Squid-3.3.5 Liberar Skype

danilosv.03

Criei uma aliase e adiciona ela no seu bypass no squid com esses IP's:
64.4.0.0/18
65.52.0.0/14
91.190.218.0/24
91.190.216.0/24
111.221.64.0/18
134.170.0.0/16
137.116.0.0/16
157.54.0.0/15
157.56.0.0/14
157.60.0.0/16
191.238.101.0/24
191.238.33.0/24
213.199.160.0/18

Depois cria uma Common ACL com esses domínios:
ui.skype.com swx.cdn.skype.com static.asm.skype.com static-asm.secure.skypeassets.com static.skypeassets.com skype.com secure.skype.com prod.tpc.skype.com prod.registrar.skype.com pipe.skype.com login.skype.com login.live.com contacts.skype.com b.config.skype.com a.config.skype.com auth.gfx.ms apps.skype.com apps.skypeassets.com api.skype.com api.mcr.skype.com api.asm.skype.com

E tente de novo.

gui.ap

@danilosv.03:

Sim e atualizada 2.3.2_1

a ultima versão do skype é a 7.28.0.101

Por favor, teste com esse ultima.

victorfmaraujo

Abaixo a Solução que resolveu para mim.

Testei em:
pfsense 2.2.6 + Squid 3 + squidguard
pfsense 2.3.1 + squid 3 + squidguard

Observações:
1 - Não configurei regra de Firewall com aliases dos endereços ips do Skype.
2 - Portas 80 e 443 fechadas em modo Reject

Configuração no SQUID

Services > Squid Proxy > General

1 - ir até o campo Before Auth em Advanced Options e colocar o conteúdo abaixo:

#REGRA SKYPE
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
acl Skype_UA browser ^skype
#acl validUserAgent browser \S+
#http_access allow !validUserAgent
http_access allow CONNECT localnet numeric_IPS Skype_UA
#FIM REGRA SKYPE

Aplicar

2 - Ainda no squid ir em ACLS e colocar o conteúdo abaixo no campo WHITELIST:

#SKYPE
skype.com
skype.net
skypeassets.com
^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
mobile.pipe.aria.microsoft.com
trouter.io
windowsupdate.com
omniroot.com
public-trust.com
symcb.com
symcd.com
microsoft.com
live.com:443
msocsp.com
microsofttranslator.com
tools.google.com
m.hotmail.com:443
globalsign.com
globalsign.net
dps.bing.com:443

Aplicar.

Configuração no SquidGuard

Services > Squid Guard Proxy

Criar uma categoria personalizada na aba Target Categorie

Adicionar o conteúdo abaixo em Domain List

skype.com microsoft.com live.com auth.gfx.ms skypeassets.com hotmail.com

Adicionar o conteúdo abaixo em Regular Expression

mobile.pipe.aria.microsoft.com s.aolcdn.com:443 windowsupdate.com ocsp.omniroot.com public-trust.com symcb.com microsoft.com microsofttranslator.com trouter.io tools.google.com m.hotmail.com globalsign.com globalsign.net dps.bing.com:443 symcd.com

Obviamente que a regra acima pode ser melhorada, colocando o que é domínio no seu devido lugar por exemplo.

feito isso, basta colocar a categoria criada acima como WHITELIST nas suas Acls do squidguard, não esquecendo da Common ACL.

Importante, sempre acompanhe via Tail -f o arquivo de log do Squid fazendo um filtro no IP da máquina que está testando, além da aba Real Time do Squid que facilita bastante o serviço.

danilosv.03

Resolvi de uma maneira bem mais simples: Criando uma aliases e colocando o nome dela lá em bypass. Contrapartida, essa sua é muito boa também. Irei testar. Acredito que você fazendo a regra somente no squid não terá necessidade de você no squiguard, pois o squidguard é só um complemento do squid.
Contudo, parabéns!

victorfmaraujo

@danilosv.03:

Resolvi de uma maneira bem mais simples: Criando uma aliases e colocando o nome dela lá em bypass. Contrapartida, essa sua é muito boa também. Irei testar. Acredito que você fazendo a regra somente no squid não terá necessidade de você no squiguard, pois o squidguard é só um complemento do squid.
Contudo, parabéns!

