The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Блокирование Skype соединений на пр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Блокирование Skype соединений на пр..."  +/
Сообщение от auto_tips (??) on 23-Авг-10, 19:11 
Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

   # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
   acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

   # ACL для выявления обращений со словом skype в заголовке User Agent
   acl Skype_UA browser ^skype^

   # Блокируем skype по двум вышеописанным признакам
   http_access deny numeric_IPS
   http_access deny Skype_UA

URL: http://wiki.opennet.ru/SquidSkype http://wiki.squid-cache.org/ConfigExamples/Chat/Skype http://www.net-security.org/dl/articles/Blocking_Skype.pdf
Обсуждается: http://www.opennet.dev/tips/info/2421.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от vgray email(??) on 23-Авг-10, 19:11 
> ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/

Млин, опять горе админы учат других как делать жизнь пользователям хуже

Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Kirill (??) on 23-Авг-10, 19:54 
Тут не всё так однозначно.
Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Zl0 (ok) on 23-Авг-10, 20:52 
Ip-шники в адресной строке блокировать вообще бред.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Блокирование Skype соединений на прокси-сервере Squid "  +1 +/
Сообщение от dnskin on 23-Авг-10, 22:54 
Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей обстановке.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от zapal on 23-Авг-10, 23:28 
Кстати в примере конфига SQUIDa написано:
For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.

Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
Я использовал так
#acl dom_none   dstdomain none
#http_access    deny   dom_none

Но долго у меня squid с такам правилом не проработал - однокласники достали ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Блокирование Skype соединений на прокси-сервере Squid "  +1 +/
Сообщение от vgray email(ok) on 24-Авг-10, 06:34 
>Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И
>ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом
>случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей
>обстановке.

Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает.

Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Блокирование Skype соединений на прокси-сервере Squid "  –1 +/
Сообщение от galy on 24-Авг-10, 12:44 
Криво настроеных серверов не так уж и много и для них можно сделать правила усключений.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от galy on 24-Авг-10, 12:47 
Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от vgray email(ok) on 24-Авг-10, 12:58 
>Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.

Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы?

Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от vodz email on 24-Авг-10, 17:38 
Данный совет такие ftp-шики и http-шники не затронет. Вчитайтесь внимательнее: блокируется
https://[0-9.]+:433 И это весьма действенно, так как уважающая себя организация не станет делать сертификат для https на цифровой адрес.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Andrey Mitrofanov on 24-Авг-10, 17:47 
>уважающая себя организация не станет делать сертификат для https на цифровой адрес.

Да лана, вон на http://www.opennet.dev/opennews/art.shtml?num=27563 localhost делают _толпами_. И то ничего. :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от vodz email(ok) on 24-Авг-10, 17:53 
Хм, я тоже туплю. У меня то стоит "http_access deny CONNECT" на самом деле, а не как у топикстартера...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от zoonman (ok) on 25-Авг-10, 10:52 
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

Copy/Paste?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Nas_tradamus email(ok) on 26-Авг-10, 12:19 
Только вот Скайп так не заблокируешь.
Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от samm on 27-Авг-10, 02:57 
И с чего это вдруг оно стало "криво настроенным"?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от 187 on 28-Авг-10, 14:48 
Не залочишь его так.
Странно, что вообще до сих пор тема открыта.
Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех.
А иначе (по крайней мере, бесплатно) - никак, имхо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Nas_tradamus email(ok) on 29-Авг-10, 20:56 
И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько минут. Потом он найдет лазейку через другой порт.

У Криса Касперски есть отличная статья на тему сабжа:

http://www.xakep.ru/magazine/xa/100/064/1.asp

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от 187 on 29-Авг-10, 22:28 
Ну, я пишу то, как это работало.
Делать так или иначе - решать вам.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Блокирование Skype соединений на прокси-сервере Squid "  –1 +/
Сообщение от uder (ok) on 31-Авг-10, 01:48 
Использовать IP вместо доменного имени в современном Интенете, это конечно не "криво настроенным", но скорее всего что-то из той области.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от uder (ok) on 31-Авг-10, 01:55 
>Только вот Скайп так не заблокируешь.
>Список IP динамический и все время меняется - это раз. Скайп умеет
>ходить через любой открытый порт - это два. Скайп умеет шифровать
>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>- это три.

прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от uder (ok) on 31-Авг-10, 02:02 
>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>минут. Потом он найдет лазейку через другой порт.
>
>У Криса Касперски есть отличная статья на тему сабжа:
>
>http://www.xakep.ru/magazine/xa/100/064/1.asp

открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS рубить больно круто.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от unscrubber on 31-Авг-10, 07:32 
если уж на то пошло то встречаются такие доменные имена длиной более 20 символов что уж проще айпишник запомнить. да и между это способо подстраховки от атак на dns. вобщем не вижу ни кривизны ни проблемы собственно в юзабилити. и вы отдалились от темы - к скайпу это никакого отношения не имеет.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Блокирование Skype соединений на прокси-сервере Squid "  –1 +/
Сообщение от Nas_tradamus email(ok) on 31-Авг-10, 11:54 
>>Только вот Скайп так не заблокируешь.
>>Список IP динамический и все время меняется - это раз. Скайп умеет
>>ходить через любой открытый порт - это два. Скайп умеет шифровать
>>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>>- это три.
>
>прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
>

Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Nas_tradamus email(ok) on 31-Авг-10, 11:56 
>>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>>минут. Потом он найдет лазейку через другой порт.
>>
>>У Криса Касперски есть отличная статья на тему сабжа:
>>
>>http://www.xakep.ru/magazine/xa/100/064/1.asp
>
>открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS
>рубить больно круто.

Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях "компа с инетом".

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Andrew Kolchoogin on 31-Авг-10, 17:38 
> Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях
> "компа с инетом".

Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;)))

Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает.

А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно...

Хотя... Борьба брони и снаряда, как известно, вечна. ;)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Nas_tradamus email(ok) on 31-Авг-10, 18:08 
Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом.

В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от ы on 01-Сен-10, 14:56 
>Кстати, в винде можно групповыми политиками блочить skype.exe

mv skype.exe msword.exe

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Nas_tradamus email(ok) on 01-Сен-10, 15:34 
>>Кстати, в винде можно групповыми политиками блочить skype.exe
>
>mv skype.exe msword.exe

Так ведь в групповых политиках можно запретить mv в Program Files.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Из ИТК on 01-Сен-10, 18:10 
Так ведь скайп не обязательно в Progam Files ставить =)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Блокирование Skype соединений на прокси-сервере Squid "  +1 +/
Сообщение от Из ИТК on 01-Сен-10, 18:17 
>Так ведь скайп не обязательно в Progam Files ставить =)

Да кстати у многих Program Files в ~/.wine/drive_c =)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Андрей (??) on 03-Сен-10, 21:16 
а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ?
и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Раздел полезных советов: Блокирование Skype соединений на пр..."  +/
Сообщение от sergicus (ok) on 17-Янв-11, 16:51 
> Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

А этот метод сейчас работает ??

я делал так - полностью блокировал  443 порт таким правилом

ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от anonymous (??) on 20-Апр-12, 14:32 
У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой.
Решил это следующим образом:

Код:
# ACL для выявления обращений к серверам ICQ
acl Numeric_IPs_whitelist dst 94.100.181.58/31
acl Numeric_IPs_whitelist dst 94.100.181.54/31
acl Numeric_IPs_whitelist dst 94.100.181.52/31
acl Numeric_IPs_whitelist dst 94.100.180.10/31
acl Numeric_IPs_whitelist dst 94.100.178.26/31
acl Numeric_IPs_whitelist dst 94.100.181.62/31
acl Numeric_IPs_whitelist dst 194.67.57.142/31
acl Numeric_IPs_whitelist dst 94.100.178.24/31
acl Numeric_IPs_whitelist dst 94.100.181.50/31
acl Numeric_IPs_whitelist dst 94.100.181.56/31
acl Numeric_IPs_whitelist dst 94.100.180.22/31
acl Numeric_IPs_whitelist dst 94.100.180.20/31
acl Numeric_IPs_whitelist dst 195.222.173.104/31
acl Numeric_IPs_whitelist dst 195.68.160.0/24
acl Numeric_IPs_whitelist dst 94.100.181.48/31
acl Numeric_IPs_whitelist dst 64.12.0.0/16
acl Numeric_IPs_whitelist dst 195.239.111.0/24
acl Numeric_IPs_whitelist dst 94.100.178.28/31
acl Numeric_IPs_whitelist dst 205.188.0.0/16
acl Numeric_IPs_whitelist dst 94.100.181.64/31
acl Numeric_IPs_whitelist dst 94.100.181.60/31
acl Numeric_IPs_whitelist dst 195.128.51.156/31

# Разрешаем подключение к серверам ICQ указанным в ACL
http_access allow Numeric_IPs_whitelist


# ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

# ACL для выявления обращений со словом skype в заголовке User Agent
acl Skype_UA browser ^skype^

# Блокируем skype по двум вышеописанным признакам
http_access deny numeric_IPS
http_access deny Skype_UA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Блокирование Skype соединений на прокси-сервере Squid "  +/
Сообщение от Некропостер email on 30-Мрт-15, 04:06 
всё ещё проще.
ставишь прокси с авторизацией и готово.
скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации.
PROFIT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру