[GTER] skype x layer7

Alexandre J. Correa - Onda Internet alexandre at onda.psi.br
Mon Aug 6 06:41:02 -03 2007


Tai uma duvida !! Nao sei se funciona com protocolo UDP.. mas talvez o 
layer7 marcando o pacote.. o connmark consiga "lembrar" a conexao ...

aproveitando o email... esse modulo HASHLIMIT pode resolver muito 
problema nas redes com relação a spywares/virus/worms e os P2P !!!


Leandro Pereira de Lima e Silva wrote:
> Connmark faz efeito em udp?
> 
> Se for só pra combater o tcp, no lugar de marcar a conexão a gente pode
> terminar ela com um -j REJECT --reject-with tcp-reset.
> 
> []s Leandro
> 
> Em 05/08/07, Alexandre J. Correa - Onda Internet <alexandre at onda.psi.br>
> escreveu:
>> Talvez esta seja a solução:
>>
>> O skype detecta os pacotes monitorando o header de cada pacote.. entao
>> ele deve "bater" apenas o primeiro pacote.. o restante nao pois nao
>> contem maiores informacoes...
>>
>> talvez usar layer7 + CONNMARK/CONNSAVE voce deve conseguir bloquear o
>> skype..
>>
>> o CONNMARK consegue LEMBRAR todos os pacotes derivados de uma conexao..
>>
>> tenta assim:
>>
>> iptables -t mangle -N SKYPE
>> iptables -t mangle -I FORWARD -j SKYPE
>>
>> iptables -t mangle -A SKYPE -j CONNMARK --restore-mark
>> iptables -t mangle -A AKYPE -m layer7 --protocol skype -j MARK
>> --set-mark 0x1
>> iptables -t mangle -A SKYPE -m mark --mark 0x1 -j CONNMARK --save-mark
>> iptables -t mangle -A SKYPE -m mark --mark 0x1 -j DROP
>>
>>
>> verifica a linha que usa o modulo layer7 se a sintaxe esta correta...
>>
>> faça um teste e veja se vai funcionar...
>>
>>
>> Leandro Pereira de Lima e Silva wrote:
>>> Cássio,
>>>
>>> vc disse que na 443 só pode dar connect em ips numéricos?
>>> O cara pode usar Skype mas não pode acessar o banco?
>>>
>>> Ah, pra esclarecer: eu sou fã do Skype e acho que devemos evitar o
>> bloqueio,
>>> porém tenho interesse "científico" nos métodos aqui discutidos.
>>>
>>> []s Leandro
>>>
>>> Em 05/08/07, casfre at gmail.com <casfre at gmail.com> escreveu:
>>>> Olá,
>>>>
>>>>      Eu também tenho que lidar com Skype na rede.
>>>>
>>>>      O que eu tenho feito ( e vou revisar para ver se não há problemas
>>>> relatados aqui ) é fechar toda e qualquer conexão, para a Internet,
>>>> que não passe pelo proxy. Aquilo que precisa de acesso que o Squid não
>>>> consegue resolver ( ex: outros protocolos ), eu trato como exceção e
>>>> crio regras no Iptables para passar sem proxy ( exemplos:
>>>> conectividade social, pop3, smtp, ftp que não funcionar via squid etc
>>>> ).
>>>>
>>>>      No Squid ( autenticado ), uso aquele método de só permitir
>>>> conexões, na porta 443, para IPs numéricos, para as máquinas o Skype
>>>> deve funcionar ( aparentemente, pelo que li na discussão, há como
>>>> mudar a porta HTTPS que o Skype usa, logo, dificulta o controle). Além
>>>> disso, tenho tentado limitar que portas podem usar o método CONNECT.
>>>>
>>>>      A minha idéia ( em revisão, como já disse ) é forçar tudo a
>>>> passar pelo Squid, incluindo gtalk, msn e skype e, ali, com as ACLs
>>>> disponíveis, combinadas, tentar controlar os acessos. Tenho visto
>>>> também alguns relatos sobre uso de softwares de IDS/IPS ( como Snort )
>>>> para tentar controlar tais acessos, mas não me aprofundei nem testei.
>>>>
>>>>      Além das iniciativas técnicas, busquei apoio para fazer uma
>>>> política de uso dos recursos, informando o que é permitido e o que não
>>>> é. Em minhas leituras, sobre abusos na utilização dos recursos de
>>>> Internet, por parte de usuários, sempre há uma parte que fala sobre a
>>>> necessidade de tais políticas, pois sempre haverá alguém achando uma
>>>> forma de burlar esse ou aquele controle. Não resolve ( pois ainda é
>>>> preciso 'descobrir' usos indevidos ), mas ajuda.
>>>>
>>>>      Muito interessante essa discussão, pois trata de um problema
>>>> "chato". Se eu conseguir algum progresso, diferente do que tenho visto
>>>> aqui, eu reporto.
>>>>
>>>>      Agradeço pela atenção.
>>>>
>>>> Cássio
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>>
>> Onda Internet - http://www.ondainternet.com.br
>> OPinguim Hosting - http://www.opinguim.net
>>
>> Linux User ID #142329
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> 
> 
> 


-- 
Sds.

Alexandre Jeronimo Correa

Onda Internet - http://www.ondainternet.com.br
OPinguim Hosting - http://www.opinguim.net

Linux User ID #142329



More information about the gter mailing list