Как заблокировать skype?
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Как заблокировать skype?
Доброго всем дня!
Вопрос такой:
У кого то получилось закрыть доступ на Skype?
Если да, помогите пожалуйста
FreeBSD + ipfw + squid.
Спасибо.
Вопрос такой:
У кого то получилось закрыть доступ на Skype?
Если да, помогите пожалуйста
FreeBSD + ipfw + squid.
Спасибо.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
-
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-07-13 10:36:18
Re: Как заблокировать skype?
А это точно работает ??? Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??unix-admin писал(а):Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
Re: Как заблокировать skype?
Сам не пробовал, утверждать не буду. Но я не думаю, что http://wiki.squid-cache.org/ будет выкладывать недостоверную информацию...sergicus писал(а):А это точно работает ???unix-admin писал(а):Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
Сделаете - поделитесь
Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопросsergicus писал(а): Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??
-
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-07-13 10:36:18
Re: Как заблокировать skype?
спасибо за ответ.unix-admin писал(а):sergicus писал(а):unix-admin писал(а): Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопрос
У меня вот такое правило брэндмауэра
00300 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_kmk
а в него добавил к портам 443 порт
00300 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081,443 out via wan_kmk
после этого доступ к сайтам по ssl пропал и выходит такая ошибка ssl_error_rx_record_too_long, а скайп работает
а ессли я не буду заворачивать 443 порт на сквид, но он на него и не попадет, т.е , как мне кажется, смысла писать правила в сквиде нет
-
для гарантии я заблокировал в фаерволе (в самом начале правил)
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com
не помогает - скайп всеравно работает
вот мой конфиг сквида
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
cache_mgr help@fmbcfmba.ru
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl validUserAgent browser \S+
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype browser ^skype^
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny validUserAgent
http_access deny numeric_IPs
http_access deny Skype
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10
Да у меня есть отличие
в оригинале мне кажется опечатка, потому что если сделать так , то по правилу будет блокироватся все кроме скайпа
http_access deny !validUserAgent - я делал и с таким правилом, доступ в инет блокировался
В общем не знаю, перерыл много инфы, нигде нет ничего конкретного.
БУДУ очень благодарен за совет - где у меня ошибки , а то нужно позарез блокировать работу в скайпе
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
Re: Как заблокировать skype?
Пока файервол трогать не нужно... Так как:sergicus писал(а): У меня вот такое правило брэндмауэра...
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype писал(а): Note that Skype prefers the port 443 which is by default enabled in Squid anyway so this configuration is only needed when you block HTTPS access through the proxy.
Попробуйте закомментировать то, что выделено жирным и добавить то что написано красным в свою конфигурацию.sergicus писал(а): вот мой конфиг сквида
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
cache_mgr help@fmbcfmba.ru
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl validUserAgent browser \S+
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype browser ^skype^
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny validUserAgent
http_access deny numeric_IPs
http_access deny Skype
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10
# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
Это для старой версий скайпа, который в заголовке не отправлял информацию о User-Agent:sergicus писал(а): Да у меня есть отличие
в оригинале мне кажется опечатка, потому что если сделать так , то по правилу будет блокироватся все кроме скайпа
http_access deny !validUserAgent - я делал и с таким правилом, доступ в инет блокировался
Эти правила нужно убрать.http://wiki.squid-cache.org/ConfigExamples/Chat/Skype писал(а): Recent releases of Skype have been evading the above restriction by not sending their User-Agent headers and using domain names. The following can be used to catch those installs, but be aware it will likely also catch other agents.
Для правильной блокировки скайп нужны только эти правила:
p.s. UA=UserAgent# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
-
- проходил мимо
Re: Как заблокировать skype?
у скайпа есть серверы регистрации
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится
и ненадо никакого гемора что то резать или фильры придумывать
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится
и ненадо никакого гемора что то резать или фильры придумывать
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
Re: Как заблокировать skype?
Закрывать доступ к серверам авторизации не имеет смысла, т.к.Гость писал(а):у скайпа есть серверы регистрации
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится...