Tive que fazer no squidguard também pois vi hits de block no log do squidguard

danilosv.03

Esse logo, como tu consegue identificar-los ? Tu sabe alguma maneira de baixar as blacklist via putty?

victorfmaraujo

@danilosv.03:

Esse logo, como tu consegue identificar-los ? Tu sabe alguma maneira de baixar as blacklist via putty?

na aba realtime tem os dois logs separados, mas fica tudo em /var/squid/logs/access.log e /var/squidguard/logs/block.log, aí rodo aquele tail -f | grep IP

você quer baixar o arquivo ou atualizar a lista?

baixar tem o comando fetch

danilosv.03

Tem como tu passar esse comando?

Nesse caso eu coloco os comandos que você colocou ai e pronto, certo?

victorfmaraujo

@danilosv.03:

Tem como tu passar esse comando?

Nesse caso eu coloco os comandos que você colocou ai e pronto, certo?

fetch -o Link

danilosv.03

Essa foi a tela que apareceu.


victorfmaraujo

@danilosv.03:

Essa foi a tela que apareceu.

Desculpe.

Tire o -o

fetch http://www.shallalist.de/Downloads/shallalist.tar.gz

thiago.informc

static.skypeassets.com
23.38.149.46
apps.skype.com
64.4.0.0/18
65.52.0.0/14
91.190.218.0/24
91.190.216.0/24
111.221.64.0/18
134.170.0.0/16
137.116.0.0/16
157.54.0.0/15
157.56.0.0/14
157.60.0.0/16
191.238.101.0/24
191.238.33.0/24
213.199.160.0/18
apps.skype.com
23.38.149.46
static.skypeassets.com
104.40.0.0/13
23.37.32.0/20
91.190.218.0/23
auth.gfx.ms
40.64.0.0/10
2.22.8.0/22
191.232.0.0/13
104.105.128.0/20
72.21.81.0/24
104.208.0.0/13
64.18.25.0/24
13.107.3.0/24
23.100.0.0/15
207.46.0.0/19
23.102.0.0/16
131.253.61.0/24
104.105.144.0/20

rec

@pfirewa:

window update liberar todos estes site para funcionar:

windows.com, windowsupdate.com, windowsupdate.microsoft.com, update.microsoft.com

libera esse para hotmail gmail yahoo :

accounts.google.com translate.google.com ftp.ufv.br ftp.ibge.gov.br geoftp.ibge.gov.br outlook.com hotmail.com mail.live.com msn.com gstatic.com blu180.mail.live.com auth.gfx.gs live.com login.live.com sc.imp.live.com login.yahoo.com mail.yahoo.com s.yimg.com 37.252.246.4 acmsnet.org

liberara todas estas rede para acessar o skype essa é mais completa:

188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;

Maravilha, deu boa. Valeu.

brunok

Sobre a nova versão do SKYPE (7.28), consegui liberar totalmente, adicionando estes domínios na whitelist:

windowsupdate.com microsoft.com s-microsoft.com skype.com omniroot.com globalsign.com msocsp.com msn.com public-trust.com

Verifiquei nos logs, quando acessava skype de um host e eram estes os domínios consultados,

danilosv.03

@thiago.informc:

static.skypeassets.com
23.38.149.46
apps.skype.com
64.4.0.0/18
65.52.0.0/14
91.190.218.0/24
91.190.216.0/24
111.221.64.0/18
134.170.0.0/16
137.116.0.0/16
157.54.0.0/15
157.56.0.0/14
157.60.0.0/16
191.238.101.0/24
191.238.33.0/24
213.199.160.0/18
apps.skype.com
23.38.149.46
static.skypeassets.com
104.40.0.0/13
23.37.32.0/20
91.190.218.0/23
auth.gfx.ms
40.64.0.0/10
2.22.8.0/22
191.232.0.0/13
104.105.128.0/20
72.21.81.0/24
104.208.0.0/13
64.18.25.0/24
13.107.3.0/24
23.100.0.0/15
207.46.0.0/19
23.102.0.0/16
131.253.61.0/24
104.105.144.0/20

Onde podemos colocar essa lista? Nas Releases?

hunterjn

Bom dia.. Coloquei a lista de endereços ips do Skype, listado acima, no Bypass porem continua não funcionando. Realmente não sei mais o que fazer para que o Skype envie mensagens com o filtro SSL ativo.

danilosv.03

@hunterjn:

Bom dia.. Coloquei a lista de endereços ips do Skype, listado acima, no Bypass porem continua não funcionando. Realmente não sei mais o que fazer para que o Skype envie mensagens com o filtro SSL ativo.

Vamos lá. Deixa eu te ajudar. Me fale como ficou tuas regras ai, tente detalhar, por favor.

hunterjn

Primeiramente, obrigado pela atenção.. Vamos lá!

Acabei de reinstalar o pfsense do zero, versão 2.3.1.
As únicas configurações que eu tenho alteradas após a instalação são:
Em system Advanced > Marquei DNS Rebind Check e Browser HTTP_REFER enforcement e Enable Secure Shell.
Em General Setup > alterei hostname, coloquei domain e dns server 1 e 2, timezone America/Sao_Paulo.

Após isso instalei o Squid  + SquidGuard.

Criei uma alias chamada SkypNet com os endereços acima e + os abaixo:

64.0.0.0/7
189.192.132.0/22
156.154.144.0/20
23.212.40.0/22
104.208.28.0/22
168.61.164.0/22
91.190.216.0/22
40.76.24.0/22
23.211.236.0/22
23.11.250.0/22
23.2.96.0/22
23.73.244.0/22
91.190.216.0/22
157.56.196.0/22
104.42.8.0/22
191.234.40.0/22
23.213.88.0/22
40.76.208.0/22
168.61.176.0/22
13.107.0.0/22
23.213.88.0/22

Tambem criei uma Alias SkypeHost com os seguintes Hosts:

apps.skypeassets.com
login.skype.com
pipe.skype.com
secure.skype.com
config.skype.com
api.skype.com
ui.skype.com
s.gateway.messenger.live.com
get.skype.com
dsn13.d.skype.net
mobile.pipe.aria.microsoft.com
a.config.skype.com
www.skypeassets.com
dr.skype.net
apps.skype.com
api.asm.skype.com

Estes Aliases eu coloquei em Bypass Proxy for These Destination IPs

E o restante das configurações do Squid e SquidGuard estão padrões, uso Proxy Transparente, com interceptação do SSL. A minha necessidade real é só logar tudo o que está passando na rede e usar o access.log no LighSquid, não preciso nem devo bloquear nada.

Eu consigo fazer login, tudo certo no Skype, somente as mensagens não saem para os destinatários.

danilosv.03

Fui infeliz aqui em pedi pra tu me adicionar no skype.
Faz o seguinte.
Tira print das tuas configurações. Tu liberou no squidguard também?

hunterjn

Danilo, vai parecer piada, mas estou exatamente trabalhando a uma semana neste firewall, em função do Skype, e hoje quando resolvi solicitar ajuda da comunidade PF Sense consegui resolver. Segue abaixo o que eu fiz…

Obs.: O ambiente que uso roda somente Squid + SquidGuard, com Proxy transparente e captação de SSL ativo.

