Помогите ограничить доступ к Skype

0

0

Имеем ASPLinux 11 (2.6.17-1.2146aspsmp), iptables-1.3.5-1.2asp, iptables-devel-1.3.5-1.2asp. Скачан и установлен пакет l7-protocols-2009-05-28.tar.gz

Необходимо фильтровать Skype- вести лог и отказывать в доступе в этому сервису.

eth0- интерфейс доступа из локальной сети к серверу предприятия eth1.11- интерфейс доступа с сервера предприятия к провайдеру

В firewall указано-

.. /sbin/modprobe ipt_layer7

iptables -N SKYPE

iptables -A SKYPE -j LOG --log-level debug --log-prefix «iptables SKYPE: » --log-tcp-options --log-ip-options

iptables -A SKYPE -j DROP

iptables -A FORWARD --in-interface eth0 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skyptoskype --source 192.168.0.0/16 -j SKYPE

iptables -A FORWARD --in-interface eth0 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypout --source 192.168.0.0/16 -j SKYPE ..

Пакеты попадают в цепочку SKYPE и отбрасываются, согл. отчёту iptables.

Chain FORWARD (policy DROP 243 packets, 17544 bytes)

pkts bytes target prot opt in out source destination

0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset

6 270 LOG tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW LOG flags 0 level 7 prefix `FORWARD :: New not syn: '

6 270 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

0 0 ACCEPT tcp — eth0 * 0.0.0.0/0 192.168.3.122 multiport dports 22,80,139,443,2401,3690

0 0 ACCEPT tcp — * eth0 192.168.3.122 0.0.0.0/0 multiport sports 22,80,139,443,2401,3690

0 0 ACCEPT tcp — eth0 * 192.168.0.10 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.10 tcp spt:3128

0 0 ACCEPT tcp — eth0 * 192.168.0.26 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.26 tcp spt:3128

0 0 ACCEPT tcp — eth0 * 192.168.0.104 192.168.3.122 tcp dpt:3128

0 0 ACCEPT tcp — * eth0 192.168.3.122 192.168.0.104 tcp spt:3128

90129 47M SKYPE all — eth0 * 192.168.0.0/16 0.0.0.0/0 LAYER7 l7proto skypeout

317K 12M SKYPE all — eth0 * 192.168.0.0/16 0.0.0.0/0 LAYER7 l7proto skypetoskype

0 0 DROP tcp — * eth0 0.0.0.0/0 0.0.0.0/0 tcp spts:31337:31340 dpts:31337:31340

69 3192 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 12/min burst 5

9 360 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 12/min burst 5

513 126K CHK_MAC_KB all — eth0 * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all — eth0 eth1 192.168.0.0/24 192.168.3.18

0 0 ACCEPT all — eth0 eth1 192.168.0.0/24 192.168.3.21 ..

Chain SKYPE (2 references)

pkts bytes target prot opt in out source destination

407K 59M LOG all — * * 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 7 prefix `iptables SKYPE: '

407K 59M DROP all — * * 0.0.0.0/0 0.0.0.0/0

Но Skype всё равно связывается с внешним миром и работает, как будто никаких запретов не существует.

Если запретить Skype на внешнем интерфейсе eth1.11, то работа Skype отключается, а вместе с ним и всякий доступ к внешнему миру.

.. iptables -A FORWARD --out-interface eth1.11 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skyptoskype --source 192.168.0.0/16 -j SKYPE

iptables -A FORWARD --out-interface eth1.11 --match layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypout --source 192.168.0.0/16 -j SKYPE

Как исправить положение?

Ссылка

←	Настройка xorg (2 монитора)

Заглянуть внутрь PHP-FPM?

→

Мне кажеться нужно быть проше

GoNaX ★★★
(10.08.10 11:35:34 MSD)

Ссылка

>Если запретить Skype на внешнем интерфейсе eth1.11, то работа Skype отключается, а вместе с ним и всякий доступ к внешнему миру.

Не так то просто его заблокировать. Если заблокировать tcp то скайп полезет через udp, будет использовать stun для обхода nat и т.д. Можно попробовать заблокировать сервер авторизации, хотя там может быть несколько адресов, тогда заблокировать их всех.

Lucky1 ★★★
(10.08.10 11:44:44 MSD)

Ответ на: комментарий от Lucky1 10.08.10 11:44:44 MSD

Как выяснить адреса серверов авторизации?

bsm
(10.08.10 12:38:59 MSD) автор топика

Nothing can stop phophuddiah!

Umberto ★☆
(10.08.10 12:48:26 MSD)

Ссылка

Ответ на: комментарий от bsm 10.08.10 12:38:59 MSD

>Как выяснить адреса серверов авторизации?

80.160.91.11

Lucky1 ★★★
(10.08.10 12:56:02 MSD)

Ссылка

В случае со скайпом _гораздо проще_ отловить тех, кто его юзает, и набить им морды, чем городить фаерволы.
В свое время, кажется, в ксакепе была статейка про то, как трудно ловить скайп. Советую отыскать и проникнуться.

nnz ★★★★
(10.08.10 13:20:14 MSD)

Ответ на: комментарий от nnz 10.08.10 13:20:14 MSD

Статью Касперского по этой теме прочёл.Буду готовить распоряжение по предприятию о разрешении/запрете использования Skype.

Всем спасибо.

bsm
(10.08.10 13:22:54 MSD) автор топика

http://www.opennet.ru/base/sec/skype_aparmor_limit.txt.html

yltsrc ★
(10.08.10 13:26:08 MSD)

Ответ на: комментарий от bsm 10.08.10 13:22:54 MSD

ФОШЫЗТЫ!

anonymous
(10.08.10 14:18:07 MSD)

Ответ на: комментарий от anonymous 10.08.10 14:18:07 MSD

попробуй для ограничения использовать AppArmor!

~~ipwww~~ ★★
(10.08.10 15:12:55 MSD)

Ссылка

Ответ на: комментарий от yltsrc 10.08.10 13:26:08 MSD

Это решение для машины клиента. Мне необходимо выполнить задуманное на сервере,- этому разрешено, а этим запрещено.

bsm
(10.08.10 16:40:58 MSD) автор топика

Ответ на: комментарий от bsm 10.08.10 16:40:58 MSD

Что мешает не пускать клиентов через nat? Только squid, SOCKS? И не пролезет никуда skype

DALDON ★★★★★
(11.08.10 17:01:28 MSD)

Ответ на: комментарий от DALDON 11.08.10 17:01:28 MSD

и через кальмара тоже лезет

Bloody ★★
(12.08.10 12:17:24 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка xorg (2 монитора)

Admin

Заглянуть внутрь PHP-FPM?

→

Nothing can stop phophuddiah!

Похожие темы