[GTER] skype x layer7

Luiz Gaspar luizgaspar at gmail.com
Sun Aug 5 07:41:12 -03 2007


Bom, fiz o bloqueio total da máquina que rodava o Skype, usando o iptables
no servidor para não aceitar qq conexão da mesma no proxy, que roda o Squid,
e ainda assim, o $&#$&@¨%$&* sai!!!!

Só pode ter sido passando pelo próprio Squid, que de algum modo ele detecta,
encripta os pacotes e passa... Quanto ao layer-7, ele até detecta os
pacotes, mas uma vez ele barra, em outras ele consegue passar, sei lá como
ele faz isso! Fiz este teste em uma máquina com o Debian etch 4.0 rodando o
Squid e com quase todos os módulos do iptables carregado.

É isso.

On 8/4/07, Leandro Pereira de Lima e Silva <leandro at limaesilva.com.br>
wrote:
>
> Pq não funcionou? Como ele saiu?
>
> []s Leandro
>
> Em 03/08/07, Luiz Gaspar <luizgaspar at gmail.com> escreveu:
> >
> > Infelizmente, não funcionou... Já tinha tentado isto...
> >
> > On 8/2/07, Leandro Pereira de Lima e Silva <leandro at limaesilva.com.br>
> > wrote:
> > >
> > > O Skype usa portas aleatórias UDP, se não conseguir usa aleatórias
> TCP,
> > se
> > > não conseguir usa 443.
> > >
> > > Baseado nisso, parece que dá pra filtar forçando a sair pela 443,
> > fazendo
> > > proxy transparente pelo squid e depois colocando uma acl no squid para
> > > proibir pedidos de conexão a IPs (deixando só conexões a nomes).
> > >
> > >
> > >
> >
> http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038646.html
> > >
> > > []s Leandro
> > >
> > > Em 02/08/07, Luiz Gaspar <luizgaspar at gmail.com> escreveu:
> > > >
> > > > Não tem como segurar o Skype, nem com o layer-7...
> > > >
> > > > On 8/1/07, Leandro Pereira de Lima e Silva <
> leandro at limaesilva.com.br>
> > > > wrote:
> > > > >
> > > > > Só que isso exige colaboração do usuário né?
> > > > >
> > > > > []s Leandro
> > > > >
> > > > > Em 01/08/07, Alexandre J. Correa - Onda Internet <
> > > alexandre at onda.psi.br>
> > > > > escreveu:
> > > > > >
> > > > > > Na propria configuração do skype, voce pode informar a porta que
> > ele
> > > > vai
> > > > > > usar.
> > > > > >
> > > > > > gravei uma imagem onde tem a configuração:
> > > > > > http://img65.imageshack.us/my.php?image=skypeportwj6.jpg
> > > > > >
> > > > > > ai depois via iptables/ipfw basta marcar estes pacotes ALEM de
> > > tambem
> > > > > > usar o layer7 ... o que o l7 nao pegar.. vc pega com a porta !!
> > > > > >
> > > > > > :)
> > > > > >
> > > > > >
> > > > > > Márcio Luciano Donada wrote:
> > > > > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > > > > Hash: SHA1
> > > > > > >
> > > > > > > Alexandre J. Correa - Onda Internet escreveu:
> > > > > > >> contribuindo com a ideia,
> > > > > > >>
> > > > > > >> faça o skype usar uma porta, por exemplo 1300, fica mais
> facil
> > > > > > >> controlar o acesso a skype em sua rede..
> > > > > > >>
> > > > > > >> basta marcar os pacotes que possuirem src ou dst port 1300
> > (acho
> > > > > > >> que eh src port)
> > > > > > >>
> > > > > > >
> > > > > > > Alexandre, tudo blz?
> > > > > > > Como posso marcar o skype para ele usar uma porta 1300, por
> > > exemplo?
> > > > > > > Podes me dar um exemplo, essa sua idéia é muito legal. Eu
> estou
> > > > > > > utilizando o layer7 com o iptables, tudo como mando figurino,
> > ele
> > > > > > > bloqueia tudo, só que o infeliz sae pela porta 443, só dá um
> > > > trabalhão
> > > > > > > do caramba, fazer regras para sites de bancos, sites do
> governo
> > e
> > > > etc.
> > > > > > > Podes me ajudar, isso já tá me dando uma dor de cabeça!!!
> > > > > > >
> > > > > > > Abraço e obrigado,
> > > > > > >
> > > > > > > -----BEGIN PGP SIGNATURE-----
> > > > > > > Version: GnuPG v1.4.5 (MingW32)
> > > > > > >
> > > > > > >
> iD8DBQFGsNAPbjyCr4Ixg0wRAup7AKCVbH69oMMqKOgN6jiEt8B2EI5buQCgiySe
> > > > > > > J8aN+BypF/pJKPinHNrjwJ0=
> > > > > > > =zhbA
> > > > > > > -----END PGP SIGNATURE-----
> > > > > > >
> > > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Sds.
> > > > > >
> > > > > > Alexandre Jeronimo Correa
> > > > > >
> > > > > > Onda Internet - http://www.ondainternet.com.br
> > > > > > OPinguim Hosting - http://www.opinguim.net
> > > > > >
> > > > > > Linux User ID #142329
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Leandro Pereira de Lima e Silva
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Luiz Gaspar de França dos Santos
> > > > ---------------------------------------------------
> > > > IT Director - Diretor de TI
> > > > Quality Informática Ltda.
> > > > ---------------------------------------------------
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > > Leandro Pereira de Lima e Silva
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Luiz Gaspar de França dos Santos
> > ---------------------------------------------------
> > IT Director - Diretor de TI
> > Quality Informática Ltda.
> > ---------------------------------------------------
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Leandro Pereira de Lima e Silva
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Luiz Gaspar de França dos Santos
---------------------------------------------------
IT Director - Diretor de TI
Quality Informática Ltda.
---------------------------------------------------



More information about the gter mailing list