Squid-3.3.5 Liberar Skype



  • Olá Pessoal Boa tarde!

    Queria uma ajudinha com um probleminha no Skype no pfsense.

    Antes utilizava o squid 3 + squidguard e liberava nas rules do firewall as portas TCP 33033 e 6891 - 6900 para o Skype completar as chamadas, mas depois que migrei para o squid 3.3.5 o Skype parou de completar essas ligações.

    A única solução que consegui para completar as chamadas, foi habilitar a regra Default allow LAN to any rule mas queria deixar essa regra desabilitada. Alguém sabe se existe mais alguma porta fora essas a ser liberada para o Skype? No site do Skype  diz que devo liberar as portas acima de 1024, mas se eu liberar todas essas portas não ficarei vulnerável?

    tem tb uma opção de liberar somente uma porta de entrada mas não obtive sucesso na criação da regra. Criei no firewall a regra para uma porta que escolhi e não funcionou

    meu cenário.

    squid 3.3.5 + squidguard, no firewall tem uma regra rejeitando o trafego da porta 80 - 443.

    nas opções do Skype está marcado para utilizar proxy e o usuário tem total acesso.

    obrigado

    abraços,

    Diego



  • Bom Dia didonsom.
    No caso está funcionando a regra Default Allow devido o mesmo liberar para qualquer destino e qualquer porta. Onde para comunicação, o skype utiliza de algumas portas aleatórias, fora da 80 e 443.
    Tente fazer a liberação para os seguintes destinos, através de um Alias.

    188.129.195.0/24
    85.64.136.0/24
    187.170.24.0/24
    78.134.9.0/24
    64.4.23.0/24
    212.187.172.0/24
    213.199.179.0/24
    64.94.18.0/24
    184.25.203.0/24
    65.55.64.0/24
    204.9.163.0/24
    91.190.216.0/24
    65.55.71.0/24
    65.55.223.0/24
    157.56.52.0/24
    111.221.77.0/24
    157.55.130.0/24
    91.190.218.0/24
    149.13.32.0/24
    65.54.165.0/24
    65.55.223.0/24
    91.190.216.0/24
    184.25.203.0/24
    64.94.18.0/24
    212.161.8.0/24
    78.141.177.0/24
    157.55.56.0/24
    193.95.154.0/24
    157.55.235.0/24
    111.221.74.0/24
    193.95.154.0/24
    157.55.130.0/24
    71.58.242.0/24
    204.9.163.0/24
    184.25.201.0/24
    78.141.179.0/24
    71.92.79.0/24
    65.55.223.0/24
    76.89.177.0/24
    204.9.163.0/24
    212.187.172.0/24
    184.25.203.0/24
    193.120.199.0/24
    91.190.216.0/24
    157.55.130.0/24
    184.25.203.0/24
    157.55.235.0/24
    65.55.223.0/24
    84.250.183.0/24
    66.171.55.0/24
    78.141.179.0/24
    157.55.130.0/24
    184.25.201.0/24
    65.54.187.0/24
    199.7.71.0/24
    184.30.37.0/24
    65.54.186.0/24
    79.86.239.0/24
    212.8.166.0/24
    64.4.23.0/24
    111.221.77.0/24
    91.190.218.0/24
    65.55.158.0/24
    157.56.52.0/24
    157.55.130.0/24
    157.56.149.0/24
    189.86.41.0/24
    239.255.255.0/24
    

    Obs.: Se houver a necessidade de bloqueio do Skype, pode se inverter a regra utilizando das mesmas ranges, utilizando aqui e funcionando perfeitamente !!  ;)




  • @didonsom:

    Antes utilizava o squid 3 + squidguard e liberava nas rules do firewall as portas TCP 33033 e 6891 - 6900 para o Skype completar as chamadas, mas depois que migrei para o squid 3.3.5 o Skype parou de completar essas ligações.

    Está usando o filtro de ssl?  ??? O skype se comunica principalmente pela porta 443.

