Problema com skype + bloqueio de https



  • Bom pessoal… estou com problema no skype,pois logo depois que bloquiei a porta 443 os usuários reclamam que não conseguem adicionar contatos.

    Eu desbloquei os seguintes endereços:

    secure.skype.com
    skype.com
    login.skype.com

    Todos os Ips/CIDR foram devidamente cadastrados e adicionados a uma longa lista de sites que foram desbloqueados(https).

    Acho que tal requisição criptografada ao servidores do skype se tornam aleatórias e o processo de desbloqueio a um endereço fixo se torna improvável.

    Talvez se eu analisar o tráfego de dados em alguma máquina eu descubra os pacotes que são requisitados e bloqueados ao tentar adicionar um contato no skype.

    Alguém teu alguma solução ?

    Grato!



  • Vina, infelizmente o skype fecha comunicação ponto a ponto na porta 443.

    Com o bloqueio do https por questão de segurança, o skype morre junto.

    Ainda não encontrei uma solução 100% para isso.



  • @marcelloc:

    Vina, infelizmente o skype fecha comunicação ponto a ponto na porta 443.

    Com o bloqueio do https por questão de segurança, o skype morre junto.

    Ainda não encontrei uma solução 100% para isso.

    Será que não tem uma solução mesmo  :-\ ,pois to precisando muito disso.

    Tem um pessoal em outros forums como o do untagle,brazilfw,forefront que tem soluções para tal situações.. será que não conseguimos passar tal solução para o pfsense ?

    O pessoal consegue se conectar pelo skype,mas não consegui adicionar contatos.

    Algumas das soluções encontradas nos forums segundo os posts:

    "Aqui eu criei uma regra antes dos bloqueios liberando o protocolo HTTPS de Interno para Externo e criei um grupo de usuários skype que defini nos Users!
    Funciona muito bem!"
    "Procurei várias informações e achei algumas soluções que não me convenceram muito…
    Primeiro: Liberar portas UDP 1024 a 65535
    Segundo: Liberar HTTPS

    Mas nenhuma das duas é segura, e deixa o servidor muito exposto.

    Alguém sabe como poderia fazer essa liberação de forma mais específica?"

    "
    1. Fist of all, I want my TMG to check HTTPS => HTTPS Inspection=On
    2. Create protocol that open outbound traffic
    =>TCP(outbound)=1-65535
    =>UDP(send receive)=1-65535
    3. Create firewall rule for this protocol from Internal To Internet network
    4. Install Forefront TMG Client (it's part of installation files) on local computer, and allow its support on TMG server.
    5. To restrict skype from using other rules (holes in other rules), add its signature which will prevent such behavior.
    6. Try to connect to skype network. "



  • @vina18:

    1. Fist of all, I want my TMG to check HTTPS => HTTPS Inspection=On

    Bom, parece que o TMG já faz filtro de SSL, então quando eu conseguir terminar o filtro de ssl do dansguardian, você(e o resto do mundo) vai conseguir liberar o skype sem deixar o https aberto.



  • Vlw marcello  :)

    Estou aguardando ansiosamente o pacote  :D

    Grato!



  • @vina18:

    Vlw marcello  :)

    Estou aguardando ansiosamente o pacote  :D

    Grato!

    O dansguardian tem muitas opções para configurar, já instala ele para ir se acostumando.



  • Pessoal, eu consegui filtrar o hhtp e https usando layer7.

    Olhem aqui: http://forum.pfsense.org/index.php/topic,51570.msg288959.html#msg288959



  • @alvaro:

    Pessoal, eu consegui filtrar o hhtp e https usando layer7.

    Olhem aqui: http://forum.pfsense.org/index.php/topic,51570.msg288959.html#msg288959

    Não consegui fazer funcionar aqui este bloqueio.. fiz conforme o link que vc mandou… segue minhas "rules"
    não estou usando proxy transparente




  • Sera que você não testou a partir de um dos IpLiberados no seu alias?



  • @alvaro:

    Pessoal, eu consegui filtrar o hhtp e https usando layer7.

    Olhem aqui: http://forum.pfsense.org/index.php/topic,51570.msg288959.html#msg288959

    Bem vindo ao fórum e parabéns pela iniciativa de compartilhar soluções aqui no fórum!  :)

    Você acha que o L7 vai conseguir bloquear trafego HTTPS na 443 e deixar somente o SKYPE funcionar?


Locked