Цитата отсюда: http://www.xakep.ru/post/38543/default.aspАрхитектура распределенной сети
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.
Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).
-
- проходил мимо
Re: Как заблокировать skype?
не надо читать через строку
головам вам зачем?
обясните мне через кого будет скайп авторизироватся? пароль логин через соседа проверять? или через дядю петю из Омрерики? а адресс дяди пети он откуда возьмет?
есть список скайп серверов аторизации, главные ноды или как хотите называйте
которые статически вписаны в бинарник
через них происходит авторизация
а ближайшие ноды нужны что бы голос и контент отдавать
головам вам зачем?
обясните мне через кого будет скайп авторизироватся? пароль логин через соседа проверять? или через дядю петю из Омрерики? а адресс дяди пети он откуда возьмет?
есть список скайп серверов аторизации, главные ноды или как хотите называйте
которые статически вписаны в бинарник
через них происходит авторизация
а ближайшие ноды нужны что бы голос и контент отдавать
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
-
- проходил мимо
Re: Как заблокировать skype?
у меня есть старый список айпишников
так что те кто в теме пусть обновляют его, мне уже давно не интересно
так что те кто в теме пусть обновляют его, мне уже давно не интересно
експериментируйте)PresenceServers: 212.8.163.77:12351 212.8.163.78:12350 194.165.188.86:12351 194.165.188.87:12351
SipServers: 195.215.8.140:23456 212.72.49.155:23456
EventServers: 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350
LoginServers: 193.88.6.13:33033 194.165.188.79:33033 195.46.253.219:33033 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350
помоему тоже LoginServer: 193.88.6.19:33033 194.165.188.82:33033 212.72.49.143:33033
-
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-07-13 10:36:18
Re: Как заблокировать skype?
Уважаемый unix-admin а так же всем другие кто ответил в этой теме - большое вам спасибо за ответ
Начал пытатся отработать
Поправил вот конф теперь
В логах сквидо ничего по блокировке нет
Пробовал при помощи ipfw
вот чnо в ipfw show
Увы скайп проходит (хотя мое видео с той стороны не увидели)
Но вообще конечно это идея, с ip адресами серверов, но где их взять то. ???
Сниффером - я конечно сейчас буду пробовать ловить - но ведь их много , может кто решил эту проблему
Начал пытатся отработать
Боюсь не помогаетunix-admin писал(а):sergicus писал(а):p.s. UA=UserAgent# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
http_access deny numeric_IPS
http_access deny Skype_UA
Поправил вот конф теперь
Код: Выделить всё
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny numeric_IPS
http_access deny Skype_UA
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10
Пробовал при помощи ipfw
Код: Выделить всё
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com
ipfw add 26 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
ipfw add 27 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.188.79,195.46.253.219,193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.19,194.165.188.82,212.72.49.143
Код: Выделить всё
00024 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.162
00025 11 660 Wed Jan 19 09:31:29 2011 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.158
00026 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
00027 0 0 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.
Увы скайп проходит (хотя мое видео с той стороны не увидели)
Но вообще конечно это идея, с ip адресами серверов, но где их взять то. ???
Сниффером - я конечно сейчас буду пробовать ловить - но ведь их много , может кто решил эту проблему
- unix-admin
- ст. сержант
- Сообщения: 324
- Зарегистрирован: 2010-11-26 12:43:04
- Откуда: Cornucopia
-
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-07-13 10:36:18
Re: Как заблокировать skype?
unix-admin писал(а):http://forum.lissyara.su/viewtopic.php? ... 21&start=0
не помогло. Я вот попробовал - не блокирует
вот мой конфиг сквида
Код: Выделить всё
http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
acl ok_client browser Mozilla
acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser
http_access deny numeric_IPS
http_access deny Skype_UA
http_access deny !ok_client
http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN
может что то еще нужно добавить ????????? а то позарез нужно заблочить скайп
-
- ефрейтор
- Сообщения: 68
- Зарегистрирован: 2009-07-13 10:36:18
Re: Как заблокировать skype?
Кажется появился свет в конце туннеля, начало что то получатся
После долго изучения доков по скайпу, выяснил что у скайпа есть файл shared.xml в котором хранятся адреса всех ему известных супер узлов
Решил блокировать доступ к ним.
Я запускал скайп, когда скайп соединялся, выключал его и убирал файл shared.xml в другую папку, и повторял это действие
Потом извлекал из этих файлов список содержащихся в них ip адресов, используя утилитку отсюда http://blog.doylenet.net/?p=101, удалял дубликаты адресов и этот список скармливал брэндмауэру
Из 10 файлов , где должно быть 2000 адресов после удаления дубликатов извлек 994 уникальных адреса
Вот правила брэндмауэра которые я использовал
извлекал ip так
./skypecachedecode.pl /home/serge/Общедоступные/shared_8.xml >> ip.txt
сортировал и фильтровал так cat ip.txt | sort -u | cut -d: -f1 > bls.txt
добавлял в брэндмауэр (в 51 таблицу) адреса из файла при помощи такого скрипта
Краткое промежуточное резюме - на 11 запуске (после создания нового shared.xml )
Аутентификации мои правила не мешают ,
В сеть он пока еще проламывается, хотя занимает это теперь около 40 секунд (вместо 2-3)
Мне нужен совет , правильно ли я действую ? Сейчас буду еще налавливать адреса
Полученный файл я приложил сюда - может кто уловит закономерности (что б не вылавливать по кусочка а блокировать сетями)
Буду очень благодарен за помощь
После долго изучения доков по скайпу, выяснил что у скайпа есть файл shared.xml в котором хранятся адреса всех ему известных супер узлов
Решил блокировать доступ к ним.
Я запускал скайп, когда скайп соединялся, выключал его и убирал файл shared.xml в другую папку, и повторял это действие
Потом извлекал из этих файлов список содержащихся в них ip адресов, используя утилитку отсюда http://blog.doylenet.net/?p=101, удалял дубликаты адресов и этот список скармливал брэндмауэру
Из 10 файлов , где должно быть 2000 адресов после удаления дубликатов извлек 994 уникальных адреса
Вот правила брэндмауэра которые я использовал
Код: Выделить всё
ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to "table(51)"
извлекал ip так
./skypecachedecode.pl /home/serge/Общедоступные/shared_8.xml >> ip.txt
сортировал и фильтровал так cat ip.txt | sort -u | cut -d: -f1 > bls.txt
добавлял в брэндмауэр (в 51 таблицу) адреса из файла при помощи такого скрипта
Код: Выделить всё
[root@gw2 /usr/home/serge]# cat vtabl.sh
#!/bin/sh
ipfw table 51 flush
cat /home/serge/bls.txt | while read ip; do
ipfw table 51 add $ip
done
Краткое промежуточное резюме - на 11 запуске (после создания нового shared.xml )
Аутентификации мои правила не мешают ,
В сеть он пока еще проламывается, хотя занимает это теперь около 40 секунд (вместо 2-3)
Мне нужен совет , правильно ли я действую ? Сейчас буду еще налавливать адреса
Полученный файл я приложил сюда - может кто уловит закономерности (что б не вылавливать по кусочка а блокировать сетями)
Буду очень благодарен за помощь
- Вложения
-
- bls.txt
- (13.62 КБ) 29 скачиваний
-
- проходил мимо
Re: Как заблокировать skype?
не не правильно
у скайпа очень ограниченый список супер узлов, я вам список айпи привел выше
а то что вы показываете
это список айпи адрессов которые скайп получает от своих супер узлов))
вам нужно дампить прокси запросы и смотреть куда обращается скайп при проксирвоании
если там только skype.com
то вам будет достаточно получить все айпи алиясы skype.com и заблочить их на прокси
у скайпа очень ограниченый список супер узлов, я вам список айпи привел выше
а то что вы показываете
это список айпи адрессов которые скайп получает от своих супер узлов))
вам нужно дампить прокси запросы и смотреть куда обращается скайп при проксирвоании
если там только skype.com
то вам будет достаточно получить все айпи алиясы skype.com и заблочить их на прокси