Hola:
2010/5/13 Alberto Carlos Guerrrero Cardenas <[email protected]> > Buenas noches > > Tengo un servidor Firewall + proxy transparente y nesecito cerrar el skype > el escenario es el sgte: > > tengo 40 usuarios de los cuales solo 5 deben de tener skype > dentro de mi squid tengo una lista de 10 ip con salida libre a internet. > Estos 5 usuarios que utilizan skype no todos tienes salida total > entonces lo que estube pensando es hacer una lista de usuarios q pueden > utilizar skype y el resto no. > Si alguien me da una idea mejor. o tiene alguna experiencia con el skype > GRacias > > -- > Ciertamente el bloqueo de Skype no es algo fácil. Si éste no pasa por proxy entonces usará un rango aleatorio de direcciones IP a las cuales se conecta generalmente usando los puertos TCP 80 y 443, así que ni se te ocurra abrir o cerrar esos puertos para así dar acceso a Skype. Si obligas a los usuarios a que usen proxy para conectarse al Skype, con Squid podrías simplificarte el escenario con una ACL como esta: acl skype url_regex -i ([0-9]{1,3}\.){3}[0-9]{1,3} acl permitidos-skype src "/etc/squid/permitidos-skype.txt" Luego permitir el acceso a un grupo 'permitidos-skype' de esta forma: http_access deny CONNECT skype !permitidos-skype Esto permitiría denegar el acceso a las conexiones iniciales de Skype a todos excepto a los del grupo 'permitidos-skype'. La ACL 'skype' ciertamente no coincide específicamente con Skype sino con cualquier aplicación que se use el método CONNECT (generalmente conexiones SSL) para conectarse a hosts identificados sólo por direcciones IP, no nombres de dominios. Esto puede coincidir bien con las conexiones de Skype así como también con otras conexiones HTTPS a sitios Web identificados sólo por IP y no por dominio. No es una solución elegante ni muy precisa pero es la que suele funcionar. Al menos yo pasé un buen tiempo buscando una mejor solución pero no logré nada mejor que eso según sugerencias de Google. Espero te sirva. P.D.: - También intenté identificar las direcciones IP a las que se conecta Skype para bloquearlas pero esta lista se volvió inmanejable cuando superaba ya las 300 ó 400 direcciones IP. Además una vez supe de un módulo de iptables que se compilaba y ofrecía soporte para identificar el protocolo cerrado de Skype. Sin embargo este software (módulo de iptables) no era gratuito sino de pago por lo que decliné probarlo si quiera. -- Angel Rengifo Cancino RHCE 5 | LPIC 1 Director Comercial SFI Networks EIRL Cel: +511 997835382 Telf: +511 4583539 E-mail: [email protected] Website: http://www.sfinetworks.com
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
