Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:# ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443# ACL для выявления обращений со словом skype в заголовке User Agent
acl Skype_UA browser ^skype^# Блокируем skype по двум вышеописанным признакам
http_access deny numeric_IPS
http_access deny Skype_UAURL: http://wiki.opennet.ru/SquidSkype http://wiki.squid-cache.org/ConfigExamples/Chat/Skype http://www.net-security.org/dl/articles/Blocking_Skype.pdf
Обсуждается: http://www.opennet.me/tips/info/2421.shtml
> ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/Млин, опять горе админы учат других как делать жизнь пользователям хуже
Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.
Криво настроеных серверов не так уж и много и для них можно сделать правила усключений.
И с чего это вдруг оно стало "криво настроенным"?
Использовать IP вместо доменного имени в современном Интенете, это конечно не "криво настроенным", но скорее всего что-то из той области.
если уж на то пошло то встречаются такие доменные имена длиной более 20 символов что уж проще айпишник запомнить. да и между это способо подстраховки от атак на dns. вобщем не вижу ни кривизны ни проблемы собственно в юзабилити. и вы отдалились от темы - к скайпу это никакого отношения не имеет.
а вот можно ли считать кривонастроенным почтовый сервер (не у меня), который нормально получает почту с mail.ru, но при этом ломает имена вложений (полученных с моего сервера) так, что бедные вендоузятнеги не могут их открыть? при этом пользователи других серверов (mail.ru, yandex, корпоративные серверы партнеров, нормально обрабатывают) у меня установлен exim, который нормально передает/получает почту с gmail.com, yandex, тот же mail.ru ?
и таких серверов в рунете много, что бы авторы постов выше не утверждали. и причем, чем выше уровень проЭкта (в частности, образовательный проЭкт), тем больше вероятность возникновения проблем (вплоть до не правильно настроенных маршрутов и DNS)?
Тут не всё так однозначно.
Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
Данный совет такие ftp-шики и http-шники не затронет. Вчитайтесь внимательнее: блокируется
https://[0-9.]+:433 И это весьма действенно, так как уважающая себя организация не станет делать сертификат для https на цифровой адрес.
>уважающая себя организация не станет делать сертификат для https на цифровой адрес.Да лана, вон на http://www.opennet.me/opennews/art.shtml?num=27563 localhost делают _толпами_. И то ничего. :)
Хм, я тоже туплю. У меня то стоит "http_access deny CONNECT" на самом деле, а не как у топикстартера...
Ip-шники в адресной строке блокировать вообще бред.
Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей обстановке.
>Заявление типа "вааще бред" - вааще ниочем ... случаи бывают разные. И
>ограничение доступа к некоторым ресурсам может быть вполне оправданным. В любом
>случае "бедные несчастные" пользователи всегда могут воспользоваться интернетом дома в нерабочей
>обстановке.Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи. Я сам админ, видел много различных сетей и меня очень раздражает когда вчерашний студент закручивает гайки до предела, а потом еще глумится над пользователями фразами "А нечего аськой пользоваться. А посылки можешь дома проверять". Сам-то ведь на рабочем месте не мануалы от софта читает, а гамает, чатится, на мамбе пропадает.
Если начальство поставило задачу Блокировать Скайп, то потрудитесь блокировать только его, а не еще кучу ресурсов в придачу.
Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.
>Можно сообщить начальству, что админ превышает свои полномочия, только вполне возможно, что оно поддержит его уже официально.Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на открытие сайтов? Зачем создавать пользователям лишние проблемы?
Я еще раз повторю, очень много админов в маленьких/средних компаниях занимаются самодурством. И блокирование сайтов по IP это один из примеров такого самодурства.
Кстати в примере конфига SQUIDa написано:
For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
Я использовал так
#acl dom_none dstdomain none
#http_access deny dom_noneНо долго у меня squid с такам правилом не проработал - однокласники достали ;)
http://wiki.squid-cache.org/ConfigExamples/Chat/SkypeCopy/Paste?
Только вот Скайп так не заблокируешь.
Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
>Только вот Скайп так не заблокируешь.
>Список IP динамический и все время меняется - это раз. Скайп умеет
>ходить через любой открытый порт - это два. Скайп умеет шифровать
>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>- это три.прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
>>Только вот Скайп так не заблокируешь.
>>Список IP динамический и все время меняется - это раз. Скайп умеет
>>ходить через любой открытый порт - это два. Скайп умеет шифровать
>>свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются
>>- это три.
>
>прочитай еще раз пост перед тем, как критиковать. 3 раза мимо кассы.
>Объясните где я не прав. Skype Squid'ом не заблокируешь, как бэ.
Не залочишь его так.
Странно, что вообще до сих пор тема открыта.
Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех.
А иначе (по крайней мере, бесплатно) - никак, имхо.
И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько минут. Потом он найдет лазейку через другой порт.У Криса Касперски есть отличная статья на тему сабжа:
Ну, я пишу то, как это работало.
Делать так или иначе - решать вам.
>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>минут. Потом он найдет лазейку через другой порт.
>
>У Криса Касперски есть отличная статья на тему сабжа:
>
>http://www.xakep.ru/magazine/xa/100/064/1.aspоткрытых портов вообще может не быть. Но парень тоже суров, весь HTTPS рубить больно круто.
>>И так не прокатит. Скайпу будет сложно выйти в онлайн первые несколько
>>минут. Потом он найдет лазейку через другой порт.
>>
>>У Криса Касперски есть отличная статья на тему сабжа:
>>
>>http://www.xakep.ru/magazine/xa/100/064/1.asp
>
>открытых портов вообще может не быть. Но парень тоже суров, весь HTTPS
>рубить больно круто.Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях "компа с инетом".
> Ну да. Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях
> "компа с инетом".Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как раз-таки на "раз плюнуть": "killall -KILL skype", ну или как там в Винде... ;)))
Проблема в том, чтобы заблокировать Skype, _не_ имея доступа к этому компьютеру с Интернетом, и при этом _не_ заблокировать весь остальной Интернет. При этом предполагается, что мы имеем доступ к проводу, через который вышеупомянутый компьютер Интернет и получает.
А здесь и правда всё довольно печально. Впрочем, можно применить и статистические методы -- скажем, UDP таким образом можно заблокировать довольно быстро (а заодно и UDP-флуды вообще). Остаётся непонятным, что делать с TCP. Впрочем, тоже можно "схитрить" -- у нас из сервисов навскидку на случайные порты коннектится только FTP, а его можно отслеживать по контрольной сессии (так, например, делает ftpsesame для "прокручивания дырок" в PF'е). Всё остальное -- на известный диапазон, а уж отследить валидность HTTP-трафика можно...
Хотя... Борьба брони и снаряда, как известно, вечна. ;)
Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом.В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..
>Кстати, в винде можно групповыми политиками блочить skype.exemv skype.exe msword.exe
>>Кстати, в винде можно групповыми политиками блочить skype.exe
>
>mv skype.exe msword.exeТак ведь в групповых политиках можно запретить mv в Program Files.
Так ведь скайп не обязательно в Progam Files ставить =)
>Так ведь скайп не обязательно в Progam Files ставить =)Да кстати у многих Program Files в ~/.wine/drive_c =)
> Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:А этот метод сейчас работает ??
я делал так - полностью блокировал 443 порт таким правилом
ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443
У меня была задача закрыть Skype (скайп), а ICQ (асю) оставить открытой.
Решил это следующим образом:Код:
# ACL для выявления обращений к серверам ICQ
acl Numeric_IPs_whitelist dst 94.100.181.58/31
acl Numeric_IPs_whitelist dst 94.100.181.54/31
acl Numeric_IPs_whitelist dst 94.100.181.52/31
acl Numeric_IPs_whitelist dst 94.100.180.10/31
acl Numeric_IPs_whitelist dst 94.100.178.26/31
acl Numeric_IPs_whitelist dst 94.100.181.62/31
acl Numeric_IPs_whitelist dst 194.67.57.142/31
acl Numeric_IPs_whitelist dst 94.100.178.24/31
acl Numeric_IPs_whitelist dst 94.100.181.50/31
acl Numeric_IPs_whitelist dst 94.100.181.56/31
acl Numeric_IPs_whitelist dst 94.100.180.22/31
acl Numeric_IPs_whitelist dst 94.100.180.20/31
acl Numeric_IPs_whitelist dst 195.222.173.104/31
acl Numeric_IPs_whitelist dst 195.68.160.0/24
acl Numeric_IPs_whitelist dst 94.100.181.48/31
acl Numeric_IPs_whitelist dst 64.12.0.0/16
acl Numeric_IPs_whitelist dst 195.239.111.0/24
acl Numeric_IPs_whitelist dst 94.100.178.28/31
acl Numeric_IPs_whitelist dst 205.188.0.0/16
acl Numeric_IPs_whitelist dst 94.100.181.64/31
acl Numeric_IPs_whitelist dst 94.100.181.60/31
acl Numeric_IPs_whitelist dst 195.128.51.156/31
# Разрешаем подключение к серверам ICQ указанным в ACL
http_access allow Numeric_IPs_whitelist
# ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
# ACL для выявления обращений со словом skype в заголовке User Agent
acl Skype_UA browser ^skype^
# Блокируем skype по двум вышеописанным признакам
http_access deny numeric_IPS
http_access deny Skype_UA
всё ещё проще.
ставишь прокси с авторизацией и готово.
скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации.
PROFIT