Как заблокировать skype?

[Гость]

Доброго всем дня!
Вопрос такой:
У кого то получилось закрыть доступ на Skype?
Если да, помогите пожалуйста
FreeBSD + ipfw + squid.
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[unix-admin]

Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

[sergicus]

Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

А это точно работает ??? Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??

[unix-admin]

Это видели?
http://www.opennet.ru/tips/info/2421.shtml
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

А это точно работает ???

Сам не пробовал, утверждать не буду. Но я не думаю, что http://wiki.squid-cache.org/ будет выкладывать недостоверную информацию...
Сделаете - поделитесь

Потому что если у меня транспарент прокси и на сквид 443 порт не заворачивается - т.е. перед этим нужно завернуть 443 порт на сквид ??

Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопрос

[sergicus]

Нет, в http://wiki.squid-cache.org/ConfigExamples/Chat/Skype - ответ на ваш вопрос

спасибо за ответ.

У меня вот такое правило брэндмауэра

00300 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_kmk


а в него добавил к портам 443 порт

00300 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081,443 out via wan_kmk

после этого доступ к сайтам по ssl пропал и выходит такая ошибка ssl_error_rx_record_too_long, а скайп работает


а ессли я не буду заворачивать 443 порт на сквид, но он на него и не попадет, т.е , как мне кажется, смысла писать правила в сквиде нет

-

для гарантии я заблокировал в фаерволе (в самом начале правил)

ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com

не помогает - скайп всеравно работает


вот мой конфиг сквида

http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
cache_mgr help@fmbcfmba.ru
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27

acl validUserAgent browser \S+
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype browser ^skype^

acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200


always_direct allow FTP

http_access deny denyuser
http_access deny validUserAgent
http_access deny numeric_IPs
http_access deny Skype



http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN


visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10



Да у меня есть отличие

в оригинале мне кажется опечатка, потому что если сделать так , то по правилу будет блокироватся все кроме скайпа
http_access deny !validUserAgent - я делал и с таким правилом, доступ в инет блокировался


В общем не знаю, перерыл много инфы, нигде нет ничего конкретного.

БУДУ очень благодарен за совет - где у меня ошибки , а то нужно позарез блокировать работу в скайпе

[unix-admin]

У меня вот такое правило брэндмауэра...

Пока файервол трогать не нужно... Так как:

Note that Skype prefers the port 443 which is by default enabled in Squid anyway so this configuration is only needed when you block HTTPS access through the proxy.

вот мой конфиг сквида

http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
cache_mgr help@fmbcfmba.ru
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
cache_dir ufs /usr/local/squid/cache 3072 32 512
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl localhost src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27

acl validUserAgent browser \S+
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype browser ^skype^

acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate dstdomain .download.windowsupdate.com
acl wsusserver src 172.18.1.200 192.168.1.200


always_direct allow FTP

http_access deny denyuser
http_access deny validUserAgent
http_access deny numeric_IPs
http_access deny Skype



http_access allow CONNECT LAN
http_access allow localhost
http_access deny winupdate !wsusserver
http_access allow LAN


visible_hostname gw2.local
error_directory /usr/local/etc/squid/errors/ru
logfile_rotate 10

# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^

http_access deny numeric_IPS
http_access deny Skype_UA

Попробуйте закомментировать то, что выделено жирным и добавить то что написано красным в свою конфигурацию.

Да у меня есть отличие

в оригинале мне кажется опечатка, потому что если сделать так , то по правилу будет блокироватся все кроме скайпа
http_access deny !validUserAgent - я делал и с таким правилом, доступ в инет блокировался

Это для старой версий скайпа, который в заголовке не отправлял информацию о User-Agent:

Recent releases of Skype have been evading the above restriction by not sending their User-Agent headers and using domain names. The following can be used to catch those installs, but be aware it will likely also catch other agents.

Эти правила нужно убрать.
Для правильной блокировки скайп нужны только эти правила:

# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^

http_access deny numeric_IPS
http_access deny Skype_UA

p.s. UA=UserAgent

[Гость]

у скайпа есть серверы регистрации
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится
и ненадо никакого гемора что то резать или фильры придумывать

[unix-admin]

у скайпа есть серверы регистрации
их там с десяток на старых версиях был
может в новых версиях больше
поищите это инфу
если эти сервера заблокировать
то скайп никуда никогда не законнектится...

Закрывать доступ к серверам авторизации не имеет смысла, т.к.

Архитектура распределенной сети
На атомарном уровне структура Skype-сети состоит из обычных узлов (normal/ordinal node/host/nest), обозначаемых аббревиатурой SC (Skype Client), и super-узлов (super node/host/nest), которым соответствует аббревиатура SN. Любой узел, который имеет публичный IP-адрес (тот, который маршрутизируется в интернет) и обладает достаточно широким каналом, автоматически становится super-узлом и гонит через себя трафик обычных узлов, помогая им преодолеть защиты типа брандмауэров или трансляторов сетевых адресов (NAT) и равномерно распределяя нагрузку между хостами. В этом и состоит суть самоорганизующейся распределенной децентрализованной пиринговой сети, единственным централизованным элементом которой является Skype-login-сервер, отвечающий за процедуру авторизации Skype-клиентов и гарантирующий уникальность позывных для всей распределенной сети.

Важно подчеркнуть, что связь между узлами осуществляется не напрямую, а через цепочку super-узлов. Серверов в общепринятом смысле этого слова (таких, например, как в сети eDonkey) в Skype-сети нет. Любой узел с установленным Skype-клиентом является потенциальным сервером, которым он автоматически становится при наличии достаточных системных ресурсов (объема оперативной памяти, быстродействия процессора и пропускной способности сетевого канала).

Цитата отсюда: http://www.xakep.ru/post/38543/default.asp

[Гость]

не надо читать через строку
головам вам зачем?
обясните мне через кого будет скайп авторизироватся? пароль логин через соседа проверять? или через дядю петю из Омрерики? а адресс дяди пети он откуда возьмет?

есть список скайп серверов аторизации, главные ноды или как хотите называйте
которые статически вписаны в бинарник
через них происходит авторизация
а ближайшие ноды нужны что бы голос и контент отдавать

[unix-admin]

Если у вас есть решение - покажите.

[Гость]

у меня есть старый список айпишников
так что те кто в теме пусть обновляют его, мне уже давно не интересно

PresenceServers: 212.8.163.77:12351 212.8.163.78:12350 194.165.188.86:12351 194.165.188.87:12351
SipServers: 195.215.8.140:23456 212.72.49.155:23456
EventServers: 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350
LoginServers: 193.88.6.13:33033 194.165.188.79:33033 195.46.253.219:33033 193.88.8.59:12350 194.165.188.76:12350 212.8.163.76:12350

помоему тоже LoginServer: 193.88.6.19:33033 194.165.188.82:33033 212.72.49.143:33033

експериментируйте)

[sergicus]

Уважаемый unix-admin а так же всем другие кто ответил в этой теме - большое вам спасибо за ответ

Начал пытатся отработать

# Skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^

http_access deny numeric_IPS
http_access deny Skype_UA

p.s. UA=UserAgent

Боюсь не помогает

Поправил вот конф теперь

Код: Выделить всё

http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query 
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
        cache_dir ufs  /usr/local/squid/cache  3072 32 512
        cache_access_log  /usr/local/squid/logs/access.log
        cache_log /usr/local/squid/logs/cache.log
        cache_store_log /usr/local/squid/logs/store.log
acl localhost 		src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
 
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^

acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate	dstdomain .download.windowsupdate.com
acl wsusserver	src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser

http_access deny numeric_IPS
http_access deny Skype_UA


http_access allow CONNECT LAN
http_access allow	localhost
http_access deny	winupdate !wsusserver
http_access allow	LAN
visible_hostname gw2.local 
 error_directory /usr/local/etc/squid/errors/ru 
logfile_rotate 10

В логах сквидо ничего по блокировке нет


Пробовал при помощи ipfw

Код: Выделить всё

ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com 
ipfw add 26 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
ipfw add 27 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.188.79,195.46.253.219,193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.19,194.165.188.82,212.72.49.143

вот чnо в ipfw show

Код: Выделить всё

00024        0           0                         deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.162
00025       11         660 Wed Jan 19 09:31:29 2011 deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 204.9.163.158
00026        0           0                         deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 212.8.163.77,212.8.163.78,194.165.188.86,194.165.188.87,195.215.8.140,212.72.49.155
00027        0           0                         deny log logamount 100 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 193.88.8.59,194.165.188.76,212.8.163.76,193.88.6.13,194.165.