    @didonsom:

    No site do Skype  diz que devo liberar as portas acima de 1024, mas se eu liberar todas essas portas não ficarei vulnerável?

    Com certeza!



  • Olá Jhonthan,

    Obrigado pela ajuda, vou testar e depois dou o feedback do resultado.

    Olá Marcelloc

    Estou utilizando sim, o filtro SSL.

    Abraços,

    Diego



  • Para impedir que um host passe pelo filtro de ssl, basta colocar ele na whitelist do squid.



  • @didonsom:

    Estou utilizando sim, o filtro SSL.

    A última versão do Squid (3.3.5) compilada pelo marcelloc resolve isso.

    Já testei e o Skype funciona bem (ao menos em proxy transparente).

    Veja se você realmente está usando a última versão compilada!

    Abraços!
    Jack



  • @jhonthan:

    Bom Dia didonsom.
    No caso está funcionando a regra Default Allow devido o mesmo liberar para qualquer destino e qualquer porta. Onde para comunicação, o skype utiliza de algumas portas aleatórias, fora da 80 e 443.
    Tente fazer a liberação para os seguintes destinos, através de um Alias.

    188.129.195.0/24
    85.64.136.0/24
    187.170.24.0/24
    78.134.9.0/24
    64.4.23.0/24
    212.187.172.0/24
    213.199.179.0/24
    64.94.18.0/24
    184.25.203.0/24
    65.55.64.0/24
    204.9.163.0/24
    91.190.216.0/24
    65.55.71.0/24
    65.55.223.0/24
    157.56.52.0/24
    111.221.77.0/24
    157.55.130.0/24
    91.190.218.0/24
    149.13.32.0/24
    65.54.165.0/24
    65.55.223.0/24
    91.190.216.0/24
    184.25.203.0/24
    64.94.18.0/24
    212.161.8.0/24
    78.141.177.0/24
    157.55.56.0/24
    193.95.154.0/24
    157.55.235.0/24
    111.221.74.0/24
    193.95.154.0/24
    157.55.130.0/24
    71.58.242.0/24
    204.9.163.0/24
    184.25.201.0/24
    78.141.179.0/24
    71.92.79.0/24
    65.55.223.0/24
    76.89.177.0/24
    204.9.163.0/24
    212.187.172.0/24
    184.25.203.0/24
    193.120.199.0/24
    91.190.216.0/24
    157.55.130.0/24
    184.25.203.0/24
    157.55.235.0/24
    65.55.223.0/24
    84.250.183.0/24
    66.171.55.0/24
    78.141.179.0/24
    157.55.130.0/24
    184.25.201.0/24
    65.54.187.0/24
    199.7.71.0/24
    184.30.37.0/24
    65.54.186.0/24
    79.86.239.0/24
    212.8.166.0/24
    64.4.23.0/24
    111.221.77.0/24
    91.190.218.0/24
    65.55.158.0/24
    157.56.52.0/24
    157.55.130.0/24
    157.56.149.0/24
    189.86.41.0/24
    239.255.255.0/24
    

    Obs.: Se houver a necessidade de bloqueio do Skype, pode se inverter a regra utilizando das mesmas ranges, utilizando aqui e funcionando perfeitamente !!  ;)

    a dica acima funcionou perfeitamente.

    Obrigado.



  • Galera, meu caso é diferente ao inves de bloquear quero liberar. Tenho aqui o pfsense 2.1 com proxy autenticado e a regra padrao da LAN desativada.
    Antes de criar o alias eu nem conectava no skype, entao criei um alias com os ips informados e adicionei ao Firewall: Rules.
    Agora o skype conecta :D :D, mas nao faz chamada nem o bate papo funciona :-[ :-[ .
    Tenho que liberar mais alguma coisa ou uma porta especifica?

    Valeu



  • @Bergjf:

    Galera, meu caso é diferente ao inves de bloquear quero liberar.

