Страница 1 из 1

Как заблокировать Skype?

Добавлено: 2010-02-17 16:00:01
ttys
FreeBSD 8
Понадобилось заблокировать Skype?
Есть какой нибудь пример как это сделать?

Re: Как заблокировать Skype?

Добавлено: 2010-02-17 16:21:15
manefesto
а ты блокируй сервера на которые он долбиться

Re: Как заблокировать Skype?

Добавлено: 2010-02-17 16:29:05
ttys
вот здесь написано что каждый клиент может быть сервером, и есть правила для iptable, а у меня с iptable проблема :oops:

Re: Как заблокировать Skype?

Добавлено: 2010-02-17 17:16:55
kron
Ну вообще Iptable это линуксовая весч, а что стоит у тебя PF или IPFW?
Отталкиваясь от этого скажем тебе правило

Re: Как заблокировать Skype?

Добавлено: 2010-02-17 21:07:34
ttys
kron писал(а):Ну вообще Iptable это линуксовая весч, а что стоит у тебя PF или IPFW?
Отталкиваясь от этого скажем тебе правило
Что такое iptable я знаю.
У меня pf

Re: Как заблокировать Skype?

Добавлено: 2010-02-17 21:14:39
baton4eg
его мне кажется очень трудно будет заблочить, откройте нужные порты, с которыми вы работаете, остальные прекройте. если не ошибаюсь, скайп и на 80 порту работает.

Re: Как заблокировать Skype?

Добавлено: 2010-02-18 1:03:33
si4re
http://www.net-security.org/dl/articles ... locking%22
и
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

но тут закрытие squid'ом



на работе была обратная вещь - разрешить доступ скайп телефону :roll:

Re: Как заблокировать Skype?

Добавлено: 2010-02-18 9:50:45
ttys
Из этой статьи:
Таким образом, чтобы заблокировать UDP-трафик, генерируемый Skype, достаточно добавить в брандмауэр следующее правило:
iptables -I FORWARD -p udp -m length --length 39 -m u32
--u32 '27&0 x8f=7' --u32 '31=0 x527c4833 ' -j DROP
К сожалению, блокировка UDP-трафика ничего не решает, поскольку Skype автоматом переходит на TCP, но тут есть одна небольшая зацепка. Заголовки входящих IP-пакетов, относящиеся к протоколу обмена SSL-ключами (SSL key-exchange packets), содержат нехарактерный для «нормальных» приложений идентификатор 170301h, возвращаемый в ответ на запрос с идентификатором 160301h (стандартный SSL версии 3.1). Таким образом, блокирование всех входящих пакетов, содержащих в заголовке 170301h, серьезно озадачит Skype, и текущие версии потеряют работоспособность. Вот только надолго ли…
Только как это сделать на pf? :unknown:

Re: Как заблокировать Skype?

Добавлено: 2010-02-18 10:44:22
Гость
не надо блокировать столь полезную програмку

Re: Как заблокировать Skype?

Добавлено: 2010-02-19 12:51:34
TITANius
Гость писал(а):не надо блокировать столь полезную програмку
юзвер сети в которой будут блочить скайп ? :)

Re: Как заблокировать Skype?

Добавлено: 2010-02-19 16:45:22
Shuba
У меня стояла полностью противоположная задача, сделать работоспособным через проксю. Вообщем вычитал, что для работы обязательны 80 и 443 порты. Ну так прикрой фаером 443 к примеру, обычные юзверя им редко пользуются

Re: Как заблокировать Skype?

Добавлено: 2010-02-24 13:28:06
ttys
заблокировал таким способом:
/etc/pf.conf

Код: Выделить всё

rdr on $int_if proto { tcp } from $int_lan to any port { www, https, domain } -> 127.0.0.1 port 3128
/usr/local/etc/squid/squid.conf

Код: Выделить всё

# skype
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^

# skype
http_access deny numeric_IPS
http_access deny Skype_UA
спс помогло :smile:

Re: Как заблокировать Skype?

Добавлено: 2011-08-12 17:54:02
goblin13
Собственно появилась нужда заблокировать скайп на шлюзе. Попробую объяснить свою ситуацию чтоб все поняли. Имеются 2 оффиса, у первого (назовем его Центральным) Интернет, у второго (скажем, Южный) только локальный канал, всмысле если я живу в Германии, то получается доступны все немецкие сайты, АйПи и тд, мир отключен с провайдера. На каждый оффис есть свой сервант под фрю 7.0 , также связаны филиалы втуном. Первоначальная задача была отрубить инет некоторым пользователям с Центр., оставить только локалку. Первая идея в голове была пробросить (как фаер на шлюзе PF) этих юзверей на сквид, который будет установлен на Южном (напоминаю там нет интернета, как раз то что нужно). Так и сделали, но: начальство захотела блокировать соотв.. пользователям Скайп. Вот здесь и зашел в тупик, пробовал этим способом, не выходит. Кусок конфига ПФ на Центр.:

Код: Выделить всё

ext_if="rl0" # Внешка
int_if="rl1" # Внутренний интерфейс
int_net="192.168.2.0/24" # Сетка в Ц. Оффисе
squid_addr="192.168.3.254" # IP Южного сервера
table <users> persist file "/etc/pf/nat.conf" # Юзеры которые не должны иметь инет
nat on $ext_if from $int_net to any -> ($ext_if)
rdr on $int_if proto tcp from <users> to any port { www, https, domain } -> $squid_addr port 3128
на сквиде то же самое что в предыдущем посте. На Южном серваке и на центральном нет правил фильтрации, то есть NAT, все разрешено. Подскажите что да как, спасибо
ЗЫ. + ко всему https не ладит чето с прозрачным сквидом, думаю вообще его рубить для данных пользователей, а банки всякие пустить через сервак 2003 над котором правила редиректа не распространяется