запретить skype


  • Всем привет!
    сабж. это возможно?
    у меня нат только на хттпс, но он гад все равно пролазит, гуглил- пишут что если есть нат на 80 или 443 - то никак не закроешь…
    а хочется...


  • Выборочный нат на определенные ип? Через сквид https не пробовали?


  • мне надо прозрачный сквид :) там хттпс не пашет..
    нат на определенные ипы - тоже не подходит, так как надо нат на сотню доменов открывть, да на каждом - не один ип….
    так что тоже не вариант


  • Прозрачный сквид может одновременно работать как и обычный (все равно он слушает на другом порту, а перенаправление идет средствами фаерволла). Т.е. вам нужно указать на клиентах прокси для https. как это сделать - вариантов масса (вручную, AD, wpad, dhcp).


  • увы, прозрачный https не возможен в принципе:
    http://forum.pfsense.org/index.php/topic,32644.msg168662.html#msg168662
    специфика https….
    сейчас подбираю след вариант: в файрволе, где разрешен нат на https - ограничиваю количество соиденений и тд..
    полностью скайп не закроется, но во многих случаях придется клиентам выбирать - или скайп или хттпс...

    • шейпером лимит скорости по 443 порту пробую сделать - тоже немного поможет
      з.ы. это как старый прикол, когда юзеры много лазят в инете, а закрыть им инет нельзя: рандомно дропается часть пакетов, ограничивается их количество - в результате при нормальной скорости создается ефект работы через модем...

  • у меня прокси назначен как прозрачный, https работает с указанием прокси в клиенте (те для клиента он не является прозрачным). Что я делаю не так?
    и кстати wpad ловиться коммуникаторами (а точнее их браузерами).
    К тому же, вы можете заменить страничку с сообщением о невозможности подключиться по https на свою и указать там подробности о подключении, а также свои контакты.

    http://habrahabr.ru/blogs/nix/44791/#comment_1127664

    Вообщем проблема не в том, что прокси "прозрачный", а в том что клиент не знает, что обращается к прокси. Надо ему об этом рассказать.


  • еще раз объясняю - у меня нет возможности всем клиентам прописывать прокси, я уже написал выше - мне прокси надо прозрачный! а в прозрачном режиме - без прописывания https не будет работать!
    з.ы. тема топика - "запретить скайп" а не "как объяснить всем клиентам - пропишите у себя прокси"
    з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно.



  • @alexandrnew:

    з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно.

    Именно! надо повышать корпоративную культуру использования интернет! Я бы вообще не пустил левое неизвестное мне устройство в свою сетку. Хотят интернета - пущщай модемы с собой таскают. У нас например у всего менеджмента есть выездной автономный комплект(ноут с большой батареей, зарядник от прикуривателя и модем с безлимиткой). А то нанесут всякой пакости, не отмоешся. Нельзя - и все тут.


  • @alexandrnew:

    з.ы.ы. - Интересно, как будет выглядеть, если я скажу генеральному - что вы все ваши партенеры и тд должны придя к нам прописать прокси, а когда будут уходить - убрать….смешно.

    Понимаю, что off-topic, но в нормальных конторах так и сделано. Если контора печётся о безопасности, имидже (или что там понимается когда "невозможно сказать нет клиенту-партнёру") и есть деньги то делается гостевой WiFi доступ на изолированной сетке.


  • в данном случае это и есть гостевой вайфай. но его хотят ограничить :(
    не я придумал… я исполнитель :)


  • @alexandrnew:

    в данном случае это и есть гостевой вайфай. но его хотят ограничить :(
    не я придумал… я исполнитель :)

    Тогда нужно предложить мэнеджменту купить дорогой Application Layer Filter. Возможно справится.


  • Попробуйте зашейпить в penalty как торрент. Вернее не КАК, а так-же. По сути скайп - пиринговая сеть.


    http://www.xakep.ru/post/38543/default.asp


  • Тут подумалось на досуге. Есть такая фишка PF, как определение типа ОС по ее сигнатуре.
    http://www.opennet.ru/base/sec/freebsd_fingerprint.txt.html

    А вот особенность скайпа - сигнатура 170301h во входящих пакетах.
    http://www.google.ru/search?q=170301h.&rls=com.microsoft🇷🇺{referrer:source?}&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7GGLL_ru#sclient=psy&hl=ru&newwindow=1&rls=com.microsoft:ru%3A{referrer%3Asource%3F}&rlz=1I7GGLL_ru&source=hp&q=170301h&aq=f&aqi=&aql=&oq=&pbx=1&fp=1&cad=b

    А не совместить-ли эти 2 вещи? В /etc/pf.os есть сигнатуры для NMAP - можно туда попытаться добавить и в правилах выбрать запрет фильтрации по типу ОС NMAP.

    Если кто грамотный в пакетах - можно попробовать решить ребус с неуловимым скайпом.


  • Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
    Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт?


  • тестил такой продукт как astaro - он собака блокирует скайп… хз как, тупо ставшь галочку - блокировать скайп - и усе...


  • @Evgeny:

    Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
    Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт?

    Там речь о сигнатурах именно в заголовках пакета.


  • @dvserg:

    @Evgeny:

    Боюсь, что это из другой оперы, но статья про скайп чрезвычайно интересна. А я то думал - чего эт его под линукс нет.
    Вопрос к специалистом pf - он может анализировать байты в пакете по определённому смещению и блокировать, если найдена заданная последовательность байт?

    Там речь о сигнатурах именно в заголовках пакета.

    Я про это и говорю. Чтобы блокировать скайп надо анализировать дальше.


  • А кто мне скажет чойт такое?



  • http://l7-filter.sourceforge.net/protocols
    У фильтра скайпа не очень хороший желтый статус.


  • @deutsche:

    http://l7-filter.sourceforge.net/protocols
    У фильтра скайпа не очень хороший желтый статус.

    Желтый потому-что разрабы скайпа в очередной версии могут поменять все метки, по которым его фильтруют.
    НО! Есть инструмент и есть сообщество его развивающее. Хоть что-то вместо "ничего".


  • А я то думал - чего эт его под линукс нет

    нет скайпа под линь? Вы что-то путаете http://www.skype.com/intl/ru/get-skype/on-your-computer/linux/


  • @aleksvolgin:

    А я то думал - чего эт его под линукс нет

    нет скайпа под линь? Вы что-то путаете http://www.skype.com/intl/ru/get-skype/on-your-computer/linux/

    Значит путаю. Видать недавно появилась.


  • 3 года назад


  • ?? ?? ?????, ??????? ????? ????? (????????? ?????? ?? ???? ????????)


  • нет времени проверить, нашел вот такое решение

    /etc/pf.conf
    Код:
    rdr on $int_if proto { tcp } from $int_lan to any port { www, https, domain } -> 127.0.0.1 port 3128

    /usr/local/etc/squid/squid.conf
    Код:

    skype

    acl numeric_IPs url_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([(0-9af]+)?: ([0-9af:]+)?: ([0-9af]+)?])):443
    acl Skype_UA browser ^skype^

    skype

    http_access deny numeric_IPS
    http_access deny Skype_UA

    http://wiki.squid-cache.org/ConfigExamples/Chat/Skype