Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 01:09

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę 1, 2, 3  Następna
Autor Wiadomość
 Tytuł: Blokada SKYPE
Post: czwartek, 25 lutego 2010, 16:01 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Witam

Potrzebuje sposobu na zablokowanie dzialania skype bez blokowania
portu 443 (Banki itp). Uzylem listy adresow z postu:
http://forum.freesco.pl/viewtopic.php?t ... ight=skype
ale nadal wynajduje jakies dziwne serwery i laczy sie z nimi po porcie 433.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 16:15 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Generalnie rzecz biorąc skype nie zablokujesz. Może z użyciem markowania... ale ja się na tym nie znam.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 16:23 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Mysle ze w ten sposob jakos sobie poradze:
http://forum.freesco.pl/viewtopic.php?t=18156
ale licze tez na wersje lzejsza.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 17:12 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie. Masz kiepski pomysł wynikający zapewne z niewiedzy o zasadach działania Skype.
Po pierwsze Skype wykorzysta każdy możliwy port, po drugie wykorzysta każdy możliwy adres, także np. adres innego użytkownika Skype, który będzie miał zastosowanie jako coś w rodzaju proxy.
Jedyny sensowny sposób zablokowania Skype to użycie markowania pakietów, zakładając, że da się to zrobić ze Skype podobnie jak z programami p2p. Jak mówiłem nie znam się, wiec może ktoś się inny wypowie.
Natomiast zastanawia mnie coś innego.
Twoje posty zahaczają wciąż o zabronienie czegoś użytkownikom. Zatem rozumiem, że masz zadanie administrować jakąś firmą, której szef chce, aby użytkownicy mogli bardzo niewiele - w tym odwiedzanie tylko niektórych i nielicznych stron. Zatem zamiast kombinować, czy nie lepiej zabronić instalowania na firmowych komputerach dodatkowego oprogramowania?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 17:22 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
layer7 ma filtry skype i nawet coś tam wykrywa.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 17:37 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
niestety ludzie przynosza swoje komputery a takze jest cos takiego jak portable skype dzialajace z pendrive


: [/] [] ()
#! /bin/sh
echo - domena2ip
rm /root/domenyip
cat /root/webaccept | while read domena; do
    host -t A $domena | cut -d " " -f4 >> /root/domenyip
done
echo - ip2regula
rm /root/reguly_blokada
cat /root/domenyip | while read ip; do
    iptables -I FORWARD -s 192.168.0.0/24 -d $ip -p tcp --dport 443 -j ACCEPT  >> /root/reguly_blokada
done
chmod +x /root/reguly_blokada
echo - uruchamianie regul
/root/./reguly_blokada
iptables -I FORWARD -s 192.168.0.0/24 -p tcp --dport 443 -j DROP

napisalem taki oto kod i do pliku webaccept wrzucilem adresy bankow ktore dzialaja na 443 ale chyba cos pomieszalem regulki iptables
bo skype sie nie laczy (wszystkie porty oprocz tego zablokowane a 80 puszczony przez squid i tez dla skype zablokowany
jedyne otwarte porty to 21,80 i 443 skype tylko nimi moze probowac sie laczyc

a co do bronienia instalacji to jest wiele sposobow na obejscie tego
wiem z doswiadczenia, google pomaga ludziom

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 19:10 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Rób jak chcesz i jak chce twój szef, nie mój cyrk, nie moje małpy.
Jednak z zasady jest to dość głupie podejście. Marnuje się sporo czasu i energii na zabranianie, ograniczanie, uniemożliwianie, zamiast zająć się czymś produktywnym. Być może jest to inicjatywa szefa - wówczas to szef jest głupi. Być może to twoja chęć okazania władzy jako administratora, wówczas ...
Z doświadczenia wiem, a mam tych doświadczeń trochę, ze zawsze lepiej działa marchewka niż kij.
Znacznie lepiej doprowadzić do sytuacji, gdy pracownicy używający komputerów w firmie, mają świadomość, ze instalować skype nie wolno, bo jest to potencjalnie niebezpieczne dla danych. Użytkownicy zresztą powinni mieć określone ograniczenia na komputerach, które uniemożliwią instalację, a poza tym uniemożliwią też uruchamianie wybranych programów portable, da się to prosto zrobić (uniemożliwiając uruchamiania programów z pendrive). Bardzo prosto można uniemożliwić dostęp własnych prywatnych komputerów do sieci. Piszę o tych możliwościach dlatego, że ty właśnie wybrałeś najgłupsze z możliwych rozwiązań.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 20:43 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
a jak ktoś postawi sobie tunel i wszystko uruchomi? skype google i inne pierdoły? :P

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 25 lutego 2010, 21:36 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Albo jeszcze gorzej, ma zestaw darmowych MB i połączy się przez komórkę? :)

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 10:04 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Mi tam ta blokada do niczego nie jest potrzebna. Pomysl szefa. Tak jak pisalem blokada instalacji jest ale jednak z pendrive-ow ludzie korzystaja.
Wiem ze to dziwne podejscie ale takie mam wytyczne do zrealizowania.
Nie moge zablokowac tez sieci dla innego sprzetu.
Glupio ale co zrobic.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 10:56 
Offline
Użytkownik

Rejestracja: niedziela, 8 kwietnia 2007, 15:17
Posty: 383
może zaDROPować zakres portów oprócz niezbędnych do działania netu

_________________
Jeśli post okazał się pomocny kliknij Pomógł
GG: 9822296
Obrazek
Multimo 2Mb


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 11:29 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Wszystkie niepotrzebne porty zDROPowalem
zostaly tylko 80(przekierowany na squid) i 443
ktory musze ograniczyc tylko do witryn bankow.

Czy dobrze napisalem te iptables tutaj?
Bo jednak nie dzialaja.
Najpierw musze dodac domeny na ALLOW a potem zablokowac calosc czy jak?

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 12:34 
Offline

Rejestracja: środa, 30 listopada 2005, 17:40
Posty: 62
Kiedyś się tym interesowałem. Przyblokowanie Skypa to nie jest prosta sprawa, gdyż korzysta m.in z portów 80 i 443. Podobno przepuszczenie obu tych portów przez Squida i odfiltrowanie połączeń z numerami IP zamiast nazw domen działa, ale nie sprawdzałem tego.

Nikomu też chyba nie udało się przyblokować Skypa przez markowanie pakietów. Protokół jest zamknięty i jak dotychczas nie udało się go nikomu złamać, w dodatku przypuszczam że jest regularnie zmieniany.

A propos Skype Portable i innych niechcianych rzeczy uruchamianych z pendriva: w windzie jest możliwość zablokowania uruchamiania programów z urządzeń przenośnych.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 13:45 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Mordazy pisze:
Kiedyś się tym interesowałem. Przyblokowanie Skypa to nie jest prosta sprawa, gdyż korzysta m.in z portów 80 i 443. Podobno przepuszczenie obu tych portów przez Squida i odfiltrowanie połączeń z numerami IP zamiast nazw domen działa, ale nie sprawdzałem tego.

puscilem port 80 przez squid i to zablokowalo skype
ale port 443 musze zostawic dla bankow
puszczenie go przez squid odpada bo nie dzialaja banki
chyba ze potrzebuje jakos go skonfigurowac inaczej

Mordazy pisze:
Nikomu też chyba nie udało się przyblokować Skypa przez markowanie pakietów. Protokół jest zamknięty i jak dotychczas nie udało się go nikomu złamać, w dodatku przypuszczam że jest regularnie zmieniany.

tyle to wiem, probowalem kilka programow z level7 na czele
dodatkowo wystarczy aby raz sie skype podlaczyl a aktualizuje sobie liste adresow ip z ktorymi laczy sie na starcie, do listy blokowanych serwerow skype caly czas cos dodaje ale to walka z wiatrakami
Mordazy pisze:
A propos Skype Portable i innych niechcianych rzeczy uruchamianych z pendriva: w windzie jest możliwość zablokowania uruchamiania programów z urządzeń przenośnych.


tak to by bylo fajne ale domeny nie ma w firmie
a obskoczenie 100 kompow i laptopow to nie jest chwila pracy

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 14:21 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Zainstaluj najnowsze definicje protokołów layer7

iptables -I FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -I FORWARD -m layer7 --l7proto skypeout -j DROP

U siebie wprawdzie nie robię DROP, wręcz przeciwnie - markuję pakiety i puszczam do kolejki o wyższym prio, aczkolwiek liczniki tych reguł ciągle się kręcą i to nieźle, więc chyba jednak coś ten filtr wyłapuje...

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 14:23 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
owszem filtruje - ale szkoda ze nie to co trzeba :)

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 14:46 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
Naprawde markowania nie potrzebuje ani blokowania przez layer7
po logach widze ze dla skype zostaly tylko porty 443
i ich skuteczne zablokowanie rozwiaze ten problem.

Poprostu podpowiedzcie jak ustawic te regulki na tym porcie.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 15:31 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie rozwiążesz. Skype potrafi korzystać też z udp.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 15:46 
Offline

Rejestracja: środa, 20 lutego 2008, 15:32
Posty: 63
Lokalizacja: Wyszków
UDP jest tez zablokowane.
Naprawdze zablokowane jest prawie wszysko.
Czy nie potraficie odpowiedziec prosto na zadane pytanie
a tylko narzekacie i kombinujecie.
Jak tak to poczekam na kogos kto moze mi pomoc.

_________________
Dom: Debian (1,6GHz, 2GB@256, 250GB)
[DHCP, Squid, Apache...]
Praca: NND (400Mhz, 512@300, 40GB)
[DHCP, Squid, dansguardian, niceshaper]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 lutego 2010, 16:02 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
W czym problem? Zablokuj port 443 i już. Co to za filozofia, blokujesz to tak samo jak całą resztę, to chyba już wiesz jak.
A jeśli chcesz dopuścić ruch np. do jakiegoś banku to zrób to osobną regułką na koniec która otworzy port komputera z LAN do IP banku i zrób to dla INPUT i OUTPUT.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 55 ]  Przejdź na stronę 1, 2, 3  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 30 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl