Программа обмена мгновенными сообщениями ICQ использует определенный порт для подключения к серверу службы. Чтобы запретить использование программы ICQ в локальной сети, нужно в модеме с помощью фильтров запретить передачу трафика по этому порту и IP-адресу сервера службы (login.icq.com).
Можно также воспользоваться функцией контентной фильтрации, в случае если модем поддерживает данную возможность.

Например, для запрета на использование ICQ в модеме нужно блокировать сетевой трафик использующий порт 5190/tcp (по умолчанию используется этот порт при подключении к login.icq.com), и блокировать все запросы на IP-адрес сервера службы login.icq.com, т.е. на IP-адрес 64.12.202.116.

При использовании фильтрации сетевого трафика нужно помнить, что служба ICQ может изменять номер порта и IP-адрес сервера.

Для большей безопасности локальной сети рекомендуется использовать в настройках межсетевого экрана (Firewall) или фильтрации трафика только разрешающие правила для работы по определенным портам (например, порт 80/http для веб-трафика, порты 25/smtp и 110/pop3 для трафика сервера электронной почты), при этом передача сетевого трафика, использующего другие порты, будет запрещена.

Помимо фильтрации по портам, также можно настроить блокировку сетевого трафика на основе доменных имен серверов (например, *icq.com*), а также по диапазону подсети (например, диапазон подсети icq.com - 64.12.0.0/255.255.0.0 и 205.188.0.0/255.255.0.0).

Для блокирования веб-сайтов Odnoklassniki, vkontakte, icq и др. в качестве стандартного решения рекомендуется использовать функцию контентной фильтрации (блокировка доступа к интернет-ресурсам нежелательного содержания по ключевым словам), которая реализована в ADSL интернет-центрах ZyXEL со встроенным 4-х портовым Ethernet-коммутатором (P-660HT, P-660HTW, P660HT2 и P660HTW2). В модемах, в которых отсутствует функция контентной фильтрации, можно блокировать доступ к ресурсам по IP-адресу их веб-сервера, создав соответствующие фильтры.

В ADSL интернет-центрах P-660HT, P-660HTW, P660HT2 и P660HTW2 имеется функция межсетевого экрана и рекомендуется настраивать блокировку трафика по IP-адресу или диапазону подсети через Firewall.

Ниже показан пример настройки в модеме (интернет-центре) фильтрации сетевого трафика для запрета на использование программы ICQ в локальной корпоративной сети.

Настройку фильтрации сетевого трафика нужно производить через SMT-меню (о том, как подключиться к SMT-меню устройства и как им пользоваться, написано в статье KB-1847), но в некоторых устройствах (P660RT2, P660HT2, P660HTW2) настройка возможна через веб-конфигуратор. Посмотреть пример настройки фильтрации трафика на основе IP- и MAC-адресов через веб-интерфейс можно в следующей статье: KB-1863).

В операционной системе Windows нажмите Пуск – Выполнить… и в открывшемся окне наберите команду telnet <ip-адрес модема> и нажмите кнопку OK (по умолчанию в модеме установлен IP-адрес 192.168.1.1).
После этого появится приглашение ввести пароль для входа в настройки модема (по умолчанию в модеме установлен пароль 1234).
После успешной авторизации вы увидите основное меню модема. Зайдите в меню 21 - Filter and Firewall Setup (в некоторых модемах этот пункт меню называется Filter Set Configuration).

Затем зайдите в подменю 1 - Filter Setup.

Вы окажетесь в меню 21.1 - Filter Set Configuration. В этом меню отображаются все существующие наборы фильтров (Filter Set).

Из нашего примера видно, что в модеме уже существуют наборы фильтров под номерами 2, 3 и 4. Для создания нового набора фильтров (например, под номером 1) нужно в поле Enter Filter Set Number to Configure ввести номер фильтра - 1 и в поле Edit Comments вписать название создаваемого фильтра (например назовем фильтр Block_ICQ). Нажмите Enter для подтверждения и сохранения сделанных настроек. Далее вы окажетесь в меню 21.1.1 - Filter Rules Summary, в котором отображаются правила фильтрации, входящие в данный набор фильтров.

В одном наборе фильтров можно создать 6 правил фильтрации. Введите номер правила которое вы хотите создать (например, создаем правило с номером 1).

В нашем примере будут созданы два правила фильтрации сетевого трафика: первое правило фильтрации по порту и второе правило фильтрации по IP-адресу.
В поле Filter Type должно быть установлено значение TCP/IP Filter Rule для настройки правил TCP/IP. В поле Active установите значение Yes для включения данного правила. В поле IP Protocol может быть установлено одно из четырех возможных значений (ICMP=1, TCP=6, UDP=17, ALL=0). В нашем примере в поле IP Protocol установлено значение 6, т.к. используется TCP-порт. В разделе Destination (Назначение) в поле Port # укажите номер порта, который будет проверяться в сетевом пакете. Номер порта нужно указывать только в разделе Destination, т.к. в сетевом пакете это будет порт назначения (его и нужно блокировать).

Важно! Нельзя указывать номер порта сразу в двух разделах (Destination и Source), в этом случае правило не будет отрабатываться.
Важно! Если настраивать правило фильтрации по умолчанию, то в поле Port # Comp (в данном поле нужно указать логическое действие между заданным значением номера порта и значением, получаемым из приходящего сетевого пакета) установлено значение None (в этом случае параметр, указанный в поле Port #, не проверяется).
Поскольку в данном правиле выделяется TCP-трафик (в поле IP Protocol установлено значение 6), после такой настройки доступ к устройству будет невозможен. В поле Port # Comp установите значение Equal (искать в сетевом пакете номер порта, равный тому, который указан в поле Port #), и тогда фильтр будет работать правильно. 

В поле Action Matched (Действие при соответствии) укажите значение Drop (Блокировать), а в поле Action Not Matched (Действие при несоответствии) укажите Check Next Rule (Проверить следующее правило). Нажмите Enter для сохранения правила.

Создайте следующее правило для запрета сетевого трафика, отправляемого на IP-адрес 64.12.202.116 (login.icq.com).

Существуют поля Destination IP Addr (IP-адрес назначения) и Source IP Addr (IP-адрес источника), в которых указываются соответственно IP-адрес назначения и IP-адрес источника пакета. В нашем случае мы должны указать IP-адрес назначения. В полях IP Addr и IP Mask укажите соответственно IP-адрес и маску подсети. В нашем примере нужно указать IP-адрес 64.12.202.116 и маску 255.255.255.255, т.к. нужно запретить доступ к одному конкретному IP-адресу.
В поле Action Matched (Действие при соответствии) укажите значение Drop (Блокировать).

Важно! В последнем правиле фильтрации в поле Action Not Matched (Действие при несоответствии) нужно установить значение Forward (Переслать) для запрещающего правила или значение Drop (Блокировать) для разрешающего правила. Это нужно для определения действий со всеми сетевыми пакетами, не подходящими под указанные в фильтрах правила.

Таким образом, модем будет просматривать все входящие пакеты на наличие в них указанного номера порта и IP-адреса и выполнять действие - блокировать (Drop) или пересылать (Forward) эти пакеты.

В меню 21.1.1 - Filter Rules Summary вы увидите созданные правила фильтрации.

Чтобы созданный в меню 21 фильтр Block_ICQ стал активным, его нужно присоединить к интерфейсу WAN (меню 11.5).

Зайдите в меню 11.1 - Remote Node Profile, в поле Edit Filter Sets (Редактировать наборы фильтров) установите значение Yes (Да) и нажмите Enter.

Вы окажетесь в меню 11.5 - Remote Node Filter. В нашем примере фильтр будет применен к исходящим (Output) данным WAN-интерфейса модема. В разделе Output Filter Sets в поле protocol filters укажите номер созданного набора фильтра. В нашем примере был создан набор фильтров Block_ICQ с номером 1.

Важно! Рекомендуем применять фильтры к WAN-интерфейсу модема, чтобы при неправильной настройке исключить возможность потери доступа к устройству.

Таким образом, модем будет блокировать передачу трафика через порт 5190/tcp и при обращении к IP-адресу сервера службы login.icq.com. В этом случае пользователи локальной корпоративной сети не смогут пользоваться ICQ.

Примечание: дополнительную информацию по использованию и настройке фильтрации TCP/IP-пакетов в устройствах ZyXEL можно получить из следующей статьи в Базе знаний - KB-1336 и из Руководства пользователя.

Для устройств, в которых отсутствует SMT-меню и возможность настройки фильтров через веб-конфигуратор, фильтрацию сетевого трафика можно настроить с помощью специальных команд. Для указанного выше примера настройка фильтра будет выглядеть следующим образом:

/*Создайте первое правило фильтрации по порту, в котором нужно запретить передачу трафика через порт 5190/tcp и указать проверять следующее правило. */

sys filter set index 1 1
sys filter set name 1 Block_ICQ
sys filter set type tcpip
sys filter set enable
sys filter set protocol 6
sys filter set destport 5190 compare type=equal
sys filter set actmatch drop
sys filter set actnomatch checknext
sys filter set save
sys filter set display 1 1

/*Создайте второе правило фильтрации по IP-адресу, в котором нужно запретить доступ к IP-адресу сервера службы login.icq.com и указать действие для остального трафика (в нашем примере указано значение Forward).*/

sys filter set index 1 2
sys filter set type tcpip
sys filter set enable
sys filter set protocol 0
sys filter set destip 64.12.202.116 255.255.255.255
sys filter set actmatch drop
sys filter set actnomatch forward
sys filter set save
sys filter set display 1 2

/*Чтобы созданный фильтр Block_ICQ стал активным, его нужно присоединить к WAN-интерфейсу к исходящим данным.*/

wan node index 1
wan node filter outgoing tcpip 1
wan node save

Дополнительную информацию по настройке фильтров из режима командной строки можно получить из следующей статьи в Базе знаний - KB-1687