The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Блокирование Skype соединений на прокси-сервере Squid
Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

   # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
   acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

   # ACL для выявления обращений со словом skype в заголовке User Agent
   acl Skype_UA browser ^skype^

   # Блокируем skype по двум вышеописанным признакам
   http_access deny numeric_IPS
   http_access deny Skype_UA
 
Ключи: block, skype, squid, proxy, acl
Раздел:    Корень / Администратору / Сетевые сервисы / Прокси сервер Squid / ACL, ограничения трафика и пользователей

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, vgray (??), 19:11, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    > ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/

    Млин, опять горе админы учат других как делать жизнь пользователям хуже

    Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.

     
     
  • 2.8, galy (?), 12:44, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Криво настроеных серверов не так уж и много и для них можно сделать правила усключений.
     
     
  • 3.17, samm (?), 02:57, 27/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    И с чего это вдруг оно стало "криво настроенным"?
     
     
  • 4.21, uder (ok), 01:48, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Использовать IP вместо доменного имени в современном Интенете, это конечно не "криво настроенным", но скорее всего что-то из той области.
     
     
  • 5.24, unscrubber (?), 07:32, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    если уж на то пошло то встречаются такие доменные имена длиной более 20 символов что уж проще айпишник запомнить. да и между это способо подстраховки от атак на dns. вобщем не вижу ни кривизны ни проблемы собственно в юзабилити. и вы отдалились от темы - к скайпу это никакого отношения не имеет.
     
     
  • 6.33, Андрей (??), 21:16, 03/09/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ?
    и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
     

  • 1.3, Kirill (??), 19:54, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Тут не всё так однозначно.
    Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
     
     
  • 2.11, vodz (?), 17:38, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Данный совет такие ftp-шики и http-шники не затронет. Вчитайтесь внимательнее: блокируется
    https://[0-9.]+:433 И это весьма действенно, так как уважающая себя организация не станет делать сертификат для https на цифровой адрес.
     
     
  • 3.12, Andrey Mitrofanov (?), 17:47, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >уважающая себя организация не станет делать сертификат для https на цифровой адрес.

    Да лана, вон на https://www.opennet.ru/opennews/art.shtml?num=27563 localhost делают _толпами_. И то ничего. :)

     
     
  • 4.13, vodz (ok), 17:53, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Хм, я тоже туплю. У меня то стоит "http_access deny CONNECT" на самом деле, а не как у топикстартера...
     

  • 1.4, Zl0 (ok), 20:52, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Ip-шники в адресной строке блокировать вообще бред.
     
     
  • 2.5, dnskin (?), 22:54, 23/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей обстановке.
     
     
  • 3.7, vgray (ok), 06:34, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    >Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И
    >ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом
    >случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей
    >обстановке.

    Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает.

    Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.

     
     
  • 4.9, galy (?), 12:47, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.


     
     
  • 5.10, vgray (ok), 12:58, 24/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.

    Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы?

    Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.


     

  • 1.6, zapal (?), 23:28, 23/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    Кстати в примере конфига SQUIDa написано:
    For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.

    Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
    Я использовал так
    #acl dom_none   dstdomain none
    #http_access    deny   dom_none

    Но долго у меня squid с такам правилом не проработал - однокласники достали ;)

     
  • 1.15, zoonman (ok), 10:52, 25/08/2010 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • +/
    http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

    Copy/Paste?

     
  • 1.16, Nas_tradamus (ok), 12:19, 26/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    Только вот Скайп так не заблокируешь.
    Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
     
     
  • 2.22, uder (ok), 01:55, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >Только вот Скайп так не заблокируешь.
    >Список IP динамический и все время меняется - это раз. Скайп умеет
    >ходить через любой открытый порт - это два. Скайп умеет шифровать
    >свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
    >- это три.

    прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.

     
     
  • 3.25, Nas_tradamus (ok), 11:54, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    >>Только вот Скайп так не заблокируешь.
    >>Список IP динамический и все время меняется - это раз. Скайп умеет
    >>ходить через любой открытый порт - это два. Скайп умеет шифровать
    >>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
    >>- это три.
    >
    >прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
    >

    Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.

     

  • 1.18, 187 (?), 14:48, 28/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Не залочишь его так.
    Странно, что вообще до сих пор тема открыта.
    Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех.
    А иначе (по крайней мере, бесплатно) - никак, имхо.
     
     
  • 2.19, Nas_tradamus (ok), 20:56, 29/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько минут. Потом он найдет лазейку через другой порт.