    Leia o post com mais atenção. A explicação contempla bloqueio e desbloqueio.



  • @didonsom:

    Olá Pessoal Boa tarde!

    Queria uma ajudinha com um probleminha no Skype no pfsense.

    Antes utilizava o squid 3 + squidguard e liberava nas rules do firewall as portas TCP 33033 e 6891 - 6900 para o Skype completar as chamadas, mas depois que migrei para o squid 3.3.5 o Skype parou de completar essas ligações.

    A única solução que consegui para completar as chamadas, foi habilitar a regra Default allow LAN to any rule mas queria deixar essa regra desabilitada. Alguém sabe se existe mais alguma porta fora essas a ser liberada para o Skype? No site do Skype  diz que devo liberar as portas acima de 1024, mas se eu liberar todas essas portas não ficarei vulnerável?

    tem tb uma opção de liberar somente uma porta de entrada mas não obtive sucesso na criação da regra. Criei no firewall a regra para uma porta que escolhi e não funcionou

    meu cenário.

    squid 3.3.5 + squidguard, no firewall tem uma regra rejeitando o trafego da porta 80 - 443.

    nas opções do Skype está marcado para utilizar proxy e o usuário tem total acesso.

    obrigado

    abraços,

    Diego

    Blz Galera … pois é ... aqui comigo funciona o SKYPE ... em qualquer S.O mais quando tento usar o Skype com a conta Microsoft .... aí não funciona de jeito maneira ..... eaí alguém já conseguiu resolver esse bronca ....
    Abraços....



  • @redhaqi:

    Blz Galera … pois é ... aqui comigo funciona o SKYPE ... em qualquer S.O mais quando tento usar o Skype com a conta Microsoft .... aí não funciona de jeito maneira ..... eaí alguém já conseguiu resolver esse bronca ....
    Abraços....

    Por acaso você bloqueou acesso a e-mail em seu firewall?
    neste computador voce consegue acessar www.hotmail.com ?



  • @guitarcleiton:

    @redhaqi:

    Blz Galera … pois é ... aqui comigo funciona o SKYPE ... em qualquer S.O mais quando tento usar o Skype com a conta Microsoft .... aí não funciona de jeito maneira ..... eaí alguém já conseguiu resolver esse bronca ....
    Abraços....uard

    Por acaso você bloqueou acesso a e-mail em seu firewall?
    neste computador voce consegue acessar www.hotmail.com ?

    Boa noite Amigo … seguinte nao ... nada de block a email do hotmail ....
    liberei a maioria dos dominios ligados so skype .... inclusive ao hotmail .... mesmo que eu bloqueie apenas o face e o youtube tenho problemas com acesso a conta microsoft junto ao skype .... sinceramente ... acredito que seja o squidguard ... pois quando desativo funciona perfeitamente .... ... engraçado que com a conta do skype mesmo nao tenho problema ... unica coisa que nao quero e bloquear o skype ...

    Agradeço atençao amigo!!!! :)



  • window update liberar todos estes site para funcionar:

    windows.com, windowsupdate.com, windowsupdate.microsoft.com, update.microsoft.com

    libera esse para hotmail gmail yahoo :

    accounts.google.com translate.google.com ftp.ufv.br ftp.ibge.gov.br geoftp.ibge.gov.br outlook.com hotmail.com mail.live.com msn.com gstatic.com blu180.mail.live.com auth.gfx.gs live.com login.live.com sc.imp.live.com login.yahoo.com mail.yahoo.com s.yimg.com 37.252.246.4 acmsnet.org

    liberara todas estas rede para acessar o skype essa é mais completa:

