[GTER] skype x layer7
Leandro Pereira de Lima e Silva
leandro at limaesilva.com.br
Sun Aug 5 16:33:16 -03 2007
Pina,
Não testei com o Skype Windows, mas o Skype Linux não tenta fazer TCP na 80.
Eu vi ele usar nessa ordem:
altas udp
altas tcp
443 tcp
[]s Leandro
Em 05/08/07, Antonio Carlos Pina <antoniocarlospina at gmail.com> escreveu:
>
> O problema é que o Skype tem 3 formas de funcionar:
>
> a) Portas altas - 1024 -65535.
>
>
> b) TCP 443 (a porta de SSL, normalmente liberada no Squid para CONNECT e é
> minha aposta de onde o skype está funcionando).
>
> c) TCP na porta 80. Aqui é mais díficil que funcione, pois o Skype não usa
> HTTP e o Squid tentará entender o tráfego como HTTP. Deve estar passando
> na
> porta 443 mesmo.
>
> Abs.
>
>
> Em 05/08/07, Luiz Gaspar <luizgaspar at gmail.com> escreveu:
> >
> > Bom, fiz o bloqueio total da máquina que rodava o Skype, usando o
> iptables
> > no servidor para não aceitar qq conexão da mesma no proxy, que roda o
> > Squid,
> > e ainda assim, o $&#$&@¨%$&* sai!!!!
> >
> > Só pode ter sido passando pelo próprio Squid, que de algum modo ele
> > detecta,
> > encripta os pacotes e passa... Quanto ao layer-7, ele até detecta os
> > pacotes, mas uma vez ele barra, em outras ele consegue passar, sei lá
> como
> > ele faz isso! Fiz este teste em uma máquina com o Debian etch 4.0rodando
> > o
> > Squid e com quase todos os módulos do iptables carregado.
> >
> > É isso.
> >
> > On 8/4/07, Leandro Pereira de Lima e Silva <leandro at limaesilva.com.br>
> > wrote:
> > >
> > > Pq não funcionou? Como ele saiu?
> > >
> > > []s Leandro
> > >
> > > Em 03/08/07, Luiz Gaspar <luizgaspar at gmail.com> escreveu:
> > > >
> > > > Infelizmente, não funcionou... Já tinha tentado isto...
> > > >
> > > > On 8/2/07, Leandro Pereira de Lima e Silva <
> leandro at limaesilva.com.br>
> > > > wrote:
> > > > >
> > > > > O Skype usa portas aleatórias UDP, se não conseguir usa aleatórias
> > > TCP,
> > > > se
> > > > > não conseguir usa 443.
> > > > >
> > > > > Baseado nisso, parece que dá pra filtar forçando a sair pela 443,
> > > > fazendo
> > > > > proxy transparente pelo squid e depois colocando uma acl no squid
> > para
> > > > > proibir pedidos de conexão a IPs (deixando só conexões a nomes).
> > > > >
> > > > >
> > > > >
> > > >
> > >
> >
> http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038646.html
> > > > >
> > > > > []s Leandro
> > > > >
> > > > > Em 02/08/07, Luiz Gaspar <luizgaspar at gmail.com> escreveu:
> > > > > >
> > > > > > Não tem como segurar o Skype, nem com o layer-7...
> > > > > >
> > > > > > On 8/1/07, Leandro Pereira de Lima e Silva <
> > > leandro at limaesilva.com.br>
> > > > > > wrote:
> > > > > > >
> > > > > > > Só que isso exige colaboração do usuário né?
> > > > > > >
> > > > > > > []s Leandro
> > > > > > >
> > > > > > > Em 01/08/07, Alexandre J. Correa - Onda Internet <
> > > > > alexandre at onda.psi.br>
> > > > > > > escreveu:
> > > > > > > >
> > > > > > > > Na propria configuração do skype, voce pode informar a porta
> > que
> > > > ele
> > > > > > vai
> > > > > > > > usar.
> > > > > > > >
> > > > > > > > gravei uma imagem onde tem a configuração:
> > > > > > > > http://img65.imageshack.us/my.php?image=skypeportwj6.jpg
> > > > > > > >
> > > > > > > > ai depois via iptables/ipfw basta marcar estes pacotes ALEM
> de
> > > > > tambem
> > > > > > > > usar o layer7 ... o que o l7 nao pegar.. vc pega com a porta
> > !!
> > > > > > > >
> > > > > > > > :)
> > > > > > > >
> > > > > > > >
> > > > > > > > Márcio Luciano Donada wrote:
> > > > > > > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > > > > > > Hash: SHA1
> > > > > > > > >
> > > > > > > > > Alexandre J. Correa - Onda Internet escreveu:
> > > > > > > > >> contribuindo com a ideia,
> > > > > > > > >>
> > > > > > > > >> faça o skype usar uma porta, por exemplo 1300, fica mais
> > > facil
> > > > > > > > >> controlar o acesso a skype em sua rede..
> > > > > > > > >>
> > > > > > > > >> basta marcar os pacotes que possuirem src ou dst port
> 1300
> > > > (acho
> > > > > > > > >> que eh src port)
> > > > > > > > >>
> > > > > > > > >
> > > > > > > > > Alexandre, tudo blz?
> > > > > > > > > Como posso marcar o skype para ele usar uma porta 1300,
> por
> > > > > exemplo?
> > > > > > > > > Podes me dar um exemplo, essa sua idéia é muito legal. Eu
> > > estou
> > > > > > > > > utilizando o layer7 com o iptables, tudo como mando
> > figurino,
> > > > ele
> > > > > > > > > bloqueia tudo, só que o infeliz sae pela porta 443, só dá
> um
> > > > > > trabalhão
> > > > > > > > > do caramba, fazer regras para sites de bancos, sites do
> > > governo
> > > > e
> > > > > > etc.
> > > > > > > > > Podes me ajudar, isso já tá me dando uma dor de cabeça!!!
> > > > > > > > >
> > > > > > > > > Abraço e obrigado,
> > > > > > > > >
> > > > > > > > > -----BEGIN PGP SIGNATURE-----
> > > > > > > > > Version: GnuPG v1.4.5 (MingW32)
> > > > > > > > >
> > > > > > > > >
> > > iD8DBQFGsNAPbjyCr4Ixg0wRAup7AKCVbH69oMMqKOgN6jiEt8B2EI5buQCgiySe
> > > > > > > > > J8aN+BypF/pJKPinHNrjwJ0=
> > > > > > > > > =zhbA
> > > > > > > > > -----END PGP SIGNATURE-----
> > > > > > > > >
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > Sds.
> > > > > > > >
> > > > > > > > Alexandre Jeronimo Correa
> > > > > > > >
> > > > > > > > Onda Internet - http://www.ondainternet.com.br
> > > > > > > > OPinguim Hosting - http://www.opinguim.net
> > > > > > > >
> > > > > > > > Linux User ID #142329
> > > > > > > > --
> > > > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > Leandro Pereira de Lima e Silva
> > > > > > > --
> > > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Luiz Gaspar de França dos Santos
> > > > > > ---------------------------------------------------
> > > > > > IT Director - Diretor de TI
> > > > > > Quality Informática Ltda.
> > > > > > ---------------------------------------------------
> > > > > > --
> > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Leandro Pereira de Lima e Silva
> > > > > --
> > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Luiz Gaspar de França dos Santos
> > > > ---------------------------------------------------
> > > > IT Director - Diretor de TI
> > > > Quality Informática Ltda.
> > > > ---------------------------------------------------
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > > Leandro Pereira de Lima e Silva
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Luiz Gaspar de França dos Santos
> > ---------------------------------------------------
> > IT Director - Diretor de TI
> > Quality Informática Ltda.
> > ---------------------------------------------------
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Leandro Pereira de Lima e Silva
More information about the gter
mailing list