The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Блокирование Skype соединений на прокси-сервере Squid
Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

   # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/
   acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443

   # ACL для выявления обращений со словом skype в заголовке User Agent
   acl Skype_UA browser ^skype^

   # Блокируем skype по двум вышеописанным признакам
   http_access deny numeric_IPS
   http_access deny Skype_UA
 
Ключи: block, skype, squid, proxy, acl / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Прокси сервер Squid / ACL, ограничения трафика и пользователей

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, vgray, 19:11, 23/08/2010 [ответить] [смотреть все]
  • +/
    > ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/

    Млин, опять горе админы учат других как делать жизнь пользователям хуже

    Например официальный сервер почты украины, выдает статус посылок по адресу в котором фигурирует IP адрес, а не доменное имя.

     
     
  • 2.8, galy, 12:44, 24/08/2010 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Криво настроеных серверов не так уж и много и для них можно сделать правила ускл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, samm, 02:57, 27/08/2010 [^] [ответить] [смотреть все]  
  • +/
    И с чего это вдруг оно стало "криво настроенным"?
     
     
  • 4.21, uder, 01:48, 31/08/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Использовать IP вместо доменного имени в современном Интенете, это конечно не к... весь текст скрыт [показать]
     
     
  • 5.24, unscrubber, 07:32, 31/08/2010 [^] [ответить] [смотреть все]  
  • +/
    если уж на то пошло то встречаются такие доменные имена длиной более 20 символов... весь текст скрыт [показать]
     
     
  • 6.33, Андрей, 21:16, 03/09/2010 [^] [ответить] [смотреть все]  
  • +/
    а вот можно ли считать кривонастроенным почтовый сервер не у меня , который нор... весь текст скрыт [показать]
     
  • 1.3, Kirill, 19:54, 23/08/2010 [ответить] [смотреть все]  
  • +/
    Тут не всё так однозначно.
    Многие организации предоставляют доступ к ftp именно по ip-адресу. Для примера, доступ к багтрекингу и репозиторию наших партнёров по разработке происходит именно по ip-адресу.
     
     
  • 2.11, vodz, 17:38, 24/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Данный совет такие ftp-шики и http-шники не затронет Вчитайтесь внимательнее б... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Andrey Mitrofanov, 17:47, 24/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Да лана, вон на http www opennet ru opennews art shtml num 27563 localhost дел... весь текст скрыт [показать]
     
     
  • 4.13, vodz, 17:53, 24/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Хм, я тоже туплю У меня то стоит http_access deny CONNECT на самом деле, а не... весь текст скрыт [показать]
     
  • 1.4, Zl0, 20:52, 23/08/2010 [ответить] [смотреть все]  
  • +/
    Ip-шники в адресной строке блокировать вообще бред.
     
     
  • 2.5, dnskin, 22:54, 23/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Заявление типа вааще бред - вааще ниочем случаи бывают разные И ограничен... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, vgray, 06:34, 24/08/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Случаи бывают разные - это я согласен, вот и учитывйте эти разные случаи Я сам ... весь текст скрыт [показать]
     
     
  • 4.9, galy, 12:47, 24/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Можно сообщить начальству, что админ превышает свои полномочия, только вполне во... весь текст скрыт [показать]
     
     
  • 5.10, vgray, 12:58, 24/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Закрыть все файрволом, а потом пусть пользовати бегают и выбивают разрешения на ... весь текст скрыт [показать]
     
  • 1.6, zapal, 23:28, 23/08/2010 [ответить] [смотреть все]  
  • +/
    Кстати в примере конфига SQUIDa написано:
    For dstdomain and dstdom_regex a reverse lookup is tried if a IP based URL is used and no match is found. The name "none" is used if the reverse lookup fails.

    Тоесть если в URL использовался IP, то делается попытка определить имя домена, если не удалась, то подставляется слово "none" в dstdomain и dstdom_regex
    Я использовал так
    #acl dom_none   dstdomain none
    #http_access    deny   dom_none

    Но долго у меня squid с такам правилом не проработал - однокласники достали ;)

     
  • 1.15, zoonman, 10:52, 25/08/2010 [ответить] [смотреть все]  
  • +/
    http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

    Copy/Paste?

