LINUX.ORG.RU
ФорумAdmin

Помогите ограничить доступ к Skype


0

0

Имеем ASPLinux 11 (2.6.17-1.2146aspsmp), iptables-1.3.5-1.2asp, iptables-devel-1.3.5-1.2asp. Скачан и установлен пакет l7-protocols-2009-05-28.tar.gz

Необходимо фильтровать Skype- вести лог и отказывать в доступе в этому сервису.

eth0- интерфейс доступа из локальной сети к серверу предприятия eth1.11- интерфейс доступа с сервера предприятия к провайдеру

В firewall указано-

.. /sbin/modprobe ipt_layer7

iptables -N SKYPE

iptables -A SKYPE -j LOG --log-level debug --log-prefix «iptables SKYPE: » --log-tcp-options --log-ip-options

iptables -A SKYPE -j DROP

iptables -A FORWARD --in-interface eth0 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skyptoskype --source 192.168.0.0/16 -j SKYPE

iptables -A FORWARD --in-interface eth0 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypout --source 192.168.0.0/16 -j SKYPE ..

Пакеты попадают в цепочку SKYPE и отбрасываются, согл. отчёту iptables.

Chain FORWARD (policy DROP 243 packets, 17544 bytes)

pkts bytes target prot opt in out source destination

0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset

6 270 LOG tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW LOG flags 0 level 7 prefix `FORWARD :: New not syn: '

6 270 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

0 0 ACCEPT tcp — eth0 * 0.0.0.0/0 192.168.3.122 multiport dports 22,80,139,443,2401,3690

0 0 ACCEPT tcp — * eth0 192.168.3.122 0.0.0.0/0 multiport sports 22,80,139,443,2401,3690

0 0 ACCEPT tcp — eth0 * 192.168.0.10 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.10 tcp spt:3128

0 0 ACCEPT tcp — eth0 * 192.168.0.26 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.26 tcp spt:3128

0 0 ACCEPT tcp — eth0 * 192.168.0.104 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.104 tcp spt:3128

90129 47M SKYPE all — eth0 * 192.168.0.0/16 0.0.0.0/0 LAYER7 l7proto skypeout

317K 12M SKYPE all — eth0 * 192.168.0.0/16 0.0.0.0/0 LAYER7 l7proto skypetoskype

0 0 DROP tcp — * eth0 0.0.0.0/0 0.0.0.0/0 tcp spts:31337:31340 dpts:31337:31340

69 3192 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 12/min burst 5

9 360 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 12/min burst 5

513 126K CHK_MAC_KB all — eth0 * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all — eth0 eth1 192.168.0.0/24 192.168.3.18

0 0 ACCEPT all — eth0 eth1 192.168.0.0/24 192.168.3.21 ..

Chain SKYPE (2 references)

pkts bytes target prot opt in out source destination

407K 59M LOG all — * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 7 prefix `iptables SKYPE: '

407K 59M DROP all — * * 0.0.0.0/0 0.0.0.0/0

Но Skype всё равно связывается с внешним миром и работает, как будто никаких запретов не существует.

Если запретить Skype на внешнем интерфейсе eth1.11, то работа Skype отключается, а вместе с ним и всякий доступ к внешнему миру.

.. iptables -A FORWARD --out-interface eth1.11 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skyptoskype --source 192.168.0.0/16 -j SKYPE

iptables -A FORWARD --out-interface eth1.11 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypout --source 192.168.0.0/16 -j SKYPE

Как исправить положение?


Мне кажеться нужно быть проше

GoNaX ★★★ ()

>Если запретить Skype на внешнем интерфейсе eth1.11, то работа Skype отключается, а вместе с ним и всякий доступ к внешнему миру.

Не так то просто его заблокировать. Если заблокировать tcp то скайп полезет через udp, будет использовать stun для обхода nat и т.д. Можно попробовать заблокировать сервер авторизации, хотя там может быть несколько адресов, тогда заблокировать их всех.

Lucky1 ★★★ ()
Ответ на: комментарий от bsm

>Как выяснить адреса серверов авторизации?

80.160.91.11

Lucky1 ★★★ ()

В случае со скайпом _гораздо проще_ отловить тех, кто его юзает, и набить им морды, чем городить фаерволы.
В свое время, кажется, в ксакепе была статейка про то, как трудно ловить скайп. Советую отыскать и проникнуться.

nnz ★★★★ ()
Ответ на: комментарий от nnz

Статью Касперского по этой теме прочёл.Буду готовить распоряжение по предприятию о разрешении/запрете использования Skype.

Всем спасибо.

bsm ()
Ответ на: комментарий от anonymous

попробуй для ограничения использовать AppArmor!

ipwww ★★ ()
Ответ на: комментарий от yltsrc

Это решение для машины клиента. Мне необходимо выполнить задуманное на сервере,- этому разрешено, а этим запрещено.

bsm ()
Ответ на: комментарий от bsm

Что мешает не пускать клиентов через nat? Только squid, SOCKS? И не пролезет никуда skype

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.