ICQ - как заNATить или заMASQарадить?

[Hubbitus]

Человек обратился с просьбой, цитирую:

Цитата:

Имею проблему подключения к ICQ через корпоративный прокси. Дело в том что через нее в аську ломятся очень много юзеров локальной сети, а прокси имеет только один внешний ип. Серверы ICQ воспринимают многочисленные запросы с этого ип как атаку, и соотвественно постоянно блокируют его.
Единственное решение этой проблемы - подключение через корпоративный прокси к внешнему серверу, на котором настроен редирект на сервер ICQ. В этом случае ип адрес будет другой и аська работает нормально.

Если у кого есть возможность, прошу настроить на своем сервере такой редирект на сервер аськи (login.icq.com:5190). Траффик будет мизерный (только от аськи).
я могу подключиться к внешнему серверу только по портам 80, 443 или 6667
Заранее признателен за помощь!

Для тех, у кого есть доступ, вот: http://www.imho.ws/showthread.php?t=117584
(вроде ничего тайного не выдал )
Так вот, я взялся пробросить соединение через себя - действительно, трафика мне не жалко. Но вот тут-то и столкнулся с проблемой весьма серезной, о решении которой и взываю о помощи:
с помощью iptables и стандартных SNAT/DNAT и даже MASQUERADE действией без каких-либо проблем пробрасываю соединение с себя на login.icq.com:5190, НО, вот тут-то и выясняется интересная особенности протоколоа ICQ: оказывается он производит авторизацию, а потом выдает адрес и порт BOS-сервера с которым надо дальше общаться (кому интересно, вот тут этот процесс описан подробно). Итого, что имеем - пройдя стадию авторизации, клиент, который сидит за прокси, получает новый адрес с внешним IP-адресом, по которому и пытается ломиться, что естественно ему не удается при данной организации доступа в сеть.

Таким образом, ищутся идеи, заставить его работать в одно соединение, ну или возможность переписать этот адрес с двух сторон (один раз в ICQ протоколе, при авторизации, подменив на адрес шлюза, второй раз на самом шлюзе, обратно), при этом, получается еще проблема, если даже первую подмену удастся осуществить, нужно где-то между этими пакетами хранить реально выданное значение...

Мне тут посоветовали для винды использовать соксификацию (и программу FreeCap в частности), таким образом, на сколько я понимаю, удастся заставить как раз асечный клиент не ломиться никуда напрямую, а со всеми запросами обращаться к СОКС-серверу. Хорошо, проблемы поставить СОКС на шлюзе, вместо простого перекидывания пакетов нету совершенно. Но, и тут есть одна загвоздка - нужно заставить этот самый соксификатор обращаться к СОКС-серверу через корпоративный обычный HTTP-сервер (читаем исходные в цитате). Такое возможно, и чем, кто может посоветовать??

Кто подскажет, как лучше подобный "проброс" организовать?

При ответах прошу учитывать что на клиенте - Винда (миранда клиент, если принципиально) - на "Шлюзе", через который надо пробросить - Линукс.

[werwulf]

Ищите гуглем зеркала ICQ2go сообщите другу и будет вам и ему счастье без головоломки и гемороя ..
Она для этого и была сделана, чтоб по http работать
другой вариант любая внешняя http прокся пусть даже вы сами и официальный ICQ2go и не нужно множить сущности, хотя я бы уже второй вариант назвал таковым
Ну и если вам после этого пожелается развлечений могу отфоткать главу 16 Технология Socks 5 или как использовать "аську" из локальной сети из Linux сервер своими руками Колесниченко, только тогда мыло в личку бросьте, на которое хотите это принять там не больше 10 страниц
PS
А для начала посоветовал icq2go просто без внешней прокси попробовать, а только с корпоративной ))

[Hubbitus]

Цитата:

Сообщение от werwulf

Она для этого и была сделана, чтоб по http работать

ICQ2Go, meebo всякие и другие похожие ВЕБ-клиенты это-то все понятно, речь-то не о них, как Вы могли прочитать, а о традиционных.

Цитата:

Сообщение от werwulf

Ну и если вам после этого пожелается развлечений могу отфоткать главу 16 Технология Socks 5 или как использовать "аську" из локальной сети

Вот если бы "Технология Socks 5 или как использовать "аську" из локальной сети за Прокси", тогда да. А так я прекрасно представляю что такое Сокс, и как им пользоваться, в том числе в аське. Проблема-то в другом, если Вы внимательно читали - как организовать доступ к Сокс-серверу из-за HTTP-прокси!!

[werwulf]

Цитата:

Сообщение от Hubbitus

Вот если бы "Технология Socks 5 или как использовать "аську" из локальной сети за Прокси", тогда да. А так я прекрасно представляю что такое Сокс, и как им пользоваться, в том числе в аське. Проблема-то в другом, если Вы внимательно читали - как организовать доступ к Сокс-серверу из-за HTTP-прокси!!

я то внимательно прочитал из того, что доступно, ваша вторая ветка для меня не видна, вы это и сами понимаете
Вопрос, а все ли вы написали сразу ..
Какая нафиг http-прокси рулящая доступом по 443 порту, а тем паче с открытм портом русского мирка, шутить изволите?
Стадия первая ваш друг прописал login.icq.com:443 ( не по 5190 ый у него закрыт), но из-за того, что сутра ломится весь офис мираблис шлет часть коннектов, то ему не нравится такая фигня ( приходить на работу а 5 мин раньше или на 10позже включать асю он не может ), мне, честно говоря, сложно представить размер конторы которая на такое способна там должно быть компов 200, уж точно не меньше 100 (я уж скорее поверю в то, что кто-то режет число сессий по каким-то правилам) ...
Вы сделали проброс на login.icq.com:5190 через себя статической записью, а теперь у вас проблема, что клиент на полученный серв BOS не хочет лезть через вас и теперь вы хотите все соединения по порту 5190 завернуь на себя или что-то вроде этого внешними костылями.
Так ведь, скажите в чем я не прав?
но я не понимаю зачем это нужно..
если вы в настройках клиента скажите через, что ломиться, то он через это ломиться и будет - сам без внешней помощи. вы у себя просто должны открыть на соксе порт, на который ваш друг может вломиться - один из трех, что он вам перечислил и все.

[Hubbitus]

Цитата:

Сообщение от werwulf

я то внимательно прочитал из того, что доступно, ваша вторая ветка для меня не видна, вы это и сами понимаете

Я процитировал весь вопрос выше. В другой ветке по конкретно этой проблеме, технической части, больше ничего нету.

Цитата:

Сообщение от werwulf

Какая нафиг http-прокси рулящая доступом по 443 порту, а тем паче с открытм портом русского мирка, шутить изволите?

Нет. НЕ я админю проксю - что уж открыто то и открыто. Такие исходные данные. Что Вам не нравится?

Цитата:

Сообщение от werwulf

приходить на работу а 5 мин раньше или на 10позже включать асю он не может

Ну и подобные размышления о числе компов в конторе предлагаю оставить за бортом обсуждения. Предложения типа "поставить бутылку админу/поймать админа и побить" тоже давайте оставим для ЛОРа пожалуйста.

Цитата:

Сообщение от werwulf

Вы сделали проброс на login.icq.com:5190 через себя статической записью, а теперь у вас проблема, что клиент на полученный серв BOS не хочет лезть через вас и теперь вы хотите все соединения по порту 5190 завернуь на себя или что-то вроде этого внешними костылями.
Так ведь, скажите в чем я не прав?

Да, именно, постановка задачи именно такая. Разве что не обязательно по этому порту - для меня в сущности нету разницы по какому порту будут соединения.

Цитата:

Сообщение от werwulf

но я не понимаю зачем это нужно..

Причина зачем это организовываем для человека - выше, я не думаю что нам стоит убеждать Вас в ее важности, извините.