     
  • 1.16, Nas_tradamus, 12:19, 26/08/2010 [ответить] [смотреть все]  
  • +/
    Только вот Скайп так не заблокируешь.
    Список IP динамический и все время меняется - это раз. Скайп умеет ходить через любой открытый порт - это два. Скайп умеет шифровать свои пакеты так, что заголовки генеряться рэндомно. Сигнатуры пакетов тоже меняются - это три.
     
     
  • 2.22, uder, 01:55, 31/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    прочитай еще раз пост перед тем, как критиковать 3 раза мимо кассы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Nas_tradamus, 11:54, 31/08/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Объясните где я не прав Skype Squid ом не заблокируешь, как бэ ... весь текст скрыт [показать]
     
  • 1.18, 187, 14:48, 28/08/2010 [ответить] [смотреть все]  
  • +/
    Не залочишь его так.
    Странно, что вообще до сих пор тема открыта.
    Года 4 назад, еще будучи одмином, блокировал просто закрыв весь HTTPS. Если кому нужен HTTPS по работе - милости просим, через руководство. Ибо нех.
    А иначе (по крайней мере, бесплатно) - никак, имхо.
     
     
  • 2.19, Nas_tradamus, 20:56, 29/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И так не прокатит Скайпу будет сложно выйти в онлайн первые несколько минут По... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, 187, 22:28, 29/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Ну, я пишу то, как это работало.
    Делать так или иначе - решать вам.
     
  • 3.23, uder, 02:02, 31/08/2010 [^] [ответить] [смотреть все]  
  • +/
    открытых портов вообще может не быть Но парень тоже суров, весь HTTPS рубить бо... весь текст скрыт [показать]
     
     
  • 4.26, Nas_tradamus, 11:56, 31/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Ну да Но основной мессадж статьи - скайп вообще нельзя заблокировать в условиях... весь текст скрыт [показать]
     
     
  • 5.27, Andrew Kolchoogin, 17:38, 31/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Ну, в условиях отдельно взятого компьютера с Интернетом заблокировать Skype как ... весь текст скрыт [показать]
     
     
  • 6.28, Nas_tradamus, 18:08, 31/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Кстати, в винде можно групповыми политиками блочить skype.exe . Или на уровне ISA + на каждый комп поставить microsoft firewall client и пускать в инет только машины с клиентом.

    В общем, групповые политики - классная штука, но работает только в майкрософтовском исщадии..


     
     
  • 7.29, ы, 14:56, 01/09/2010 [^] [ответить] [смотреть все]  
  • +/
    >Кстати, в винде можно групповыми политиками блочить skype.exe

    mv skype.exe msword.exe

     
     
  • 8.30, Nas_tradamus, 15:34, 01/09/2010 [^] [ответить] [смотреть все]  
  • +/
    >>Кстати, в винде можно групповыми политиками блочить skype.exe
    >
    >mv skype.exe msword.exe

    Так ведь в групповых политиках можно запретить mv в Program Files.

     
     
  • 9.31, Из ИТК, 18:10, 01/09/2010 [^] [ответить] [смотреть все]  
  • +/
    Так ведь скайп не обязательно в Progam Files ставить =)
     
     
  • 10.32, Из ИТК, 18:17, 01/09/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    >Так ведь скайп не обязательно в Progam Files ставить =)

    Да кстати у многих Program Files в ~/.wine/drive_c =)

     
  • 1.34, sergicus, 16:51, 17/01/2011 [ответить] [смотреть все]  
  • +/
    > Для блокирование Skype в конфигурацию Squid можно внести следующие изменения:

    А этот метод сейчас работает ??

    я делал так - полностью блокировал  443 порт таким правилом

    ipfw add 23 deny log all from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 443

     
  • 1.35, anonymous, 14:32, 20/04/2012 [ответить] [смотреть все]  
  • +/
    У меня была задача закрыть Skype скайп , а ICQ асю оставить открытой Решил э... весь текст скрыт [показать]
     
  • 1.36, Некропостер, 04:06, 30/03/2015 [ответить] [смотреть все]  
  • +/
    всё ещё проще.
    ставишь прокси с авторизацией и готово.
    скайп с 6 версий не умеет корректно работать с проксёй требующей авторизации.
    PROFIT
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor