Hola:

2010/5/13 Alberto Carlos Guerrrero Cardenas <[email protected]>

> Buenas noches
>
> Tengo un servidor Firewall + proxy transparente y nesecito cerrar el skype
> el escenario es el sgte:
>
> tengo 40 usuarios de los cuales solo 5 deben de tener  skype
> dentro de mi squid tengo una lista de 10 ip con salida libre a internet.
> Estos 5 usuarios que utilizan skype no todos tienes salida total
> entonces lo que estube pensando es hacer una lista de usuarios q pueden
> utilizar skype y el resto no.
> Si alguien me da una idea mejor. o tiene alguna experiencia con el skype
> GRacias
>
> --
>
Ciertamente el bloqueo de Skype no es algo fácil. Si éste no pasa por proxy
entonces usará un rango aleatorio de direcciones IP a las cuales se conecta
generalmente usando los puertos TCP 80 y 443, así que ni se te ocurra abrir
o cerrar esos puertos para así dar acceso a Skype.

Si obligas a los usuarios a que usen proxy para conectarse al Skype, con
Squid podrías simplificarte el escenario con una ACL como esta:

acl skype url_regex -i ([0-9]{1,3}\.){3}[0-9]{1,3}
acl permitidos-skype src "/etc/squid/permitidos-skype.txt"

Luego permitir el acceso a un grupo 'permitidos-skype' de esta forma:

http_access deny CONNECT skype !permitidos-skype

Esto permitiría denegar el acceso a las conexiones iniciales de Skype a
todos excepto a los del grupo 'permitidos-skype'. La ACL 'skype' ciertamente
no coincide específicamente con Skype sino con cualquier aplicación que se
use el método CONNECT (generalmente conexiones SSL) para conectarse a hosts
identificados sólo por direcciones IP, no nombres de dominios.
Esto puede coincidir bien con las conexiones de Skype así como también con
otras conexiones HTTPS a sitios Web identificados sólo por IP y no por
dominio.
No es una solución elegante ni muy precisa pero es la que suele funcionar.

Al menos yo pasé un buen tiempo buscando una mejor solución pero no logré
nada mejor que eso según sugerencias de Google. Espero te sirva.


P.D.:
- También intenté identificar las direcciones IP a las que se conecta Skype
para bloquearlas pero esta lista se volvió inmanejable cuando superaba ya
las 300 ó 400 direcciones IP.
Además una vez supe de un módulo de iptables que se compilaba y ofrecía
soporte para identificar el protocolo cerrado de Skype. Sin embargo este
software (módulo de iptables) no era gratuito sino de pago por lo que
decliné probarlo si quiera.


-- 
Angel Rengifo Cancino
 RHCE 5  | LPIC 1

Director Comercial
SFI Networks EIRL

Cel: +511 997835382
Telf: +511 4583539
E-mail: [email protected]
Website: http://www.sfinetworks.com
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  [email protected]
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://voip2.voip.net.pe/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php

Responder a