главная / о локальной сети / фаервол AtGuard 3.22 + руссификация / Настройка AtGuard для работы с ICQ

Настройка AtGuard для работы с ICQ

 

По опыту обслуживания клиентов нашей фирмы я знаю, что наибольшей трудностью при самостоятельном составлении системы правил файрвола является организация нормальной работы ICQ. Обычно, для того, чтобы заставить ICQ работать через файрвол, пользователи создают настолько "либеральную" систему правил, что смысл файрвола просто сводится на нет. Именно поэтому бытует мнение, что аська вообще не способна нормально работать с файрволом. Но, к счастью, это не так. Попробуем разобраться, как можно настроить файрвол, чтобы добиться полноценной работы с ICQ без значительного ущерба безопасности компьютера. Но, для начала, буквально несколько слов о самих файрволах, точнее об их типах.

Итак, все файрволы можно условно разделить на два типа: корпоративные и персональные. Как следует из названий, корпоративные файрволы предназначены для защиты корпоративных локальных сетей, а персональные - отдельных компьютеров. Следует, однако, заметить, что чёткой границы между корпоративными и персональными файрволами нет: например, один из лучщих персональных файрволов AtGuard, при использовании программной маршрутизации на компьютере, где он установлен, легко позволяет осуществить защищённый доступ к Интернету целой подсети (при не очень большом внешнем траффике, разумеется).

Корпоративные файрволы, как правило, аппаратные, а персональные - программные, т.к. от корпоративных файрволов требуется значительно большая пропускная способность. Но нас больше интересует другое различие между этими двумя типами файрволов: персональные файрволы, в отличие от корпоративных, позволяют создавать правила с привязкой к конкретным приложениям, запущенным на данном компьютере, в то время как корпоративные файрволы позволяют задать только IP-адрес машины и номер порта. При работе ICQ это различие становится принципиальным по следующей причине: ICQ использует достатончно большой диапазон портов, поэтому без привязки к файлу ICQ.EXE система правил для работы ICQ может открыть слишком большое количество "дырок". Поэтому, для безопасной работы с ICQ требуется обязательное наличие персональных файрволов на всех машинах с установленным ICQ. Если при этом используется также корпоративный файрвол, его система правил, в отношении машин c ICQ-клиентами, должна практически полностью повторять систему правил персональных файровлов этих машин, образуя, таким образом, два уровня защиты:

  • предварительный (с высокой пропускной способностью, но без привязки к конкретным приложениям)
  • основной (где IP-пакеты фильтруются с учётом того, какое приложение использует запрашиваемый порт)
  • Эти два уровня как бы подстраховывают друг друга: с одной стороны, предварительных уровень позволяте избежать перегрузки низкопроизводительного персонального файрвола флуд-атаками, с другой стороны, персональные файрволы защищают, например, от троянов, которые используют порты, через которые обычно работает ICQ. Кроме того, корпоративный файрвол - единственная преграда для некоторых современных троянов, "научившихся" отключать персональные файрволы.

    Естественно, подобная двухуровневая схема - не панацея, но она позволяет присечь достаточное количество типичных сетевых атак. В этой статье мы будем говорить именно о правилах для персонального файрвола, подразумевая, что правила корпоративного файрвола будут повторять их с учётом вышесказанного.

    Теперь о системе записи правил в этой статье. Мы исходим из того, что вы будете использовать AtGuard, либо любой другой файрвол с аналогичными возможностями. Все правила записаны в следующем формате (здесь варианты ключевых слов разделены символом "|"):

    Правило номер_правила: Permit|Block путь_к_приложению inbound|outbound|either TCP|UDP local local_address_or_local_range:local_port_or_port_range remote remote_address_or_address_range:remote_port_or_port_range

    В дальнейшем, мы будем набирать название правила (до первого двоеточия) полужирным шрифтом, а остальную часть правила - обычным.

    Клиент ICQ99

    Итак, мы хотим заставить аську работать через файрвол. Попробуем, для начала, обратится к первоисточникам, т.е. к информации на сайте http://www.icq.com/. Что же там пишут? Читаем:

    "ICQ must be able to communicate with the ICQ server. This is done via port 4000 UDP to icq.mirabilis.com (please note - allow a bidirectional connection to the port for icq.mirabilis.com and not any specific IP address, since it stands for more than one IP address). Client to client communication: Client to client connection is done using the TCP protocol, using port range 1024 - 65535. this means that the client needs an open listening port within the mentioned range - 1024 to 65535."

    М-да, вариант конечно не очень "защищённый", но всё равно попробуем, хотя сразу понятно, что работать он не будет. Итак прописываем правила:

    Правило 1: Permit C:PROGRAM FILESICQICQ.EXE outbound UDP local any:1024-5000 remote icq.mirabilis.com:4000
    Правило 2: Permit C:PROGRAM FILESICQICQ.EXE inbound UDP local any:1024-5000 remote icq.mirabilis.com:4000
    Правило 3: Permit C:PROGRAM FILESICQICQ.EXE inbound TCP local any:1024-65535 remote any:1024-65535

    Обратите внимание на ограничение диапазона локальных портов в правилах 1 и 2. Это несколько сужает диапазон портов, через которые ICQ будет общатся с сервером. Более узкий диапазон нежелателен, т.к. в этом случае может теряться часть UDP-датаграмм. В более широком диапазоне, как правило, нет необходимости. В правиле 3 мы также ограничили диапазон портов, с которых удалённый ICQ клиент может запросить соединение с нашей машиной, т.к. порты ниже 1024 для этих целей всё равно не используются.

    Ну что ж, вроде бы всё сделали правильно (точнее, по инструкции). Запускаем ICQ, и... ничего. Аська не может найти свой сервер. Что, впрочем, совсем неудивительно: создатели ICQ, очевидно, достаточно сильно любят себя и своё доменное имя, и решили, что любой компьютер мира "с ходу", без всяких там служб DNS, понимает адрес icq.mirabilis.com, точно так же, как localhost :)

    Ладно, нам - не жалко: поможем компьютеру "вспомнить" этот адрес. Добавим правило для работы ICQ-клиента с DNS-сервером. Если ваш DNS-сервер, например, имеет адрес 10.10.10.10 и работает через порт 53 (как ему и положено), это правило будут иметь такой вид (правило двунаправленное, т.к. необходимо послать запрос и получить ответ):

    Правило 4: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:any remote 10.10.10.10:53

    Кстати, свой "родной" DNS-сервер ICQ тоже использует, т.ч. добавим ещё одно DNS-правило (хорошо ещё, что в данном случае нам не придётся расписывать все диапазоны адресов, т.к. пользовательская DNS-служба стоит только на одном сервере Мирабилиса):

    Правило 5: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:any remote icq.mirabilis.com:53

    Вновь запускаем аську, она находит свой сервер, усиленно пытается на нём зарегистрироваться, и... опять ничего. В чём же дело, ведь теперь всё, вроде бы, правильно?!

    Правильно, но не совсем. Дело в том, что что этот самый icq.mirabilis.com - не какой-нибудь там одиноко стоящий компьютер, а целая система серверов, имеющих разные IP. И далеко не всегда обратное DNS-преобразование этих IP даёт icq.mirabilis.com. Может получится и icq1.mirabilis.com, и совсем уж нечитаемая абракадабра. Поэтому файрвол и не пропускает ответы от сервера, "не воспринимая" его как icq.mirabilis.com. Что же делать? Проще всего просто создать правила для всего диапазона адресов, используемых ICQ, и заменить ими правило 2 (а заодно и сделать их двунаправленными, чтобы исключить правило 1). У меня эти правила выглядят так:

    Правило 1-2a: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:1024-5000 remote 205.188.153.97-205.188.153.116:4000
    Правило 1-2b: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:1024-5000 remote 205.188.179.33-205.188.179.42:4000
    Правило 1-2c: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:1024-5000 remote 205.188.254.209:4000

    Эти диапазоны адресов проверены в течение последних двух лет и всегда позволяли обеспечить нормальную работу аськи, что, тем не менее, не исключает их изменение в будущем. Так что, как любят говорить американцы, be tuned!

    ОК, третья попытка. Запускаем аську, ждем несколько секунд... Эврика! Мы законнектились. А вот как раз и любимая девушка в онлайне. Пишем ей красивое сообщение, символов так на 500. Нажимаем Send и... ничего никуда не уходит. ICQ радостно сообщает нам, что установить прямое соединение ему не удалось, а т.к. размер сообщения превышает 450 символов, единственное, что может вас спасти - это E-mail. "Какой-такой E-mail? Зачем нам E-mail? Нет, E-mail нам не нужен!" - возмутитесь вы, и будете правы. Можно обойтись и без E-mail. Достаточно просто добавить ещё одно правило, о необходимости которого создатели ICQ опять забыли упомянуть. Оно является полным аналогом правила 3, с той лишь разницей, что предназначено для исходящих TCP-соединений:

    Правило 6: Permit C:PROGRAM FILESICQICQ.EXE outbound TCP local any:1024-65535 remote any:1024-65535

    Ну вот, теперь, наконец-то, всё работает. Но уж очень широкие диапазоны портов мы пооткрывали. Можно ли хоть как-то их сузить? Можно. Но для начала нам придётся немного настроить саму аську. Как обычно, обратимся к "первоисточнику":
    1. Откройте ICQ Menu и выберите Preferences.
    2. Выберите вкладку Connection.
    3. Выделите "I am behind a firewall or proxy".
    4. Нажмите на кнопку "Firewall Settings".
    5. В следующем окне выберите самый первый вариант.
    6. Нажмите на кнопку Next.

    После этого, первоисточник предлагает нам:
    7. Выберите "Use Dynamically allocated port numbers (default)".

    Мы же поступим немного иначе:
    7a. Выберите "Use the following TCP listen ports for incoming events".
    7b. Введите диапазон TCP-портов, которые ICQ может использовать для входящих TCP-соединений (например, from 2000 to 4000).

    Далее вновь по тексту:
    8. Щёлкните кнопку Next.
    9. Убедитесь в том, что ICQ находится в состоянии Disconnected (Off line).

    Прежде чем переходить к следующему пункту настройки ICQ, необходимо изменить правило 3 файрвола. Если в п. 7b вы использовали диапазон портов 2000-4000, то новый вариант этого правила будет выгядеть так:

    Правило 3: Permit C:PROGRAM FILESICQICQ.EXE inbound TCP local any:2000-4000 remote any:1024-65535

    Теперь завершим настройку аськи:
    10. Нажмите кнопку "Check My FIREWALL/Proxy Settings".
    11. Подождите результата.

    ... Если вы всё сделали правильно, вы должны увидеть Success. Жмите Done и будьте счастливы. Если же вы увидите сообщение о неудаче, то, скорее всего, вы неточно выполнили предыдущие указания, либо в данный момент вы просто не подключены к сети :)

    Настройки Firewall Settings, кстати, имеют одну уникальную особенность: всё, что вы там измените, будет принято сразу же, без всяких подтверждений. Т.ч. если вы настроите что-то не так, не думайте, что вам достаточно закрыть окно, не нажимая кнопку Done, и все изменения, которые вы успели сделать, будут отменены. Ничего подобного. Для того, чтобы вернуть всё на свои места, вам придётся, прежде чем закрыть окно настройки установок файрвола, вручную вернуть старые настройки. Так что будьте внимательны!

    Клиент ICQ2000

    Как-то так получилось, что я дольше всех моих знакомых задержался на ICQ99b. За окном было уже начало июля 2000, все нормальные люди давно пользовались ICQ2000a Beta, а самые смелые и ICQ2000b Alpha, а я всё не хотел апгрейдить своего 99-го клиента. Но время не остановишь, и под давлением общественности, выражающемся в том, что мне начали задавать кучу вопросов по поводу работы с новой версией, на которые мне было весьма трудно ответить ввиду отсутствия у меня таковой, я всё таки поставил себе ICQ2000.

    Что касается моего первого впечатления от изучения протокола ICQ2000, то это впечатление можно назвать скорее отрицательным, нежели положительным. Да, протокол действительно стал более безопасным. Но при этом он стал намного менее надёжным в условия Интернет-каналов постсоветского пространства. Дело в том, что новый протокол обмена между ICQ-клиентом и ICQ-сервером позаимствован у AOL Instant Messenger. Удивляться тут, конечно, нечему. На мой взгляд, намного более удивительно то, что ICQ и AOL вообще до сих пор существуют как два разных приложения. Но речь не об этом. Речь о том, что в отличие от ICQ98/99, где для общения между клиентом и сервером использовались UDP-датаграммы, в AIM и ICQ2000 используется двухэтапный процесс входа в сеть, на обоих этапах которого устанавливаются TCP-соединения. Я не буду сейчас подробно сравнивать эти подходы, скажу лишь то, что если в ICQ98/99 при плохой связи просто терялись отдельные пакеты с обновлением статуса пользователей, то в ICQ2000 при этом происходит полное отключение клиента от сети (если вам вообще удастся в неё войти). Так что делайте выводы сами...

    Но хватит о грустном, вернёмся к файрволам. Я не буду описывать здесь путь проб и ошибок, как делал это в отношение ICQ99. Желающие могут проделать его сами, стартуя со страницы ICQ Inc. - ICQ Tour - Firewall - Network Administrators на сайте Мирабилиса. Я просто сразу поделюсь с вами готовыми рецептами.

    Итак, для базовых режимов работы в ICQ-сети вполне достаточно системы из 5 правил (более того, правила 2 и 3 вообще не обязательны, т.к. их надмножеством является правило 4. Они предназначены лишь для того, чтобы выделить "регистрационные" TCP-соединения в логах файрвола, поэтому, если вы не ведёте таких логов, эти правила можно вообще исключить):

    Правило 1: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:any remote 10.10.10.10:53
    Правило 2: Permit C:PROGRAM FILESICQICQ.EXE outbound TCP local any:1024-65535 remote login.icq.com:5190
    Правило 3: Permit C:PROGRAM FILESICQICQ.EXE outbound TCP local any:1024-65535 remote 205.188.5.48-205.188.5.51:5190
    Правило 4: Permit C:PROGRAM FILESICQICQ.EXE outbound TCP local any:1024-65535 remote any:1024-65535
    Правило 5: Permit C:PROGRAM FILESICQICQ.EXE inbound TCP local any:2000-4000 remote any:1024-65535

    Сразу же заметим, что подобная система правил предусматривает, что, во-первых, ваш DNS-сервер имеет адрес 10.10.10.10 (замените этот адрес в первом правиле на адрес вашего DNS). Во-вторых, предполагается, что вы настроили ICQ для работы с диапазоном входных TCP-портов 2000-4000. Сделать это очень просто:
    1. В ICQ-меню выбираем Preferences.
    2. В левой части окна Preferences выбираем Connections.
    3. На вкладке Server выбираем Using Firewall, затем Not using proxy.
    4. На вкладке User выбираем Not using Proxy, затем Use the following TCP listen ports for incoming events.
    5. Вводим интервал портов в поля From: и To:.
    6. Нажмаем на кнопку Apply, переходим в режим Offline/Disconnect (если вы были не в нем), затем вновь в режим Available/Connect.

    Одна из особенностей ICQ2000 состоит в том, что она при необходимости обращается по протоколу http к некоторым своим серверам, типа web.icq.com, cb.icq.com и др. Чтобы разрешить ей эти обращения можно использовать один из трёх способов (перечислены в порядке возрастания уровня безопасности):
    a) В Правиле 4 расширить диапазон удалённых портов до 80-65535.
    b) Создать Правило 6:

    Правило 6: Permit C:PROGRAM FILESICQICQ.EXE outbound TCP local any:1024-65535 remote any:80

    ... c) Создать набор правил наподобие правила 6 для каждого адреса в отдельности.

    И всё. Можете смело ловить кайф от новой версии аськи. И да прибудет с вами хороший коннект!

    ActiveLists Plugin (ICQ99 и ICQ2000)

    На этом настройку файрвола для работы с основными функциями ICQ можно считать успешно завершённой. Но помимо основных функций, в ICQ есть ещё и целый ряд дополнительных. Учитывая, что большинство из них ничем не отличается от традиционных сервисов (таких, как POP3-сервис), расскажем только об "исконно айсикьюшном" сервисе ActiveLists. Надо сразу сказать, что ActiveLists - чертовски приятная вещь, чего никак нельзя сказать о процессе настройки под файрвола под этот сервис. Не говоря уже о такой мелочи, как полное отсутствие информации об этом на сайте Mirabilis.

    В своё время я затеял длительную переписку по этому поводу со службой технической поддержки ICQ, надеясь получить информацию из первых рук. В начале переписки айсикьюшники пытались сказать, что, мол, "и так все должно быть понятно", в конце же признались, что ActiveLists в существующей версии вообще не полностью адаптированны для работы через файрвол. В частности, стандартные настройки ICQ для работы с файровлами на этот сервис не распространяются. :(

    Но что же делать, если пользоваться ActiveLists хочется, а желания отказываться от файровла нет никакого? Правильно, настроить его самим, без всякой помощи со стороны "первоисточника" (тем более, что мы уже имели возможность убедиться в том, что помощь эту трудно назвать исчерпывающей).

    Итак, начнём с теории. Основное отличие сервиса ActiveLists от стандартных сервисов ICQ состоит в том, что его поддержку осуществляет не головной сервер, а сами пользователи. Каждый АктивныйСписок в каждый конкретный момент поддерживается одним из пользователей ICQ, зарегистрированным в качестве его владельца. В принципе, ничего не мешает нескольким пользователям поддерживать один общий АктивныйСписок, поочерёдно запуская сервер на своих машинах, но на практике, сервер каждого АктивногоСписка обычно всё время находится на одной и той же машине. И было бы всё ну просто великолепно, если бы часть этих "серверных" машин не подключалась к сети используя динамический адрес.

    Узнать подробности о IP адресе Но, к сожалению, статический IP-адрес не является повсеместным явлением даже на Западе, что уж говорить о безмежных просторах СНГ. Поэтому первое, что вы должны сделать, это выяснить диапазон адресов для каждого АктивногоСписка. Это можно сделать несколькими путями: можно выяснить диапазон dial-up адресов провайдера, к которому подключен владелец АктивногоСписка, используя DNS-сервис (обычно все поле dial-up адресов при обратном DNS-преобразовании даёт похожие имена, что-то типа AS30.d-up.ACN-KV-ASC2.ukrpack.net, AS31.d-up.ACN-KV-ASC2.ukrpack.net, AS32.d-up.ACN-KV-ASC2.ukrpack.net и т. д.). Можно спросить информацию об этом диапазоне у самогО владельца АктивногоСписка, можно, в конце концов, просто последовательно добавлять новые адреса из этого диапазона используя файрвол, переведённый в режим RuleAssistant, или какую-нибудь утилиту, позволяющую вести протокол сетевой активности.

    Следующее, что надо выяснить, это диапазон портов, используемых каждым сервером. Здесь может быть два варианта: если нам повезёт, владелец сервера сконфигурирует его с фиксированным номером рабочего порта, но скорее всего нам не повезёт, т.к. создатели ICQ посчитали правильным установить динамический выбор рабочего порта по умолчанию. А так как мало кто из владельцев АктивныхСписков заботится о том, чтобы рядовым участникам было удобно настраивать свои файрволы, скорее всего будут оставлены установки по умолчанию, и нам придётся прописывать весь диапазон портов, который, в свою очередь, определяется конфигурацией конкретного компьютера. Обычно стандартного диапазона 1024-5000 хватает с избытком. При использовании фиксированного номера порта, по умолчанию используется порт 20001.

    Теперь, когда нам известны диапазоны адресов и портов всех интересующих нас АктивныхСписков, можно приступить к созданию для них подходящей системы правил. Для каждого АктивногоСписка нам придётся создать по два правила: одно для outbound UDP, второе - для inbound UDP. Можно вместо этих двух правил записать одно правило either - это дело вкуса. Для примера предположим, что мы хотим пользоваться двумя АктивнымиСписками: первый с диапазоном адресов 195.64.233.1-195.64.233.16 и фиксированным портом 20001, второй со статическим адресом 24.11.213.25 и динамическим диапазоном портов. Создадим для этих АктивныхСписков две пары правил (а также два either-варианта):

    Список1a: Permit C:PROGRAM FILESICQICQ.EXE outbound UDP local any:1024-5000 remote 195.64.233.1-195.64.233.16:20001
    Список1b: Permit C:PROGRAM FILESICQICQ.EXE inbound UDP local any:1024-5000 remote 195.64.233.1-195.64.233.16:20001
    Список2a: Permit C:PROGRAM FILESICQICQ.EXE outound UDP local any:1024-5000 remote 24.11.213.25:1024-5000
    Список2b: Permit C:PROGRAM FILESICQICQ.EXE inbound UDP local any:1024-5000 remote 24.11.213.25:1024-5000

    либо:

    Список1: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:1024-5000 remote 195.64.233.1-195.64.233.16:20001
    Список2: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:1024-5000 remote 24.11.213.25:1024-5000


    ICQ-сервера (ICQ99 и ICQ2000)

    "Хорошо, а если я сам владелец сервера, причём сразу двух: ICQ Homepage Web Server и ICQ ActiveList Server? Что мне делать тогда?" - можете спросить вы. - "Могу ли я в этом случае работать через файрвол?".

    Без проблем. Что касается ICQ Homepage Web Server, то тут вообще всё просто. Вам необходимо прописать одно единственное правило. Если вы оставили установки по умолчанию, оно будет выглядеть так:

    Web-сервер: Permit C:PROGRAM FILESICQICQ.EXE inbound TCP local any:80 remote any:any

    Я не буду сейчас вдаваться в долгие рассуждения о надёжности этого сервера, скажу лишь одно: с вышеуказанным правилом он работает. Хотя я и не рекомендую им пользоваться. Из банальных сображений его бесполезности. Практически вся информация, которую предоставляет этот сервер, может быть найдена в ICQ Communication Center, или просто в User's Details. А если вы хотите чего-то большего - сделайте полноценную веб-страницу, многие провайдеры предоставляют такую возможность совершенно бесплатно. Если же вам так уж нужен сервер именно на вашем компьютере, установите себе, например, Apache. Тем более, что у нас на сайте подробно рассказано как это сделать. Только не забудьте правильно его сконфигурировать, иначе может получится ещё менее безопасный вариант, чем ICQ Homepage Web Server! ;)

    С ActiveList-сервером всё чуть-чуть сложнее. Но не намного. Для начала разберёмся, из каких модулей он состоит. Модулей этих два: собственно сервер (по умолчанию устанавливаемый с путём C:PROGRAM FILESICQACTIVELISTACTIVELISTSERVER.EXE) и утилита его администрирования (путь по умолчанию C:PROGRAM FILESICQACTIVELISTACTIVELISTMANAGER.EXE). Соответственно, правила нашего файрвола должны быть разбиты на две группы: те, которые обеспечивают работу сервера, и те, которые позволяют его администрировать.

    Первое, что что должен сделать ActiveList-сервер - зарегистрироваться на Мирабилисе. Правила, которые необходимы ему для этого, полностью совпадают с соответствующими правилами, используемыми клиентом ICQ99 (за исключением, разумеется, названия приложения):

    Сервер 1-2a: Permit C:PROGRAM FILESICQACTIVELISTACTIVELISTSERVER.EXE either UDP local any:1024-5000 remote 205.188.153.97-205.188.153.116:4000
    Сервер 1-2b: Permit C:PROGRAM FILESICQACTIVELISTACTIVELISTSERVER.EXE either UDP local any:1024-5000 remote 205.188.179.33-205.188.179.42:4000
    Сервер 1-2c: Permit C:PROGRAM FILESICQACTIVELISTACTIVELISTSERVER.EXE either UDP local any:1024-5000 remote 205.188.254.209:4000
    Сервер 4: Permit C:PROGRAM FILESICQICQ.EXE either UDP local any:any remote 10.10.10.10:53

    Обратите внимание, что аналог правила 5 нам не понадобился: ActiveList-серверу вполне хватает вашего собственного DNS.

    Далее необходимо обеспечить доступ клиентов к серверу. Предполжим, что вы не стали осложнять жизнь себе и другим, и настроили ActiveList-сервер на использование статического порта (по умолчанию - 20001). В этом случае единственное правило, которое вам понадобится, будет выглядеть так:

    Сервер 3: Permit C:PROGRAM FILESICQACTIVELISTACTIVELISTSERVER.EXE either UDP local any:20001 remote any:any

    И всё. Сервер должен начать работать. Теперь осталось только добавить правило для его администрирования:

    Админ: Permit C:PROGRAM FILESICQACTIVELISTACTIVELISTMANAGER.EXE either UDP local any:any remote localhost:20001

    На этом настройку файрвола для работы ActiveList-сервера можно считать законченой. Успехов в администрировании!

    :: назад