    У Криса Касперски есть отличная статья на тему сабжа:

    http://www.xakep.ru/magazine/xa/100/064/1.asp

     
     
  • 3.20, 187 (?), 22:28, 29/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Ну, я пишу то, как это работало.
    Делать так или иначе - решать вам.
     
  • 3.23, uder (ok), 02:02, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
    >минут. Потом он найдет лазейку через другой порт.
    >
    >У Криса Касперски есть отличная статья на тему сабжа:
    >
    >http://www.xakep.ru/magazine/xa/100/064/1.asp

    открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS рубить больно круто.

     
     
  • 4.26, Nas_tradamus (ok), 11:56, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
    >>минут. Потом он найдет лазейку через другой порт.
    >>
    >>У Криса Касперски есть отличная статья на тему сабжа:
    >>
    >>http://www.xakep.ru/magazine/xa/100/064/1.asp
    >
    >открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS
    >рубить больно круто.

    Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях "компа с инетом".

     
     
  • 5.27, Andrew Kolchoogin (?), 17:38, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях
    > "компа с инетом".

    Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;)))

    Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает.

    А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно...

    Хотя... Борьба брони и снаряда, как известно, вечна. ;)

     
     
  • 6.28, Nas_tradamus (ok), 18:08, 31/08/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом.

    В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..


     
     
  • 7.29, ы (?), 14:56, 01/09/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >Кстати, в винде можно групповыми политиками блочить skype.exe

    mv skype.exe msword.exe

     
     
  • 8.30, Nas_tradamus (ok), 15:34, 01/09/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Так ведь в групповых политиках можно запретить mv в Program Files ... текст свёрнут, показать
     
     
  • 9.31, Из ИТК (?), 18:10, 01/09/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Так ведь скайп не обязательно в Progam Files ставить ... текст свёрнут, показать
     
     
  • 10.32, Из ИТК (?), 18:17, 01/09/2010 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Да кстати у многих Program Files в wine drive_c ... текст свёрнут, показать
     

  • 1.34, sergicus (ok), 16:51, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    > Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

    А этот метод сейчас работает ??

    я делал так - полностью блокировал  443 порт таким правилом

    ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443

     
  • 1.35, anonymous (??), 14:32, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • +/
    У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой.
    Решил это следующим образом:

    Код:
    # ACL для выявления обращений к серверам ICQ
    acl Numeric_IPs_whitelist dst 94.100.181.58/31
    acl Numeric_IPs_whitelist dst 94.100.181.54/31
    acl Numeric_IPs_whitelist dst 94.100.181.52/31
    acl Numeric_IPs_whitelist dst 94.100.180.10/31
    acl Numeric_IPs_whitelist dst 94.100.178.26/31
    acl Numeric_IPs_whitelist dst 94.100.181.62/31
    acl Numeric_IPs_whitelist dst 194.67.57.142/31
    acl Numeric_IPs_whitelist dst 94.100.178.24/31
    acl Numeric_IPs_whitelist dst 94.100.181.50/31
    acl Numeric_IPs_whitelist dst 94.100.181.56/31
    acl Numeric_IPs_whitelist dst 94.100.180.22/31
    acl Numeric_IPs_whitelist dst 94.100.180.20/31
    acl Numeric_IPs_whitelist dst 195.222.173.104/31
    acl Numeric_IPs_whitelist dst 195.68.160.0/24
    acl Numeric_IPs_whitelist dst 94.100.181.48/31
    acl Numeric_IPs_whitelist dst 64.12.0.0/16
    acl Numeric_IPs_whitelist dst 195.239.111.0/24
    acl Numeric_IPs_whitelist dst 94.100.178.28/31
    acl Numeric_IPs_whitelist dst 205.188.0.0/16
    acl Numeric_IPs_whitelist dst 94.100.181.64/31
    acl Numeric_IPs_whitelist dst 94.100.181.60/31
    acl Numeric_IPs_whitelist dst 195.128.51.156/31

    # Разрешаем подключение к серверам ICQ указанным в ACL
    http_access allow Numeric_IPs_whitelist


    # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
    acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

    # ACL для выявления обращений со словом skype в заголовке User Agent
    acl Skype_UA browser ^skype^

    # Блокируем skype по двум вышеописанным признакам
    http_access deny numeric_IPS
    http_access deny Skype_UA

     
  • 1.36, Некропостер (?), 04:06, 30/03/2015 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • +/
    всё ещё проще.
    ставишь прокси с авторизацией и готово.
    скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации.
    PROFIT
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру