Lancom 1711 ICQ blockieren

admg · Beitrag von **admg** » 18 Dez 2006, 16:14

Hallo,

ist es möglich ICQ über die Firewall zu blockieren? Ich habe schon verschiedenste Einstellungen versucht aber ICQ geht trotzdem. Danke für eure Hilfe.

filou · Beitrag von **filou** » 19 Dez 2006, 07:11

Moin admg,

Du schreibst kein Wörtchen davon, was du bisher versucht hast und welche Strategie deine Firewall verfolgt. Hast du überhaupt eine FW-Strategie eingerichtet. Gibt es eine Deny-All-Regel? Hast du überhaupt Regeln, oder gibt es nur NAT?

Bei letzterem oder einer Allow-ALL-Strategie, kannst du mal versuchen, die ICQ-Ports http://de.wikipedia.org/wiki/Port_(Protokoll) zu stopfen.

Besser wäre jedoch eine Deny-All-Strategie, bei der du erstmal alle Ports und Protokolle blockierst und dann gezielt die benötigten freischaltest.

admg · Beitrag von **admg** » 19 Dez 2006, 07:56

Hallo filou,

es gibt nur zwei Regeln die die VPNs betreffen. Sonst ist alles erlaubt. Ich habe schon versucht die Ports zu blockieren, habe mich aber nur an den 5190 gehalten. Vielleicht lag da der Fehler. Ich werde mich heute noch mal dran setzen.

admg · Beitrag von **admg** » 19 Dez 2006, 08:24

Hallo,

ich habe eine neue Regel erstellt und alle ICQ Ports gesperrt. Leider findet ICQ seinen Weg über 443 und 80 nach außen. Ich werde mich wohl damit abfinden müssen das es so leicht nicht zu unterbinden ist.

Gruß admg

Dilbert · Beitrag von **Dilbert** » 04 Mär 2007, 14:13

admg hat geschrieben:ich habe eine neue Regel erstellt und alle ICQ Ports gesperrt. Leider findet ICQ seinen Weg über 443 und 80 nach außen. Ich werde mich wohl damit abfinden müssen das es so leicht nicht zu unterbinden ist.

Hi!

Na das geht schon! Du musst dann aber einen Proxy im Netz installieren und alle PCs im Netzwerk per Firewall-Regel im LANCOM zwingen, diesen Proxy zu verwenden. Im Proxy kannst Du dann den HTTP/HTTPS-Traffic viel genauer filtern als dies mit einem Paketfilter (wie im LANCOM) möglich wäre.

Ich würde die den Squid-Proxy empfehlen. Der ist Open Source und ist sowohl für Linux als auch für Windows verfügbar. Beide Varianten laufen sehr stabil und laufen auch als Daemon bzw. Dienst.

Im Squid müsstest Du folgende Konfigurationseinträge machen:

acl ICQ dstdomain login.icq.com
http_access deny ICQ

Für den MSN-Messenger geht das so:
acl MSN req_mime_type ^application/x-msn-messenger$
http_access deny MSN

Bei ICQ kannst Du statt login.icq.com natürlich auch den kompletten Zugriff auf icq.com sperren. Dann können sich die Benutzer ICQ auch nicht herunterladen.

Im LANCOM erlaubst Du HTTP und HTTPS dann nur noch für den Proxy. Alle PCs müssen dann den Proxy verwenden um ins Netz zu gelangen.

- Dilbert -