Criei duas Aliases, uma chamada SkypeNet e outra SkypeHost. (firewall > aliases)

Na Aliase SkypeNet, adicionei os seguintes endereços:

23.38.149.46
64.4.0.0/18
65.52.0.0/14
91.190.218.0/24
91.190.216.0/24
111.221.64.0/18
134.170.0.0/16
137.116.0.0/16
157.54.0.0/15
157.56.0.0/14
157.60.0.0/16
191.238.101.0/24
191.238.33.0/24
213.199.160.0/18
23.38.149.46
104.40.0.0/13
23.37.32.0/20
91.190.218.0/23
40.64.0.0/10
2.22.8.0/22
191.232.0.0/13
104.105.128.0/20
72.21.81.0/24
104.208.0.0/13
64.18.25.0/24
13.107.3.0/24
23.100.0.0/15
207.46.0.0/19
23.102.0.0/16
131.253.61.0/24
104.105.144.0/20
168.61.164.0/22
91.190.216.0/22
40.76.24.0/22
23.211.236.0/22
23.11.250.0/22
23.2.96.0/22
23.73.244.0/22
91.190.216.0/22
157.56.196.0/22
104.42.8.0/22
191.234.40.0/22
23.213.88.0/22
40.76.208.0/22
168.61.176.0/22
13.107.0.0/22
23.213.88.0/22
188.129.195.0/24
5.64.136.0/24
187.170.24.0/24
78.134.9.0/24
64.4.23.0/24
212.187.172.0/24
213.199.179.0/24
64.94.18.0/24
184.25.203.0/24
65.55.64.0/24
204.9.163.0/24
91.190.216.0/24
65.55.71.0/24
65.55.223.0/24
157.56.52.0/24
111.221.77.0/24
157.55.130.0/24
91.190.218.0/24
149.13.32.0/24
65.54.165.0/24
65.55.223.0/24
91.190.216.0/24
184.25.203.0/24
64.94.18.0/24
212.161.8.0/24
78.141.177.0/24
157.55.56.0/24
193.95.154.0/24
157.55.235.0/24
111.221.74.0/24
193.95.154.0/24
157.55.130.0/24
71.58.242.0/24
204.9.163.0/24
184.25.201.0/24
78.141.179.0/24
71.92.79.0/24
65.55.223.0/24
76.89.177.0/24
204.9.163.0/24
212.187.172.0/24
184.25.203.0/24
193.120.199.0/24
91.190.216.0/24
157.55.130.0/24
184.25.203.0/24
157.55.235.0/24
65.55.223.0/24
84.250.183.0/24
66.171.55.0/24
78.141.179.0/24
157.55.130.0/24
184.25.201.0/24
65.54.187.0/24
199.7.71.0/24
184.30.37.0/24
65.54.186.0/24
79.86.239.0/24
212.8.166.0/24
64.4.23.0/24
111.221.77.0/24
91.190.218.0/24
65.55.158.0/24
157.56.52.0/24
157.55.130.0/24
157.56.149.0/24
189.86.41.0/24
239.255.255.0/24
239.255.255.0/24

E na Aliase SkypeHost, os seguintes hosts:

apps.skypeassets.com
login.skype.com
pipe.skype.com
secure.skype.com
config.skype.com
api.skype.com
ui.skype.com
s.gateway.messenger.live.com
get.skype.com
dsn13.d.skype.net
mobile.pipe.aria.microsoft.com
a.config.skype.com
www.skypeassets.com
dr.skype.net
apps.skype.com
api.asm.skype.com

Com estas Aliases criadas, fui no campo "Bypass Proxy for These Destination IPs" (Services > Squid ProxyServer > General > Bypass Proxy for These Destination IPs) e as adicionei da seguinte forma:

SkypeHost;SkypeNet

Em seguida reiniciei o PF Sense, fiz logout do Skype e o fechei.
Ao iniciar novamente, abri o Skype e fiz login, funcionou perfeitamente.

Obs.: Caso o PF Sense seja desligado/reiniciado e o Skype pare de funcionar, basta só fazer logout e fechar o programa, ao abrir novamente ele estará funcionando certinho.