Здравствуйте, у меня стандартная проблемма, есть сетка на 15 компютеров у них статические ip (192.168.0.1/24). Выходят в интернет через устройство dfl-210. Как отключить icq у 10 компьютеров, а у 2 оставить. Пробовал запрещать доступ на сайт "*icq*" через web интерфейс, icq всё равно запускается.
Если не затруднит, то по возможности написать подробно все запрещающие правила и действия.

Я вижу 3 способа запрета icq, но у всех есть недостатки.

1. По номеру порта TCP 5190. Недостатки: Аська работает и по другим портам

2. По подсетям аськи (AoL). Недостатки: Они большие и мне неизвестны

3. По доменным именам серверов. (login.icq.com, login.messaging.aol.com). Недостатки: Вероятно, этими именами не ограничивается.

Также к недостаткам можно отнести то, что существуют службы обмена сообщениями, имеющие шлюзы с аськой, доступные через web-интерфейс.

Более подробно не скажу, т.к. у нас используется только один метод: по порту 5190.

to YuriAM
Напишите подробнее как по порту, а то что то я насчет 5190 пробовал. Не получилось.
А насчет 2-х тем - ошибка вышла сглюк.

Закрытие порта хорошо срабатывает, если политика выпускания пользователей в инет основана на правиле "все запретить", т.е. закрыт весь доступ, кроме явно прописанного. Если же политика - "все разрешить", то закрывать порт 5190 довольно бесполезно. Я сейчас попробовал, она (аська) в этом случае ломится через порт 13, затем 20.

13- daytime udp
20- ftpdata tcp

Aleks1000, в вашем случае, похоже, действительно надо запрещать всё, и разрешать только то что нужно.
или файрволами на компьютерах пользователей.
или политиками виндовса.

зы.
я в похожем случае оставлял открытыми:
tcp&udp - 13(time), 20-21(ftpdata,ftp), 25(smtp), 37(time), 53(dns), 80-83(http), 110(pop3), 123(time), 443(https), 1024-65535(ftppasv-вот тут аська и пролезет), а если фтппасв закрыть, то 1.никто ничего с помощью ие с фтп не скачает, 2.аська все равно через 80 порт будет ломиться.
так что вам на форумы по администрированию виндовса.

Ну понятно, что FTP я закрыть не могу .
Отсюда и вопрос... Нужно прикрывать диапазоны "мираблиса" насколько я понимаю. а как это делается на этом устройстве?

Ну это ты перегнул! Не надо открывать такой диапазон для "ftp". Достаточно создать правило для ftp-passthrough. Оно создается мастером первоначальной настройки.

Фишка в том, что аськины серверы авторизации есть много где, и полный их список неизвестен. Соответственно, прикрывать по IP тоже малоэффективно.

Эх блин такая железка, а это делать не умеет. Опять "usergate" поднимать.

А чем UserGate умнее по этой части?

А там есть пункт запретить Icq

И как он это делает, сниффит ICQ протокол?

Использует шаблок handshake.
Мы планируем запуск до конца года платного обновления сигнатур IDS/IDP. Там есть сигнатура позволяющая блокировать ICQ. Без сигнатур ICQ блокировать только по адресам, например зона AOL.COM:

Коннект по HTTPS тоже зарубит?