Увы скайп проходит (хотя мое видео с той стороны не увидели)


Но вообще конечно это идея, с ip адресами серверов, но где их взять то. ???
Сниффером - я конечно сейчас буду пробовать ловить - но ведь их много , может кто решил эту проблему

[unix-admin]

http://forum.lissyara.su/viewtopic.php? ... 21&start=0

[sergicus]

http://forum.lissyara.su/viewtopic.php? ... 21&start=0

не помогло. Я вот попробовал - не блокирует

вот мой конфиг сквида

Код: Выделить всё

    http_port 172.18.6.1:3128 transparent
    http_port 172.18.7.1:3128 transparent
    http_port 127.0.0.1:3128 transparent
    http_port 200.1.1.1:3128 transparent
    cache_peer 127.0.0.1 parent 3127 0 default no-query 
    prefer_direct off
    cache_mem 200 MB
    cache_swap_low 90
    cache_swap_high 95
    cache_effective_user squid
    forwarded_for on
    maximum_object_size 9 MB
    emulate_httpd_log off
    log_ip_on_direct on
    ftp_user anonymous
    ftp_list_width 32
    ftp_passive on
    ftp_sanitycheck off
    ftp_telnet_protocol on
    ie_refresh on
    icp_port 0
    log_fqdn on
    hierarchy_stoplist cgi-bin \?
            cache_dir ufs  /usr/local/squid/cache  3072 32 512
            cache_access_log  /usr/local/squid/logs/access.log
            cache_log /usr/local/squid/logs/cache.log
            cache_store_log /usr/local/squid/logs/store.log

    acl localhost       src 127.0.0.1
    acl denyuser src "/usr/local/etc/squid/acl_denyuser"
    acl CONNECT method CONNECT
    acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
     
    acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
    acl Skype_UA browser ^skype^
    acl ok_client browser Mozilla


    acl SSLPorts port 443 563
    acl FTP proto FTP
    acl winupdate   dstdomain .download.windowsupdate.com
    acl wsusserver   src 172.18.1.200 192.168.1.200
    always_direct allow FTP
    http_access deny denyuser

    http_access deny numeric_IPS
    http_access deny Skype_UA
    http_access deny !ok_client



    http_access allow CONNECT LAN
    http_access allow   localhost
    http_access deny   winupdate !wsusserver
    http_access allow   LAN

может что то еще нужно добавить ????????? а то позарез нужно заблочить скайп

[sergicus]

Кажется появился свет в конце туннеля, начало что то получатся

После долго изучения доков по скайпу, выяснил что у скайпа есть файл shared.xml в котором хранятся адреса всех ему известных супер узлов

Решил блокировать доступ к ним.

Я запускал скайп, когда скайп соединялся, выключал его и убирал файл shared.xml в другую папку, и повторял это действие

Потом извлекал из этих файлов список содержащихся в них ip адресов, используя утилитку отсюда http://blog.doylenet.net/?p=101, удалял дубликаты адресов и этот список скармливал брэндмауэру


Из 10 файлов , где должно быть 2000 адресов после удаления дубликатов извлек 994 уникальных адреса


Вот правила брэндмауэра которые я использовал

Код: Выделить всё

ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to skype.com 
ipfw add 24 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to ui.skype.com
ipfw add 25 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to "table(51)"

извлекал ip так
./skypecachedecode.pl /home/serge/Общедоступные/shared_8.xml >> ip.txt

сортировал и фильтровал так cat ip.txt | sort -u | cut -d: -f1 > bls.txt


добавлял в брэндмауэр (в 51 таблицу) адреса из файла при помощи такого скрипта

Код: Выделить всё

[root@gw2 /usr/home/serge]# cat vtabl.sh 
#!/bin/sh
ipfw table 51 flush
cat /home/serge/bls.txt | while read ip; do
  ipfw table 51 add $ip
  done

Краткое промежуточное резюме - на 11 запуске (после создания нового shared.xml )

Аутентификации мои правила не мешают ,
В сеть он пока еще проламывается, хотя занимает это теперь около 40 секунд (вместо 2-3)



Мне нужен совет , правильно ли я действую ? Сейчас буду еще налавливать адреса


Полученный файл я приложил сюда - может кто уловит закономерности (что б не вылавливать по кусочка а блокировать сетями)


Буду очень благодарен за помощь

[Гость]

не не правильно
у скайпа очень ограниченый список супер узлов, я вам список айпи привел выше
а то что вы показываете
это список айпи адрессов которые скайп получает от своих супер узлов))

вам нужно дампить прокси запросы и смотреть куда обращается скайп при проксирвоании
если там только skype.com
то вам будет достаточно получить все айпи алиясы skype.com и заблочить их на прокси