так как режимов работы icq много: и по 5190 и по http и пользователь может воспользоваться и web icq. Пока простого решения не видно.

Тогда может быть действительно зарубить весь траффик
и выборочно (конкретным IP адресам) включить полный доступ?
Или так сделать невозможно?

Зарубить весь трафик можно с помощью MAC фильтр, IP Filter или FIrewall.