Что же касается технических проблем:

Цитата:

Сообщение от werwulf

если вы в настройках клиента скажите через, что ломиться, то он через это ломиться и будет - сам без внешней помощи.

Будет, подтверждаю. Только вот незадача, там сказано ломиться через корпоративный проксик, а отнюдь не через мой сокс, который за ним. И настроек выстраивания проксей в цепочку в обычном ICQ-клиенте тоже нет! Поэтому новые коннекты от проксика на BOS-сервер пытаются идти напрямую, минуя мой шлюз. Вот этому решение и ищется в принципе. Причём можно на любой стороне, как клиента так и шлюза.

[werwulf]

Hubbitus, не нужно горячиться, нужно думать и анализировать )
Размышления нельзя вообще никогда оставлять ибо только они могут выявить дополнительные грабли.
К третьей итерации мы уже дошли до сути, возможно не всей...
а суть в том, что у вашего комрада не HTTP прокся, она не умеет пробрасывать ирки, хттпс и ICQ (вот сложно вам было сразу написать, что она прописана в свойствах подключения миранды - мыслестранники всегда в отпусках, а из ваших сообщений рисовалось нечто непонятное и непостижимое до сего момента), а нечто другое и весьма.
Смотрите сюда:
http://www.freeproxy.ru/ru/free_prox...nect_proxy.htm (раздел доп информации и о проге http port )
И еще посмотрите такую игрушку как httptunnel, может оно вам и сгодится/ Ну и гугль разыщет аналоги и решения

[Hubbitus]

Ок, может я тоже слегка погорячился, прошу прощения, но по большому счету я лишь отвечал на выпад...


Вернёмся к проблеме:

Цитата:

Сообщение от werwulf

а суть в том, что у вашего комрада не HTTP прокся, она не умеет пробрасывать ирки, хттпс и ICQ

Хм... Помоему в первоначальной постановке ясно написано что она-таки пробрасывает ICQ, и более того, через эту проксю, с единственным внешним IP сидит толпа народу, что собственно и является главной проблемой.

Цитата:

Сообщение от werwulf

вот сложно вам было сразу написать, что она прописана в свойствах подключения миранды - мыслестранники всегда в отпусках, а из ваших сообщений рисовалось нечто непонятное и непостижимое до сего момента), а нечто другое и весьма.

А что рисовалось из моих сообщений? Вы бы спросили, я бы ответил Я думал что и так понятно что если миранда работает с ICQ через прокси, то этот прокси и прописан в ее настройках. А как может быть иначе-то?? Если бы имело место прозрачное проксирование, то есть на уровне правил фаервола заруливание нужного трафика на прокси на сервере, то клиенты даже и не знали бы что их проксируют в общем-то, для них все было бы как просто за НАТом.

Да, про httpport, httphost сразу говорили, я не стал о нем писать, поскольку он виндовый, даже серверная часть. У них на сайте, в FAQ есть впринципе упоминание что оно не плохо работает и под эмуляцией wine'а, но мол, никто ничего не подтвердил по этому поводу... В общем уж очень хочется обойтись пока без такого изврата.

На подобные вещи, как упомянутый httptunnel, а также нашёл ещё httppc, proxytunnel, desproxy, transconnect, transproxy смотрю, предложил попробовать. Правда очень хотелось бы чтобы кто-то поделился опытом, если он есть...

[werwulf]

ну и меня прошу простить, если дал повод, вообще изначально и в мыслях не было ..
Просто рисовалась обычная хттп прокся и чего-то еще запряженное в параллель, что подрезает ненужные порты )
опыта работы с такими прогами нет, тут мне поделиться нечем, есть опыт в другом - в представлении как натятся большие сетки, да, там немного другие условия и т.п. но в ЧНН число асечных сессий будет, думаю, сопоставимо, масштаб озвучен выше.. Возможно, это косвенный признак каких-то других граблей ..