форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Блокирование Skype соединений на пр..."	+/–
Сообщение от auto_tips (??) on 23-Авг-10, 19:11
Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:    # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/    acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443    # ACL для выявления обращений со словом skype в заголовке User Agent    acl Skype_UA browser ^skype^    # Блокируем skype по двум вышеописанным признакам    http_access deny numeric_IPS    http_access deny Skype_UA URL: http://wiki.opennet.ru/SquidSkype http://wiki.squid-cache.org/ConfigExamples/Chat/Skype http://www.net-security.org/dl/articles/Blocking_Skype.pdf Обсуждается: http://www.opennet.dev/tips/info/2421.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от vgray (??) on 23-Авг-10, 19:11
> ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/ Млин, опять горе админы учат других как делать жизнь пользователям хуже Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Блокирование Skype соединений на прокси-сервере Squid "	–1 +/–
	Сообщение от galy on 24-Авг-10, 12:44
	Криво настроеных серверов не так уж и много и для них можно сделать правила усключений.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	17. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от samm on 27-Авг-10, 02:57
	И с чего это вдруг оно стало "криво настроенным"?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	21. "Блокирование Skype соединений на прокси-сервере Squid "	–1 +/–
	Сообщение от uder (ok) on 31-Авг-10, 01:48
	Использовать IP вместо доменного имени в современном Интенете, это конечно не "криво настроенным", но скорее всего что-то из той области.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от unscrubber on 31-Авг-10, 07:32
	если уж на то пошло то встречаются такие доменные имена длиной более 20 символов что уж проще айпишник запомнить. да и между это способо подстраховки от атак на dns. вобщем не вижу ни кривизны ни проблемы собственно в юзабилити. и вы отдалились от темы - к скайпу это никакого отношения не имеет.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	33. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Андрей (??) on 03-Сен-10, 21:16
	а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ? и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

3. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от Kirill (??) on 23-Авг-10, 19:54
Тут не всё так однозначно. Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от vodz on 24-Авг-10, 17:38
	Данный совет такие ftp-шики и http-шники не затронет. Вчитайтесь внимательнее: блокируется https://[0-9.]+:433 И это весьма действенно, так как уважающая себя организация не станет делать сертификат для https на цифровой адрес.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	12. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Andrey Mitrofanov on 24-Авг-10, 17:47
	>уважающая себя организация не станет делать сертификат для https на цифровой адрес. Да лана, вон на http://www.opennet.dev/opennews/art.shtml?num=27563 localhost делают _толпами_. И то ничего. :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от vodz (ok) on 24-Авг-10, 17:53
	Хм, я тоже туплю. У меня то стоит "http_access deny CONNECT" на самом деле, а не как у топикстартера...
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

4. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от Zl0 (ok) on 23-Авг-10, 20:52
Ip-шники в адресной строке блокировать вообще бред.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Блокирование Skype соединений на прокси-сервере Squid "	+1 +/–
	Сообщение от dnskin on 23-Авг-10, 22:54
	Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей обстановке.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Блокирование Skype соединений на прокси-сервере Squid "	+1 +/–
	Сообщение от vgray (ok) on 24-Авг-10, 06:34
	>Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И >ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом >случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей >обстановке. Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает. Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от galy on 24-Авг-10, 12:47
	Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от vgray (ok) on 24-Авг-10, 12:58
	>Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально. Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы? Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

6. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от zapal on 23-Авг-10, 23:28
Кстати в примере конфига SQUIDa написано: For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails. Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex Я использовал так #acl dom_none   dstdomain none #http_access    deny   dom_none Но долго у меня squid с такам правилом не проработал - однокласники достали ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от zoonman (ok) on 25-Авг-10, 10:52
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype Copy/Paste?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от Nas_tradamus (ok) on 26-Авг-10, 12:19
Только вот Скайп так не заблокируешь. Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от uder (ok) on 31-Авг-10, 01:55
	>Только вот Скайп так не заблокируешь. >Список IP динамический и все время меняется - это раз. Скайп умеет >ходить через любой открытый порт - это два. Скайп умеет шифровать >свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются >- это три. прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	25. "Блокирование Skype соединений на прокси-сервере Squid "	–1 +/–
	Сообщение от Nas_tradamus (ok) on 31-Авг-10, 11:54
	>>Только вот Скайп так не заблокируешь. >>Список IP динамический и все время меняется - это раз. Скайп умеет >>ходить через любой открытый порт - это два. Скайп умеет шифровать >>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются >>- это три. > >прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы. > Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

18. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от 187 on 28-Авг-10, 14:48
Не залочишь его так. Странно, что вообще до сих пор тема открыта. Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех. А иначе (по крайней мере, бесплатно) - никак, имхо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Nas_tradamus (ok) on 29-Авг-10, 20:56
	И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько минут. Потом он найдет лазейку через другой порт. У Криса Касперски есть отличная статья на тему сабжа: http://www.xakep.ru/magazine/xa/100/064/1.asp
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от 187 on 29-Авг-10, 22:28
	Ну, я пишу то, как это работало. Делать так или иначе - решать вам.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	23. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от uder (ok) on 31-Авг-10, 02:02
	>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько >минут. Потом он найдет лазейку через другой порт. > >У Криса Касперски есть отличная статья на тему сабжа: > >http://www.xakep.ru/magazine/xa/100/064/1.asp открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS рубить больно круто.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	26. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Nas_tradamus (ok) on 31-Авг-10, 11:56
	>>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько >>минут. Потом он найдет лазейку через другой порт. >> >>У Криса Касперски есть отличная статья на тему сабжа: >> >>http://www.xakep.ru/magazine/xa/100/064/1.asp > >открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS >рубить больно круто. Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях "компа с инетом".
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Andrew Kolchoogin on 31-Авг-10, 17:38
	> Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях > "компа с инетом". Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;))) Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает. А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно... Хотя... Борьба брони и снаряда, как известно, вечна. ;)
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	28. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Nas_tradamus (ok) on 31-Авг-10, 18:08
	Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом. В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	29. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от ы on 01-Сен-10, 14:56
	>Кстати, в винде можно групповыми политиками блочить skype.exe mv skype.exe msword.exe
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	30. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Nas_tradamus (ok) on 01-Сен-10, 15:34
	>>Кстати, в винде можно групповыми политиками блочить skype.exe > >mv skype.exe msword.exe Так ведь в групповых политиках можно запретить mv в Program Files.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	31. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
	Сообщение от Из ИТК on 01-Сен-10, 18:10
	Так ведь скайп не обязательно в Progam Files ставить =)
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	32. "Блокирование Skype соединений на прокси-сервере Squid "	+1 +/–
	Сообщение от Из ИТК on 01-Сен-10, 18:17
	>Так ведь скайп не обязательно в Progam Files ставить =) Да кстати у многих Program Files в ~/.wine/drive_c =)
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Раздел полезных советов: Блокирование Skype соединений на пр..."	+/–
Сообщение от sergicus (ok) on 17-Янв-11, 16:51
> Для блокирование Skype в конфигурацию Squid можно внести следующие изменения: А этот метод сейчас работает ?? я делал так - полностью блокировал  443 порт таким правилом ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от anonymous (??) on 20-Апр-12, 14:32
У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой. Решил это следующим образом: Код: # ACL для выявления обращений к серверам ICQ acl Numeric_IPs_whitelist dst 94.100.181.58/31 acl Numeric_IPs_whitelist dst 94.100.181.54/31 acl Numeric_IPs_whitelist dst 94.100.181.52/31 acl Numeric_IPs_whitelist dst 94.100.180.10/31 acl Numeric_IPs_whitelist dst 94.100.178.26/31 acl Numeric_IPs_whitelist dst 94.100.181.62/31 acl Numeric_IPs_whitelist dst 194.67.57.142/31 acl Numeric_IPs_whitelist dst 94.100.178.24/31 acl Numeric_IPs_whitelist dst 94.100.181.50/31 acl Numeric_IPs_whitelist dst 94.100.181.56/31 acl Numeric_IPs_whitelist dst 94.100.180.22/31 acl Numeric_IPs_whitelist dst 94.100.180.20/31 acl Numeric_IPs_whitelist dst 195.222.173.104/31 acl Numeric_IPs_whitelist dst 195.68.160.0/24 acl Numeric_IPs_whitelist dst 94.100.181.48/31 acl Numeric_IPs_whitelist dst 64.12.0.0/16 acl Numeric_IPs_whitelist dst 195.239.111.0/24 acl Numeric_IPs_whitelist dst 94.100.178.28/31 acl Numeric_IPs_whitelist dst 205.188.0.0/16 acl Numeric_IPs_whitelist dst 94.100.181.64/31 acl Numeric_IPs_whitelist dst 94.100.181.60/31 acl Numeric_IPs_whitelist dst 195.128.51.156/31 # Разрешаем подключение к серверам ICQ указанным в ACL http_access allow Numeric_IPs_whitelist # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/ acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443 # ACL для выявления обращений со словом skype в заголовке User Agent acl Skype_UA browser ^skype^ # Блокируем skype по двум вышеописанным признакам http_access deny numeric_IPS http_access deny Skype_UA
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Блокирование Skype соединений на прокси-сервере Squid "	+/–
Сообщение от Некропостер on 30-Мрт-15, 04:06
всё ещё проще. ставишь прокси с авторизацией и готово. скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации. PROFIT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема