[GTER] skype x layer7

Sun Aug 5 20:13:02 -03 2007

Talvez esta seja a solução:

O skype detecta os pacotes monitorando o header de cada pacote.. entao 
ele deve "bater" apenas o primeiro pacote.. o restante nao pois nao 
contem maiores informacoes...

talvez usar layer7 + CONNMARK/CONNSAVE voce deve conseguir bloquear o 
skype..

o CONNMARK consegue LEMBRAR todos os pacotes derivados de uma conexao..

tenta assim:

iptables -t mangle -N SKYPE
iptables -t mangle -I FORWARD -j SKYPE

iptables -t mangle -A SKYPE -j CONNMARK --restore-mark
iptables -t mangle -A AKYPE -m layer7 --protocol skype -j MARK 
--set-mark 0x1
iptables -t mangle -A SKYPE -m mark --mark 0x1 -j CONNMARK --save-mark
iptables -t mangle -A SKYPE -m mark --mark 0x1 -j DROP

verifica a linha que usa o modulo layer7 se a sintaxe esta correta...

faça um teste e veja se vai funcionar...

Leandro Pereira de Lima e Silva wrote:
> Cássio,
> 
> vc disse que na 443 só pode dar connect em ips numéricos?
> O cara pode usar Skype mas não pode acessar o banco?
> 
> Ah, pra esclarecer: eu sou fã do Skype e acho que devemos evitar o bloqueio,
> porém tenho interesse "científico" nos métodos aqui discutidos.
> 
> []s Leandro
> 
> Em 05/08/07, casfre at gmail.com <casfre at gmail.com> escreveu:
>> Olá,
>>
>>      Eu também tenho que lidar com Skype na rede.
>>
>>      O que eu tenho feito ( e vou revisar para ver se não há problemas
>> relatados aqui ) é fechar toda e qualquer conexão, para a Internet,
>> que não passe pelo proxy. Aquilo que precisa de acesso que o Squid não
>> consegue resolver ( ex: outros protocolos ), eu trato como exceção e
>> crio regras no Iptables para passar sem proxy ( exemplos:
>> conectividade social, pop3, smtp, ftp que não funcionar via squid etc
>> ).
>>
>>      No Squid ( autenticado ), uso aquele método de só permitir
>> conexões, na porta 443, para IPs numéricos, para as máquinas o Skype
>> deve funcionar ( aparentemente, pelo que li na discussão, há como
>> mudar a porta HTTPS que o Skype usa, logo, dificulta o controle). Além
>> disso, tenho tentado limitar que portas podem usar o método CONNECT.
>>
>>      A minha idéia ( em revisão, como já disse ) é forçar tudo a
>> passar pelo Squid, incluindo gtalk, msn e skype e, ali, com as ACLs
>> disponíveis, combinadas, tentar controlar os acessos. Tenho visto
>> também alguns relatos sobre uso de softwares de IDS/IPS ( como Snort )
>> para tentar controlar tais acessos, mas não me aprofundei nem testei.
>>
>>      Além das iniciativas técnicas, busquei apoio para fazer uma
>> política de uso dos recursos, informando o que é permitido e o que não
>> é. Em minhas leituras, sobre abusos na utilização dos recursos de
>> Internet, por parte de usuários, sempre há uma parte que fala sobre a
>> necessidade de tais políticas, pois sempre haverá alguém achando uma
>> forma de burlar esse ou aquele controle. Não resolve ( pois ainda é
>> preciso 'descobrir' usos indevidos ), mas ajuda.
>>
>>      Muito interessante essa discussão, pois trata de um problema
>> "chato". Se eu conseguir algum progresso, diferente do que tenho visto
>> aqui, eu reporto.
>>
>>      Agradeço pela atenção.
>>
>> Cássio
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> 
> 
> 

-- 
Sds.

Alexandre Jeronimo Correa

Onda Internet - http://www.ondainternet.com.br
OPinguim Hosting - http://www.opinguim.net

Linux User ID #142329