Názory k článku
Blokovat Skype v iptables
-
scarabeus_iv (neregistrovaný)Jako napad dat toto nastaveni fw verejnosti neni marne, ale proc zrovna jako zpravicka, kdyby se to napsalo do blogu a pridalo se k tomu par komentaru tak to vypada i pekne. A taky sem vzdycky trpel pocitem ze navody by meli byt co nejuniverzalnejsi...
Kdybych iptables nerozumel tak bych cumel jako puk. -
wictor (neregistrovaný)Taky se přimlouvám.
IPT sice trochu rozumím, ale tomuhle teda příliš ne.
Komentáře? Vysvětlení? Kontext? Tohle by mě jako vyřešenou úlohu nikdo nevzal.
Btw, moc se mi nechce věřit, že to opravdu 100% funguje. Může někdo potvrdit? Pokud vim, tak když byl povolenej aspoň TCP80, tak Skype běžel... Ale už je to dlouho, co jsem se tim zabejval. Časem jsem spíš použil pravidlo: Co nemůžeš porazit........;-) -
mno musim rict nejak jsem na to taky koukal jako puk. snad jsem to nejak pochopil.
-m tcp|udp neni potreba, protoze se to automaticky vola pri -p tcp|udp.
prehlednuti v presmerovani ve FORWARD. melo by jit na test_skype, ne block_skype.
pokud to chapu, tak zaznamenavame zdrojovou ip adresu stroje, ktery posle udp paket a pak blokujeme tcp destination porty 443 a 1025-65535 z teto ip adresy. pokud na 30 vterin prestaneme posilat udp pakety, tak se tcp spojeni obnovi.
obecne to blokuje tcp sluzby na zaklade posilani udp paketu. takze napriklad ipsec/openvpn nemuzeme pouzivat.
uz je to par let, co jsem koukal na skype. nechodila po tcp autentifikace a po udp voip?
znamena to, ze se skype autentifikuje, dostane seznam klientu, pak si vybere klienta, zavola mu, autentifikace se mu zablokuje ale on uz muze klidne volat? pak zavesi, za 30 vterin se mu vse obnovi vcetne autentifikace skype? co si pamatuji, tak servery skype nekde poslouchaly i na tcp portu 80.
jsem asi neco minul ne? ale co?
mk -
anonymníMate pravdu, je to orezane. Patri tam jeste:
-A PREROUTING -d ! 10.0.0.0/255.0.0.0 -i ! eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A OUTPUT -o eth1 -p tcp -m tcp --dport 80 -m owner ! --uid-owner proxy -j REDIRECT --to-ports 3128
Tedy transparentni proxy (suid) z vnitrni site. Za to block_skype se omlouvam, prilis rychla ruka :)
Jinak to chodi spolehlive:
Klient zkusi pri startu UDP -> je zaznamenano
Nasledne se pokousi o TCP -> to je podezrele
A kdyz pak jde i na 443 je to Skype
Ve vysledku se proste neprihlasi.
Jinak byla tato zprava hlavne test zajmu. Kdyz bude popisu vice.
