[GTER] skype x layer7
Alexandre J. Correa - Onda Internet
alexandre at onda.psi.br
Sun Aug 5 20:13:02 -03 2007
Talvez esta seja a solução:
O skype detecta os pacotes monitorando o header de cada pacote.. entao
ele deve "bater" apenas o primeiro pacote.. o restante nao pois nao
contem maiores informacoes...
talvez usar layer7 + CONNMARK/CONNSAVE voce deve conseguir bloquear o
skype..
o CONNMARK consegue LEMBRAR todos os pacotes derivados de uma conexao..
tenta assim:
iptables -t mangle -N SKYPE
iptables -t mangle -I FORWARD -j SKYPE
iptables -t mangle -A SKYPE -j CONNMARK --restore-mark
iptables -t mangle -A AKYPE -m layer7 --protocol skype -j MARK
--set-mark 0x1
iptables -t mangle -A SKYPE -m mark --mark 0x1 -j CONNMARK --save-mark
iptables -t mangle -A SKYPE -m mark --mark 0x1 -j DROP
verifica a linha que usa o modulo layer7 se a sintaxe esta correta...
faça um teste e veja se vai funcionar...
Leandro Pereira de Lima e Silva wrote:
> Cássio,
>
> vc disse que na 443 só pode dar connect em ips numéricos?
> O cara pode usar Skype mas não pode acessar o banco?
>
> Ah, pra esclarecer: eu sou fã do Skype e acho que devemos evitar o bloqueio,
> porém tenho interesse "científico" nos métodos aqui discutidos.
>
> []s Leandro
>
> Em 05/08/07, casfre at gmail.com <casfre at gmail.com> escreveu:
>> Olá,
>>
>> Eu também tenho que lidar com Skype na rede.
>>
>> O que eu tenho feito ( e vou revisar para ver se não há problemas
>> relatados aqui ) é fechar toda e qualquer conexão, para a Internet,
>> que não passe pelo proxy. Aquilo que precisa de acesso que o Squid não
>> consegue resolver ( ex: outros protocolos ), eu trato como exceção e
>> crio regras no Iptables para passar sem proxy ( exemplos:
>> conectividade social, pop3, smtp, ftp que não funcionar via squid etc
>> ).
>>
>> No Squid ( autenticado ), uso aquele método de só permitir
>> conexões, na porta 443, para IPs numéricos, para as máquinas o Skype
>> deve funcionar ( aparentemente, pelo que li na discussão, há como
>> mudar a porta HTTPS que o Skype usa, logo, dificulta o controle). Além
>> disso, tenho tentado limitar que portas podem usar o método CONNECT.
>>
>> A minha idéia ( em revisão, como já disse ) é forçar tudo a
>> passar pelo Squid, incluindo gtalk, msn e skype e, ali, com as ACLs
>> disponíveis, combinadas, tentar controlar os acessos. Tenho visto
>> também alguns relatos sobre uso de softwares de IDS/IPS ( como Snort )
>> para tentar controlar tais acessos, mas não me aprofundei nem testei.
>>
>> Além das iniciativas técnicas, busquei apoio para fazer uma
>> política de uso dos recursos, informando o que é permitido e o que não
>> é. Em minhas leituras, sobre abusos na utilização dos recursos de
>> Internet, por parte de usuários, sempre há uma parte que fala sobre a
>> necessidade de tais políticas, pois sempre haverá alguém achando uma
>> forma de burlar esse ou aquele controle. Não resolve ( pois ainda é
>> preciso 'descobrir' usos indevidos ), mas ajuda.
>>
>> Muito interessante essa discussão, pois trata de um problema
>> "chato". Se eu conseguir algum progresso, diferente do que tenho visto
>> aqui, eu reporto.
>>
>> Agradeço pela atenção.
>>
>> Cássio
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
--
Sds.
Alexandre Jeronimo Correa
Onda Internet - http://www.ondainternet.com.br
OPinguim Hosting - http://www.opinguim.net
Linux User ID #142329
More information about the gter
mailing list