[GTER] skype x layer7

Leandro Pereira de Lima e Silva leandro at limaesilva.com.br
Sun Aug 5 22:33:07 -03 2007


Connmark faz efeito em udp?

Se for só pra combater o tcp, no lugar de marcar a conexão a gente pode
terminar ela com um -j REJECT --reject-with tcp-reset.

[]s Leandro

Em 05/08/07, Alexandre J. Correa - Onda Internet <alexandre at onda.psi.br>
escreveu:
>
> Talvez esta seja a solução:
>
> O skype detecta os pacotes monitorando o header de cada pacote.. entao
> ele deve "bater" apenas o primeiro pacote.. o restante nao pois nao
> contem maiores informacoes...
>
> talvez usar layer7 + CONNMARK/CONNSAVE voce deve conseguir bloquear o
> skype..
>
> o CONNMARK consegue LEMBRAR todos os pacotes derivados de uma conexao..
>
> tenta assim:
>
> iptables -t mangle -N SKYPE
> iptables -t mangle -I FORWARD -j SKYPE
>
> iptables -t mangle -A SKYPE -j CONNMARK --restore-mark
> iptables -t mangle -A AKYPE -m layer7 --protocol skype -j MARK
> --set-mark 0x1
> iptables -t mangle -A SKYPE -m mark --mark 0x1 -j CONNMARK --save-mark
> iptables -t mangle -A SKYPE -m mark --mark 0x1 -j DROP
>
>
> verifica a linha que usa o modulo layer7 se a sintaxe esta correta...
>
> faça um teste e veja se vai funcionar...
>
>
> Leandro Pereira de Lima e Silva wrote:
> > Cássio,
> >
> > vc disse que na 443 só pode dar connect em ips numéricos?
> > O cara pode usar Skype mas não pode acessar o banco?
> >
> > Ah, pra esclarecer: eu sou fã do Skype e acho que devemos evitar o
> bloqueio,
> > porém tenho interesse "científico" nos métodos aqui discutidos.
> >
> > []s Leandro
> >
> > Em 05/08/07, casfre at gmail.com <casfre at gmail.com> escreveu:
> >> Olá,
> >>
> >>      Eu também tenho que lidar com Skype na rede.
> >>
> >>      O que eu tenho feito ( e vou revisar para ver se não há problemas
> >> relatados aqui ) é fechar toda e qualquer conexão, para a Internet,
> >> que não passe pelo proxy. Aquilo que precisa de acesso que o Squid não
> >> consegue resolver ( ex: outros protocolos ), eu trato como exceção e
> >> crio regras no Iptables para passar sem proxy ( exemplos:
> >> conectividade social, pop3, smtp, ftp que não funcionar via squid etc
> >> ).
> >>
> >>      No Squid ( autenticado ), uso aquele método de só permitir
> >> conexões, na porta 443, para IPs numéricos, para as máquinas o Skype
> >> deve funcionar ( aparentemente, pelo que li na discussão, há como
> >> mudar a porta HTTPS que o Skype usa, logo, dificulta o controle). Além
> >> disso, tenho tentado limitar que portas podem usar o método CONNECT.
> >>
> >>      A minha idéia ( em revisão, como já disse ) é forçar tudo a
> >> passar pelo Squid, incluindo gtalk, msn e skype e, ali, com as ACLs
> >> disponíveis, combinadas, tentar controlar os acessos. Tenho visto
> >> também alguns relatos sobre uso de softwares de IDS/IPS ( como Snort )
> >> para tentar controlar tais acessos, mas não me aprofundei nem testei.
> >>
> >>      Além das iniciativas técnicas, busquei apoio para fazer uma
> >> política de uso dos recursos, informando o que é permitido e o que não
> >> é. Em minhas leituras, sobre abusos na utilização dos recursos de
> >> Internet, por parte de usuários, sempre há uma parte que fala sobre a
> >> necessidade de tais políticas, pois sempre haverá alguém achando uma
> >> forma de burlar esse ou aquele controle. Não resolve ( pois ainda é
> >> preciso 'descobrir' usos indevidos ), mas ajuda.
> >>
> >>      Muito interessante essa discussão, pois trata de um problema
> >> "chato". Se eu conseguir algum progresso, diferente do que tenho visto
> >> aqui, eu reporto.
> >>
> >>      Agradeço pela atenção.
> >>
> >> Cássio
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
>
> Onda Internet - http://www.ondainternet.com.br
> OPinguim Hosting - http://www.opinguim.net
>
> Linux User ID #142329
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Leandro Pereira de Lima e Silva



More information about the gter mailing list