Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Blokada SKYPE http://forum.freesco.pl/viewtopic.php?f=22&t=18155 |
Strona 1 z 3 |
Autor: | macgyver2004 [ czwartek, 25 lutego 2010, 16:01 ] |
Tytuł: | Blokada SKYPE |
Witam Potrzebuje sposobu na zablokowanie dzialania skype bez blokowania portu 443 (Banki itp). Uzylem listy adresow z postu: http://forum.freesco.pl/viewtopic.php?t ... ight=skype ale nadal wynajduje jakies dziwne serwery i laczy sie z nimi po porcie 433. |
Autor: | Maciek [ czwartek, 25 lutego 2010, 16:15 ] |
Tytuł: | |
Generalnie rzecz biorąc skype nie zablokujesz. Może z użyciem markowania... ale ja się na tym nie znam. |
Autor: | macgyver2004 [ czwartek, 25 lutego 2010, 16:23 ] |
Tytuł: | |
Mysle ze w ten sposob jakos sobie poradze: http://forum.freesco.pl/viewtopic.php?t=18156 ale licze tez na wersje lzejsza. |
Autor: | Maciek [ czwartek, 25 lutego 2010, 17:12 ] |
Tytuł: | |
Nie. Masz kiepski pomysł wynikający zapewne z niewiedzy o zasadach działania Skype. Po pierwsze Skype wykorzysta każdy możliwy port, po drugie wykorzysta każdy możliwy adres, także np. adres innego użytkownika Skype, który będzie miał zastosowanie jako coś w rodzaju proxy. Jedyny sensowny sposób zablokowania Skype to użycie markowania pakietów, zakładając, że da się to zrobić ze Skype podobnie jak z programami p2p. Jak mówiłem nie znam się, wiec może ktoś się inny wypowie. Natomiast zastanawia mnie coś innego. Twoje posty zahaczają wciąż o zabronienie czegoś użytkownikom. Zatem rozumiem, że masz zadanie administrować jakąś firmą, której szef chce, aby użytkownicy mogli bardzo niewiele - w tym odwiedzanie tylko niektórych i nielicznych stron. Zatem zamiast kombinować, czy nie lepiej zabronić instalowania na firmowych komputerach dodatkowego oprogramowania? |
Autor: | viater [ czwartek, 25 lutego 2010, 17:22 ] |
Tytuł: | |
layer7 ma filtry skype i nawet coś tam wykrywa. |
Autor: | macgyver2004 [ czwartek, 25 lutego 2010, 17:37 ] |
Tytuł: | |
niestety ludzie przynosza swoje komputery a takze jest cos takiego jak portable skype dzialajace z pendrive #! /bin/sh echo - domena2ip rm /root/domenyip cat /root/webaccept | while read domena; do host -t A $domena | cut -d " " -f4 >> /root/domenyip done echo - ip2regula rm /root/reguly_blokada cat /root/domenyip | while read ip; do iptables -I FORWARD -s 192.168.0.0/24 -d $ip -p tcp --dport 443 -j ACCEPT >> /root/reguly_blokada done chmod +x /root/reguly_blokada echo - uruchamianie regul /root/./reguly_blokada iptables -I FORWARD -s 192.168.0.0/24 -p tcp --dport 443 -j DROP napisalem taki oto kod i do pliku webaccept wrzucilem adresy bankow ktore dzialaja na 443 ale chyba cos pomieszalem regulki iptables bo skype sie nie laczy (wszystkie porty oprocz tego zablokowane a 80 puszczony przez squid i tez dla skype zablokowany jedyne otwarte porty to 21,80 i 443 skype tylko nimi moze probowac sie laczyc a co do bronienia instalacji to jest wiele sposobow na obejscie tego wiem z doswiadczenia, google pomaga ludziom |
Autor: | Maciek [ czwartek, 25 lutego 2010, 19:10 ] |
Tytuł: | |
Rób jak chcesz i jak chce twój szef, nie mój cyrk, nie moje małpy. Jednak z zasady jest to dość głupie podejście. Marnuje się sporo czasu i energii na zabranianie, ograniczanie, uniemożliwianie, zamiast zająć się czymś produktywnym. Być może jest to inicjatywa szefa - wówczas to szef jest głupi. Być może to twoja chęć okazania władzy jako administratora, wówczas ... Z doświadczenia wiem, a mam tych doświadczeń trochę, ze zawsze lepiej działa marchewka niż kij. Znacznie lepiej doprowadzić do sytuacji, gdy pracownicy używający komputerów w firmie, mają świadomość, ze instalować skype nie wolno, bo jest to potencjalnie niebezpieczne dla danych. Użytkownicy zresztą powinni mieć określone ograniczenia na komputerach, które uniemożliwią instalację, a poza tym uniemożliwią też uruchamianie wybranych programów portable, da się to prosto zrobić (uniemożliwiając uruchamiania programów z pendrive). Bardzo prosto można uniemożliwić dostęp własnych prywatnych komputerów do sieci. Piszę o tych możliwościach dlatego, że ty właśnie wybrałeś najgłupsze z możliwych rozwiązań. |
Autor: | czerwo [ czwartek, 25 lutego 2010, 20:43 ] |
Tytuł: | |
a jak ktoś postawi sobie tunel i wszystko uruchomi? skype google i inne pierdoły? |
Autor: | Maciek [ czwartek, 25 lutego 2010, 21:36 ] |
Tytuł: | |
Albo jeszcze gorzej, ma zestaw darmowych MB i połączy się przez komórkę? |
Autor: | macgyver2004 [ piątek, 26 lutego 2010, 10:04 ] |
Tytuł: | |
Mi tam ta blokada do niczego nie jest potrzebna. Pomysl szefa. Tak jak pisalem blokada instalacji jest ale jednak z pendrive-ow ludzie korzystaja. Wiem ze to dziwne podejscie ale takie mam wytyczne do zrealizowania. Nie moge zablokowac tez sieci dla innego sprzetu. Glupio ale co zrobic. |
Autor: | realisty [ piątek, 26 lutego 2010, 10:56 ] |
Tytuł: | |
może zaDROPować zakres portów oprócz niezbędnych do działania netu |
Autor: | macgyver2004 [ piątek, 26 lutego 2010, 11:29 ] |
Tytuł: | |
Wszystkie niepotrzebne porty zDROPowalem zostaly tylko 80(przekierowany na squid) i 443 ktory musze ograniczyc tylko do witryn bankow. Czy dobrze napisalem te iptables tutaj? Bo jednak nie dzialaja. Najpierw musze dodac domeny na ALLOW a potem zablokowac calosc czy jak? |
Autor: | Mordazy [ piątek, 26 lutego 2010, 12:34 ] |
Tytuł: | |
Kiedyś się tym interesowałem. Przyblokowanie Skypa to nie jest prosta sprawa, gdyż korzysta m.in z portów 80 i 443. Podobno przepuszczenie obu tych portów przez Squida i odfiltrowanie połączeń z numerami IP zamiast nazw domen działa, ale nie sprawdzałem tego. Nikomu też chyba nie udało się przyblokować Skypa przez markowanie pakietów. Protokół jest zamknięty i jak dotychczas nie udało się go nikomu złamać, w dodatku przypuszczam że jest regularnie zmieniany. A propos Skype Portable i innych niechcianych rzeczy uruchamianych z pendriva: w windzie jest możliwość zablokowania uruchamiania programów z urządzeń przenośnych. |
Autor: | macgyver2004 [ piątek, 26 lutego 2010, 13:45 ] |
Tytuł: | |
Mordazy pisze: Kiedyś się tym interesowałem. Przyblokowanie Skypa to nie jest prosta sprawa, gdyż korzysta m.in z portów 80 i 443. Podobno przepuszczenie obu tych portów przez Squida i odfiltrowanie połączeń z numerami IP zamiast nazw domen działa, ale nie sprawdzałem tego. puscilem port 80 przez squid i to zablokowalo skype ale port 443 musze zostawic dla bankow puszczenie go przez squid odpada bo nie dzialaja banki chyba ze potrzebuje jakos go skonfigurowac inaczej Mordazy pisze: Nikomu też chyba nie udało się przyblokować Skypa przez markowanie pakietów. Protokół jest zamknięty i jak dotychczas nie udało się go nikomu złamać, w dodatku przypuszczam że jest regularnie zmieniany. tyle to wiem, probowalem kilka programow z level7 na czele dodatkowo wystarczy aby raz sie skype podlaczyl a aktualizuje sobie liste adresow ip z ktorymi laczy sie na starcie, do listy blokowanych serwerow skype caly czas cos dodaje ale to walka z wiatrakami Mordazy pisze: A propos Skype Portable i innych niechcianych rzeczy uruchamianych z pendriva: w windzie jest możliwość zablokowania uruchamiania programów z urządzeń przenośnych.
tak to by bylo fajne ale domeny nie ma w firmie a obskoczenie 100 kompow i laptopow to nie jest chwila pracy |
Autor: | viater [ piątek, 26 lutego 2010, 14:21 ] |
Tytuł: | |
Zainstaluj najnowsze definicje protokołów layer7 iptables -I FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -I FORWARD -m layer7 --l7proto skypeout -j DROP U siebie wprawdzie nie robię DROP, wręcz przeciwnie - markuję pakiety i puszczam do kolejki o wyższym prio, aczkolwiek liczniki tych reguł ciągle się kręcą i to nieźle, więc chyba jednak coś ten filtr wyłapuje... |
Autor: | -MW- [ piątek, 26 lutego 2010, 14:23 ] |
Tytuł: | |
owszem filtruje - ale szkoda ze nie to co trzeba |
Autor: | macgyver2004 [ piątek, 26 lutego 2010, 14:46 ] |
Tytuł: | |
Naprawde markowania nie potrzebuje ani blokowania przez layer7 po logach widze ze dla skype zostaly tylko porty 443 i ich skuteczne zablokowanie rozwiaze ten problem. Poprostu podpowiedzcie jak ustawic te regulki na tym porcie. |
Autor: | Maciek [ piątek, 26 lutego 2010, 15:31 ] |
Tytuł: | |
Nie rozwiążesz. Skype potrafi korzystać też z udp. |
Autor: | macgyver2004 [ piątek, 26 lutego 2010, 15:46 ] |
Tytuł: | |
UDP jest tez zablokowane. Naprawdze zablokowane jest prawie wszysko. Czy nie potraficie odpowiedziec prosto na zadane pytanie a tylko narzekacie i kombinujecie. Jak tak to poczekam na kogos kto moze mi pomoc. |
Autor: | Maciek [ piątek, 26 lutego 2010, 16:02 ] |
Tytuł: | |
W czym problem? Zablokuj port 443 i już. Co to za filozofia, blokujesz to tak samo jak całą resztę, to chyba już wiesz jak. A jeśli chcesz dopuścić ruch np. do jakiegoś banku to zrób to osobną regułką na koniec która otworzy port komputera z LAN do IP banku i zrób to dla INPUT i OUTPUT. |
Strona 1 z 3 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |