[GTER] Layer7 x Skype

Flavio Junior billpp at gmail.com
Fri Jun 26 00:16:44 -03 2009


Olha.. sinceramente nao sei te dizer se o skype vai funcionar, se o teu
proxy nao permitir...

Aqui eu tenho um cenario parecido, firewall em DROP e proxy em DENY.. So
libero o que é realmente necessario.

A unica (e HORRIVEL) forma que consigo fazer o skype funcionar BEM (conectar
nao basta, enviar mensagens sera sempre um problema) é liberando no proxy a
conexao HTTPS para IP's.

Como citei, é uma soluçao horrivel, vai contra toda minha ideia de politica
de DROP no proxy.. Mas mantenho meus relatorios sempre atualizados e vejo
que na minha rede, ninguem ta abusando dessa "caracteristica" de acesso. Até
por que é complicado navegar em sites usando somente o IP, o site tem que
permitir isso ou tu usar um "firebug" da vida pra ficar alteradno os
hiperlinks, e ainda esse destino tem q estar disponivel pra HTTPS tambem.

Bom, a linha é a seguinte:
squid.conf:
acl whitelist url_regex -i "/etc/squid/whitelist.lst"
# Impedindo o squidGuard de ser chamado para a whitelist
redirector_access allow !whitelist !bannedsources
http_access deny bannedsources !whitelist
http_access allow whitelist

/etc/squid/whitelist.lst:
# Unica forma que encontrei de fazer o skype funcionar DECENTEMENTE foi:
# Liberar conexoes SSL (porta 443) a destinos no formato IP.
# Isso e horrivel!
^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:443$


Mantive até os comentarios originais ;)

--

Flávio do Carmo Júnior aka waKKu


2009/6/18 Wagner Santos <wagnerpaxs at gmail.com>

> Car at s,
>
> Tenho um firewall Linux com iptables, onde nossas políticas padrões são
> todas DROP (INPUT, FORWARD e OUTPUT). Tudo funciona bem, exceto o Skype
> (preciso que o Skype funcione para toda a rede). Tenho tudo devidamente
> compilado e instalado porém o Layer7 está me retornado a seguinte mensagem:
>
> "layer7: couldn't get conntrack."
>
> Já fiz várias pesquisas mas não encontrei nenhuma solução, inclusive
> pesquisei aqui na lista, mas não encontrei nada.
>
> Alguém já passou por isso?
>
> --
> Wagner Santos
> 81 9127 9823 / 81 8781 9823
>
> wagnerpaxs @NOSPAM gmail.com
> wagner @NOSPAM dotlinux.net
>
> ICQ: 83709017 | Jabber: xwindow at jabber.org
>
> Linux User #408917
> DotLinux.Net - http://www.dotlinux.net/
> Debian-PE <http://www.dotlinux.net/%0ADebian-PE>    -
> http://pe.debianbrasil.org/
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list