Доброго всем времени суток!
Недавно всплыла проблема с блокировкой icq, помогите пожалуйста её решить. Небольшая компания, пользователи ходят в интернет через прокси-сервер на win 7 pro и UserGate 5.4. Основной шлюз в настройках сетевой карты не прописан, шлюз прописывается в браузере и icq клиенте. Грубо говоря пользователи разделены на 2 группы: 1 - те у кого работает всё и 2 - те у кого работает только почта. У 2-й группы если не прописывать шлюз в icq и прописать его в настройках сетевой карты icq клиент начинает работать т.е. icq каким-то образом обходит UserGate. В брандмауэре на проксе заблокировал порты 5190 и 443, но icq всё равно подключается. Подскажите, в какую сторону копать?

WayneX, Установите нормальный шлюз а не UserGate под виндой.
И не занимайтесь извращениями типа не прописного шлюза а постройте сеть нормально.

UserGate под виндой. »

А чем UG плох? ПО на твердую 4. Причем для начинающего админа проще будет разобраться с UG, нежели с Керио.

WayneX, правило #NONUSER# каким образом настроено - на запрет или разрешение?

WayneX, запретить все кроме почтовых портов

А чем UG плох? »
Тем что он кривой до безобразия и его стоимость не оправданна не разу.
Так же не одна крупная компания не станет его использовать из за ограниченного функционала.
нежели с Керио. »
Шило на мыло. Kerio такая же ерунда как и UG.

WayneX, Вот (http://usergate.ru/support/forum/index.php?PAGE_NAME=read&FID=11&TID=8045&MID=s)

правило #NONUSER# каким образом настроено - на запрет или разрешение? »
правило #NONUSER# выключено
Источник - Любой
Назначение - Любой
Сервисы ANY : FULL
Действие - Разрешить
Тип правила - FW

запретить все кроме почтовых портов »
Где запретить?

Установите нормальный шлюз а не UserGate под виндой. »
Так и знал, что без советов Кэпа не обойдется....
Настроил на виртуалке Squid на FreeBSD, показал начальству, начальство сказало не заниматься ерундой и работать с тем что есть.

А чем UG плох? »
1- Закрытость кода
2- Отсутствие должного функционала для основного шлюза сети
3- Закрытость bug report что не дает возможности оценить риски перед покупкой
4- Цена

Настроил на виртуалке Squid на FreeBSD, показал начальству, начальство сказало не заниматься ерундой и работать с тем что есть. »
Что показали? Лог squid?
Правильно сделали что Вас послали раз не смогли сделать человеческие отчеты.
И почему только Squid? А где squidguard и ipcad хотя бы?
Что то мне кажется что вы нечего не делали.

Rezor666, :)

WayneX, делаете правило на запрет: УПРАВЛЕНИЕ ТРАФИКОМ - ПРАВИЛА - ЗАПРЕТ ICQ в URL пропишите адрес "аськи". Назначить правило пользователю (группе). По идее. Но у нас "облачный фильтр" всё блокирует.
Вот тут интересно написано: http://usergate.ru/support/forum/index.php?PAGE_NAME=read&FID=3&TID=6905&MID=s

Rezor666, »
Вспомнил свою тему? :)

Представьте как многие пользователи купившие продукт удивились когда у них зависает сервер а админ пишет
Приветствую!
1. О проблеме знаем, сейчас это наш приоритет. Не могу сказать когад найдем и поправим, но определнные успехи в отлове баги уже есть.
2. Есть подозрение на совместимость с любой гигабитной сетевой картой. Попробуйте перевести гигабитную сетевую карту в режим 100 мегабит.
3. Интересно будет получить ответ о том помогло или нет ..
4. Если есть возможность поменяйте сетевые карты на чистые 100 мегабит.

Что показали? Лог squid?
Правильно сделали что Вас послали раз не смогли сделать человеческие отчеты.
И почему только Squid? А где squidguard и ipcad хотя бы?
Что то мне кажется что вы нечего не делали. »
Кэп всё не уймется...
Нет, не логи Squid. Поленился всё писать сразу, но раз уж так интересно, то я поднимал связку Squid+SAMS+Rejik и PF. Начальству показал SAMS, что вот мол пользователи, группы, статистика и т.п. А не согласилось начальство потому, что не видит смысла в переходе на это всё, ведь нужно приостановить работу в интернете и выделить какую-нибудь машинку для "обмена" проксями, а самое страшно, что если я уволюсь, то придется искать "линуксоида", а это уже совсем другие деньги... Кроме того и UG работает, да есть небольшие огрехи, но начальство они вообще не парят...
делаете правило на запрет: УПРАВЛЕНИЕ ТРАФИКОМ - ПРАВИЛА - ЗАПРЕТ ICQ в URL пропишите адрес "аськи". Назначить правило пользователю (группе). »
В том-то и дело, что есть такое правило.

Повторюсь, если адрес прокси прописан в icq-клиенте и браузере, то UG всё блокирует, а если вписать основной шлюз, а в icq-клиенте и браузере ничего не указывать, icq-клиент начинает работать. Т.е. ощущение, что icq "обходит" UG и в инет её пускает винда, а не UG.

Rezor666, сквид изучаю.

ведь нужно приостановить работу в интернете и выделить какую-нибудь машинку для "обмена" проксями »
1- Зачем приостанавливать? Такие вещи делаются в не рабочее время.
2- Зачем машинку? Чем гипервизоры плохи?
а самое страшно, что если я уволюсь, то придется искать "линуксоида" »
Когда я уходил с работы то оставил сервера на эникея, и нечего, не одного звонка не было :)

И раз я КЭП то чего вы просто не пойдете на форум UG и не пожалуйтесь? Они Вам расскажут как настроить а если это бага то заведут баг репорт.
Rezor666, сквид изучаю. »
Что так? Не устроил все же UG?

Rezor666, пока устраивает - ФСТЭК его стратифицировал ибо. А это очень надо.
Для себя )))

WayneX, кто интернет раздает? Ссылку на офсайт смотрели?

1- Зачем приостанавливать? Такие вещи делаются в не рабочее время.
2- Зачем машинку? Чем гипервизоры плохи? »
Всё верно, вот только не рабочее время мне никто не оплатит.
Гипервизоры говорите...
Когда я уходил с работы то оставил сервера на эникея, и нечего, не одного звонка не было »
Видимо с эникеем повезло.
И раз я КЭП то чего вы просто не пойдете на форум UG и не пожалуйтесь? »
Называя кого-то Кэпом, я ни в коем случае не хочу обидеть или оскорбить, это я к тому, что я же не спрашиваю на что мне сменить UG, я задаю вполне конкретный вопрос и прошу помощи в решении конкретной проблемы, но всегда на любом форуме находятся люди которые начинают обсирать виндоус и нахваливать линукс. Если бы я спросил на что мне сменить UG, я бы поблагодарил за ваши советы, но я этого не делал. Вы думаете я не в курсе, что винда и UG далеко не самое лучшее решение для шлюза?
Я обращался в саппорт UG, они сказали, что UG ни при чем, он настроен корректно. Я перепробовал всё, что считал хоть сколько-нибудь адекватным и не получив результата решил спросить здесь.

Rezor666, пока устраивает - ФСТЭК его стратифицировал ибо. А это очень надо. »
Ну использовали бы ИКС (http://xserver.a-real.ru/), полный клон pfsense так еще и за деньги.
Но зато с ФСТЭК...
И кстати дешевле и функциональнее чем UserGate.

кто интернет раздает? Ссылку на офсайт смотрели? »
Вообще ничего не понял...

Всё верно, вот только не рабочее время мне никто не оплатит. »
Вам жалко потратить один час вне рабочего времени что бы потом спать спокойно?
Гипервизоры говорите... »
Говорю, а что?
Видимо с эникеем повезло. »
Неа, просто все стабильно работает.
Если грохнут то не восстановят
Я обращался в саппорт UG, они сказали, что UG ни при чем, он настроен корректно »
Ну тогда пляшите с бубном или задумайтесь все таки о том что бы убедить начальство сменить эту ерунду.

Говорю, а что »
Ничего, а что?
Неа, просто все стабильно работает.
Если грохнут то не восстановят »
Видимо моё начальство дальновиднее и понимает, что если упадет, то виндузятник не поднимет.
Ну тогда пляшите с бубном или задумайтесь все таки о том что бы убедить начальство сменить эту ерунду. »
Спасибо, ценный совет!

WayneX, схема сети какая - какое устройство раздает интернет?