    188.129.195.0/24;5.64.136.0/24;187.170.24.0/24;78.134.9.0/24;64.4.23.0/24;212.187.172.0/24;213.199.179.0/24;64.94.18.0/24;184.25.203.0/24;65.55.64.0/24;204.9.163.0/24;91.190.216.0/24;65.55.71.0/24;65.55.223.0/24;157.56.52.0/24;111.221.77.0/24;157.55.130.0/24;91.190.218.0/24;149.13.32.0/24;65.54.165.0/24;65.55.223.0/24;91.190.216.0/24;184.25.203.0/24;64.94.18.0/24;212.161.8.0/24;78.141.177.0/24;157.55.56.0/24;193.95.154.0/24;157.55.235.0/24;111.221.74.0/24;193.95.154.0/24;157.55.130.0/24;71.58.242.0/24;204.9.163.0/24;184.25.201.0/24;78.141.179.0/24;71.92.79.0/24;65.55.223.0/24;76.89.177.0/24;204.9.163.0/24;212.187.172.0/24;184.25.203.0/24;193.120.199.0/24;91.190.216.0/24;157.55.130.0/24;184.25.203.0/24;157.55.235.0/24;65.55.223.0/24;84.250.183.0/24;66.171.55.0/24;78.141.179.0/24;157.55.130.0/24;184.25.201.0/24;65.54.187.0/24;199.7.71.0/24;184.30.37.0/24;65.54.186.0/24;79.86.239.0/24;212.8.166.0/24;64.4.23.0/24;111.221.77.0/24;91.190.218.0/24;65.55.158.0/24;157.56.52.0/24;157.55.130.0/24;157.56.149.0/24;189.86.41.0/24;239.255.255.0/24;239.255.255.0/24;



  • Dica do amigo pfirewa funcionou na boa com meu PFSense.

    Obrigado, estava jogando a toalha branca.  :D



  • Conecta, mas não envia as mensagens



  • @Reginaldo:

    Conecta, mas não envia as mensagens

    o skype usa porta 443 para troca de mensagens, se voce usa proxy autenticado obrigatoriamente precisa setar as credencias de acesso nos parametros do skype, ou liberar acesso sem restricoes na porta 443, nao adianta liberar somente para os ips informados acima, eles sao apenas para conexao, nao para troca de mensagens



  • Tenho aqui um regra com esses IPs em um alias permitindo passar as portas 80, 443 antes da regra da porta 3128 e funciona normal.



  • @Tomas:

    Tenho aqui um regra com esses IPs em um alias permitindo passar as portas 80, 443 antes da regra da porta 3128 e funciona normal.

    ja tentou trocar mensagens com alguem de fora da sua LAN, provavelmente nao vai conseguir… o skype cria algo parecido com um peer to peer na troca de mensagens, com o seu ip e o ip do receptor na porta 443, como voce nao tem (teoricamente) o ip do receptor liberado no seu firewall a troca de mensagens nao acontece...



  • Sim, faço isso diariamente. Agora mesmo testei falando com um funcionário e eu estou em outra cidade.
    Falei com ele por texto, voz e enviei um arquivo.

    Se tem alguma coisa que eu fiz que está funcionando eu não sei! Só sei que está;  :D



  • interessante, vc esta usando aquela lista de ips acima? vou testar aqui e ver o que acontece..



  • @Lucas:

    interessante, vc esta usando aquela lista de ips acima? vou testar aqui e ver o que acontece..

    Sim, inclusive falei errado. A regra do Skype está depois da que libera a porta 3128.
    Quando estava ainda testando eu desabilitava a regra o skpe desconectava e quando habilitava de novo conectava na hora.
    Ta normal aqui.

    Peguei a lista aqui:
    http://nextsense.com.br/blog/wp-content/uploads/2013/08/skype_networks.txt



  • Tomas Waldow, teria como você posta a regra aqui completinha? To tentando fazer conforme o topico mas nao tive sucesso, skype até conecta mas nao liga nem funciona o chat :/



  • Olá. Segue as telas do alias das portas 80 e 443 e da regra.
    Regra padrão, simples.

    Antes dela tenho as regras liberando DNS, NTP, Proxy, serviços de e-mail, FTP, SSH, RDP.
    E depois dela as liberações para os sites e programas da Receita Federal, etc…

    Conferi de novo duas vezes para ver se não estava a regra padrão liberando tudo na LAN e não está. rsrs

    Aqui está funcionando!

    ![Alias portas.png](/public/imported_attachments/1/Alias portas.png)
    ![Alias portas.png_thumb](/public/imported_attachments/1/Alias portas.png_thumb)





  • @Lucas:

    interessante, vc esta usando aquela lista de ips acima? vou testar aqui e ver o que acontece..

    Deu certo?



  • Cara, deu certo em partes, nao como eu queria. Enfim, criei um alises de portas pra 3979 (setada no skype) e outro range 1024:65535 para o source ip 192.168.0.5 (ip do pc liberado) para *any destination, as 443 e 80 estão bloqueadas, aí mesmo se o cabra retirar o proxy do navegador não navega.

    Parece que falta algum host na lista, pq se libero para *any destination funciona.



  • Bom, eu não tenho proxy manualmente configurado, faço a configuração via WPAD;
    Não mexo nada no Skype dos usuários, pois por padrão ele tenta conectar na porta XXX que ele mesmo define e depois tenta na porta 80 e 443. Então eu não fixo nenhuma porta no Skype.
    Simplesmente libero o acesso direto ao alias dos Ips do Skype e com destino para as portas 80 e 443 e está funcionando bem.



  • Pois é, que estranho isso. Eu peguei aquela lista de hosts aqui do tópico mesmo e montei a regra com ela, mas em testes parece que falta algum host que o skype tá usando pra se conectar. Cheguei a essa conclusão pois deixei o destination como *any e passou a funcionar certinho, é só jogar o alises de hosts na regra que bixa tudo  :-[

    Enfim. No momento está funcionando, mas com muitas portas liberadas para estes ips que irão usar o skype.



  • @henriquejensen:

    Enfim. No momento está funcionando, mas com muitas portas liberadas para estes ips que irão usar o skype.

    Instala um PFSense limpo de teste.
    E faz somente a regra do Skype e tenta ver se funciona, e depois vendo item por item para achar o que está errado.



  • Curiosamente a minha situação é a mesma, ou seja melou…



  • @Reginaldo:

    Curiosamente a minha situação é a mesma, ou seja deu melou…

    Igual a minha ou a do henriquejensen, não entendi.



  • a do Henrique



  • Bom, infelizmente não sei o que te dizer.
    Vou fazer uma instalação de teste e fazer a regra de novo sem proxy para ver se conecta.



  • Deus certo Tomas ?

    O meu ainda só conecta, mas as mensagens ficam presas ….



  • @Reginaldo:

    Deus certo Tomas ?

    O meu ainda só conecta, mas as mensagens ficam presas ….

    coloca credencias nas propriedades do skype que conecta



  • Mas o meu é proxy transparente..



  • @Reginaldo:

    Mas o meu é proxy transparente..

    ops.. é ai realmente nao sei o que dizer.. ja tentou um tcpdump pra ver se nao tem algum ip bloqueando ainda?



  • @Reginaldo:

    Deus certo Tomas ?

    O meu ainda só conecta, mas as mensagens ficam presas ….

    Não tive tempo de fazer o teste ainda. Vou ver se consigo fazer hoje a noite ou amanhã.



  • Fiz o teste em uma router board da Alix para usar em minha casa com as mesmas regras que tenho na empresa e está funcionando normal, e com proxy não transparente instalado.



  • Estou com dificuldades para conectar o Skype em um ambiente de teste, com proxy não transparente.

    No tcpdump eu vejo que ele tenta conectar no ip do skype na porta 80 e 443, porém, tenho regras bloqueando estas portas.

    Tentei clicar no link com as redes do skype mas a página está fora do ar. Tem como alguém postar aqui os ips?



  • Olha na primeira pagina do post que tem as redes.


Log in to reply