Вопрос такой:
У кого то получилось закрыть доступ на Skype?
Если да, помогите пожалуйста

FreeBSD + ipfw + squid.
Спасибо.
А это точно работает ??? Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??unix-admin писал(а):Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
Сам не пробовал, утверждать не буду. Но я не думаю, что http://wiki.squid-cache.org/ будет выкладывать недостоверную информацию...sergicus писал(а):А это точно работает ???unix-admin писал(а):Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопросsergicus писал(а): Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??
спасибо за ответ.unix-admin писал(а):sergicus писал(а):unix-admin писал(а): Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопрос
Пока файервол трогать не нужно... Так как:sergicus писал(а): У меня вот такое правило брэндмауэра...
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype писал(а): Note that Skype prefers the port 443 which is by default enabled in Squid anyway so this configuration is only needed when you block HTTPS access through the proxy.
Попробуйте закомментировать то, что выделено жирным и добавить то что написано красным в свою конфигурацию.sergicus писал(а): вот мой конфиг сквида
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
cache_mgr help@fmbcfmba.ru
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl validUserAgent browser \S+
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype browser ^skype^
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny validUserAgent
http_access deny numeric_IPs
http_access deny Skype
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10
# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
Это для старой версий скайпа, который в заголовке не отправлял информацию о User-Agent:sergicus писал(а): Да у меня есть отличие
в оригинале мне кажется опечатка, потому что если сделать так , то по правилу будет блокироватся все кроме скайпа
http_access deny !validUserAgent - я делал и с таким правилом, доступ в инет блокировался
Эти правила нужно убрать.http://wiki.squid-cache.org/ConfigExamples/Chat/Skype писал(а): Recent releases of Skype have been evading the above restriction by not sending their User-Agent headers and using domain names. The following can be used to catch those installs, but be aware it will likely also catch other agents.
p.s. UA=UserAgent# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
Закрывать доступ к серверам авторизации не имеет смысла, т.к.Гость писал(а):у скайпа есть серверы регистрации
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится...
Цитата отсюда: http://www.xakep.ru/post/38543/default.aspАрхитектура распределенной сети
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
експериментируйте)PresenceServers: 212.8.163.77:12351 212.8.163.78:12350 194.165.188.86:12351 194.165.188.87:12351
SipServers: 195.215.8.140:23456 212.72.49.155:23456
EventServers: 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350
LoginServers: 193.88.6.13:33033 194.165.188.79:33033 195.46.253.219:33033 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350
помоему тоже LoginServer: 193.88.6.19:33033 194.165.188.82:33033 212.72.49.143:33033
unix-admin писал(а):sergicus писал(а):p.s. UA=UserAgent# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
Код: Выделить всё
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny numeric_IPS
http_access deny Skype_UA
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10
Код: Выделить всё
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com
ipfw add 26 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
ipfw add 27 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.188.79,195.46.253.219,193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.19,194.165.188.82,212.72.49.143
Код: Выделить всё
00024 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.162
00025 11 660 Wed Jan 19 09:31:29 2011 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.158
00026 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
00027 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.
unix-admin писал(а):http://forum.lissyara.su/viewtopic.php? ... 21&start=0
Код: Выделить всё
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
acl ok_client browser Mozilla
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny numeric_IPS
http_access deny Skype_UA
http_access deny !ok_client
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
Код: Выделить всё
ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to "table(51)"
Код: Выделить всё
[root@gw2 /usr/home/serge]# cat vtabl.sh
#!/bin/sh
ipfw table 51 flush
cat /home/serge/bls.txt | while read ip; do
ipfw table 51 add $ip
done