запретить skype
-
Всем привет!
сабж. это возможно?
у меня нат только на хттпс, но он гад все равно пролазит, гуглил- пишут что если есть нат на 80 или 443 - то никак не закроешь…
а хочется... -
Выборочный нат на определенные ип? Через сквид https не пробовали?
-
мне надо прозрачный сквид :) там хттпс не пашет..
нат на определенные ипы - тоже не подходит, так как надо нат на сотню доменов открывть, да на каждом - не один ип….
так что тоже не вариант -
Прозрачный сквид может одновременно работать как и обычный (все равно он слушает на другом порту, а перенаправление идет средствами фаерволла). Т.е. вам нужно указать на клиентах прокси для https. как это сделать - вариантов масса (вручную, AD, wpad, dhcp).
-
увы, прозрачный https не возможен в принципе:
http://forum.pfsense.org/index.php/topic,32644.msg168662.html#msg168662
специфика https….
сейчас подбираю след вариант: в файрволе, где разрешен нат на https - ограничиваю количество соиденений и тд..
полностью скайп не закроется, но во многих случаях придется клиентам выбирать - или скайп или хттпс...- шейпером лимит скорости по 443 порту пробую сделать - тоже немного поможет
з.ы. это как старый прикол, когда юзеры много лазят в инете, а закрыть им инет нельзя: рандомно дропается часть пакетов, ограничивается их количество - в результате при нормальной скорости создается ефект работы через модем...
- шейпером лимит скорости по 443 порту пробую сделать - тоже немного поможет
-
у меня прокси назначен как прозрачный, https работает с указанием прокси в клиенте (те для клиента он не является прозрачным). Что я делаю не так?
и кстати wpad ловиться коммуникаторами (а точнее их браузерами).
К тому же, вы можете заменить страничку с сообщением о невозможности подключиться по https на свою и указать там подробности о подключении, а также свои контакты.http://habrahabr.ru/blogs/nix/44791/#comment_1127664
Вообщем проблема не в том, что прокси "прозрачный", а в том что клиент не знает, что обращается к прокси. Надо ему об этом рассказать.
-
еще раз объясняю - у меня нет возможности всем клиентам прописывать прокси, я уже написал выше - мне прокси надо прозрачный! а в прозрачном режиме - без прописывания https не будет работать!
з.ы. тема топика - "запретить скайп" а не "как объяснить всем клиентам - пропишите у себя прокси"
з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно. -
http://www.itmodern.ru/articles/technologies/how_to_block_skype/
http://www.xakep.ru/magazine/xa/100/064/1.asp -
з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно.
Именно! надо повышать корпоративную культуру использования интернет! Я бы вообще не пустил левое неизвестное мне устройство в свою сетку. Хотят интернета - пущщай модемы с собой таскают. У нас например у всего менеджмента есть выездной автономный комплект(ноут с большой батареей, зарядник от прикуривателя и модем с безлимиткой). А то нанесут всякой пакости, не отмоешся. Нельзя - и все тут.
-
з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно.
Понимаю, что off-topic, но в нормальных конторах так и сделано. Если контора печётся о безопасности, имидже (или что там понимается когда "невозможно сказать нет клиенту-партнёру") и есть деньги то делается гостевой WiFi доступ на изолированной сетке.
-
в данном случае это и есть гостевой вайфай. но его хотят ограничить :(
не я придумал… я исполнитель :) -
в данном случае это и есть гостевой вайфай. но его хотят ограничить :(
не я придумал… я исполнитель :)Тогда нужно предложить мэнеджменту купить дорогой Application Layer Filter. Возможно справится.
-
Попробуйте зашейпить в penalty как торрент. Вернее не КАК, а так-же. По сути скайп - пиринговая сеть.
http://www.xakep.ru/post/38543/default.asp
-
Тут подумалось на досуге. Есть такая фишка PF, как определение типа ОС по ее сигнатуре.
http://www.opennet.ru/base/sec/freebsd_fingerprint.txt.htmlА вот особенность скайпа - сигнатура 170301h во входящих пакетах.
http://www.google.ru/search?q=170301h.&rls=com.microsoft{referrer:source?}&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7GGLL_ru#sclient=psy&hl=ru&newwindow=1&rls=com.microsoft:ru%3A%7Breferrer%3Asource%3F%7D&rlz=1I7GGLL_ru&source=hp&q=170301h&aq=f&aqi=&aql=&oq=&pbx=1&fp=1&cad=b
А не совместить-ли эти 2 вещи? В /etc/pf.os есть сигнатуры для NMAP - можно туда попытаться добавить и в правилах выбрать запрет фильтрации по типу ОС NMAP.
Если кто грамотный в пакетах - можно попробовать решить ребус с неуловимым скайпом.
-
Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт? -
тестил такой продукт как astaro - он собака блокирует скайп… хз как, тупо ставшь галочку - блокировать скайп - и усе...
-
Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт?Там речь о сигнатурах именно в заголовках пакета.
-
Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт?Там речь о сигнатурах именно в заголовках пакета.
Я про это и говорю. Чтобы блокировать скайп надо анализировать дальше.
-
А кто мне скажет чойт такое?
-
http://l7-filter.sourceforge.net/protocols
У фильтра скайпа не очень хороший желтый статус.