[GTER] Layer7 x Skype

Carlos Eduardo Langoni ce.langoni at gmail.com
Tue Jun 30 14:05:30 -03 2009


Wagner,

Qual versão de kernel, iptables e layer7 você está utilizando?
Eu acabei de implementar um kernel 2.6.28+iptables 1.4.1.1 e layer7
2.21 e, pelo menos no bloqueio, está funcionando direitinho.
Fiz tudo para debia etch e tenho os pacotes .deb prontos aqui,
acredito que funcione no lenny também, mas ainda não testei.

Se quiser testar me avisa que eu te mando os pacotes.

Abraços
Carlos

2009/6/26 Flavio Junior <billpp at gmail.com>:
> Sim, sem nenhum problemas (alem dos "possiveis" com a liberaçao)
>
> --
>
> Flávio do Carmo Júnior aka waKKu
>
> 2009/6/26 Wagner Santos <wagnerpaxs at gmail.com>
>
>> Flávio,
>>
>> Nessa tua solução tu consegue falar com quem está fora da tua LAN? Pois
>> aqui
>> o Skype funciona bem para dentro da própria LAN, já fora, ele começa
>> listando quem está online, depois o pessoal cai todinho, repentinamente
>> volta a lista mas ao final, ninguém fala com quem está fora.
>>
>> 2009/6/26 Flavio Junior <billpp at gmail.com>
>>
>> > Olha.. sinceramente nao sei te dizer se o skype vai funcionar, se o teu
>> > proxy nao permitir...
>> >
>> > Aqui eu tenho um cenario parecido, firewall em DROP e proxy em DENY.. So
>> > libero o que é realmente necessario.
>> >
>> > A unica (e HORRIVEL) forma que consigo fazer o skype funcionar BEM
>> > (conectar
>> > nao basta, enviar mensagens sera sempre um problema) é liberando no proxy
>> a
>> > conexao HTTPS para IP's.
>> >
>> > Como citei, é uma soluçao horrivel, vai contra toda minha ideia de
>> politica
>> > de DROP no proxy.. Mas mantenho meus relatorios sempre atualizados e vejo
>> > que na minha rede, ninguem ta abusando dessa "caracteristica" de acesso.
>> > Até
>> > por que é complicado navegar em sites usando somente o IP, o site tem que
>> > permitir isso ou tu usar um "firebug" da vida pra ficar alteradno os
>> > hiperlinks, e ainda esse destino tem q estar disponivel pra HTTPS tambem.
>> >
>> > Bom, a linha é a seguinte:
>> > squid.conf:
>> > acl whitelist url_regex -i "/etc/squid/whitelist.lst"
>> > # Impedindo o squidGuard de ser chamado para a whitelist
>> > redirector_access allow !whitelist !bannedsources
>> > http_access deny bannedsources !whitelist
>> > http_access allow whitelist
>> >
>> > /etc/squid/whitelist.lst:
>> > # Unica forma que encontrei de fazer o skype funcionar DECENTEMENTE foi:
>> > # Liberar conexoes SSL (porta 443) a destinos no formato IP.
>> > # Isso e horrivel!
>> > ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:443$
>> >
>> >
>> > Mantive até os comentarios originais ;)
>> >
>> > --
>> >
>> > Flávio do Carmo Júnior aka waKKu
>> >
>> >
>> > 2009/6/18 Wagner Santos <wagnerpaxs at gmail.com>
>> >
>> > > Car at s,
>> > >
>> > > Tenho um firewall Linux com iptables, onde nossas políticas padrões são
>> > > todas DROP (INPUT, FORWARD e OUTPUT). Tudo funciona bem, exceto o Skype
>> > > (preciso que o Skype funcione para toda a rede). Tenho tudo devidamente
>> > > compilado e instalado porém o Layer7 está me retornado a seguinte
>> > mensagem:
>> > >
>> > > "layer7: couldn't get conntrack."
>> > >
>> > > Já fiz várias pesquisas mas não encontrei nenhuma solução, inclusive
>> > > pesquisei aqui na lista, mas não encontrei nada.
>> > >
>> > > Alguém já passou por isso?
>> > >
>> > > --
>> > > Wagner Santos
>> > > 81 9127 9823 / 81 8781 9823
>> > >
>> > > wagnerpaxs @NOSPAM gmail.com
>> > > wagner @NOSPAM dotlinux.net
>> > >
>> > > ICQ: 83709017 | Jabber: xwindow at jabber.org
>> > >
>> > > Linux User #408917
>> > > DotLinux.Net - http://www.dotlinux.net/
>> > > Debian-PE <http://www.dotlinux.net/%0ADebian-PE>    -
>> > > http://pe.debianbrasil.org/
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>>
>>
>>
>> --
>> Wagner Santos
>> 81 9127 9823 / 81 8781 9823
>>
>> wagnerpaxs @NOSPAM gmail.com
>> wagner @NOSPAM dotlinux.net
>>
>> ICQ: 83709017 | Jabber: xwindow at jabber.org
>>
>> Linux User #408917
>> DotLinux.Net - http://www.dotlinux.net/
>> Debian-PE <http://www.dotlinux.net/%0ADebian-PE>    -
>> http://pe.debianbrasil.org/
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list