SKYPE

[Gilberto Nunes]

Olá pessoal

Estou usando o Endian 2.4 aqui na empresa, mas não estou conseguindo bloquear o Skype.

Uso o Endian autenticado no AD da Empresa e o Squid/Dansguardian está usando essa autenticação baseada em grupos ou niveis de acesso…

Acontece que não estou conseguindo bloquear o Skype.

Já segui o tutorial colocado aqui: http://kb.endian.com/entry/48/

mas não surtiu efeito.

Não uso proxy transparente devido a autenticação pois até onde eu sei, no Squid autenticação e Proxy Transparente não funcionam certo????

Dessa forma, preciso bloquear o Skype e liberar para apenas um ou dois usuários…

Alguém pode me ajudar eu agradeço

Obrigado

[Gilberto Nunes]

Só pra complementar.

O custom.tmpl está assim:

acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

http_access deny CONNECT negadoip

acl SSL_ports 443

acl sslsites url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+

http_access deny SSL_ports sslsites

acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

http_access deny skype_80

http_access deny skype_443

acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

acl skype_ua browser ^skype^

http_access deny CONNECT numeric_IPs all

http_access deny skype_ua

acl skype_ua browser ^skype^

http_access deny skype_ua

access_log /var/log/squid/access.log squid

[Gilberto Nunes]

Alguém por gentileza pode me ajudar??? Obrigado

[Eduardo Silva]

Gilberto,

Você desativou o proxy transparente certo?

– Certifique que os protocolos http e https estão bloqueados no seu firewall de saída.

– Confirme nos logs do squid se as tentativas de conexão do skype estão sendo bloqueadas corretamente.

– Utilize o tcpdump do seu endian para monitorar um computador que tenta se conectar ao skype, verifique através de quais portas que o skype está conseguindo conectar.

Escrevi um pequeno tutorial sobre o tcpdump e outras ferramentas em: http://linux.eduardosilva.eti.br/canivete-suico-para-redes

[]’s

[Gilberto Nunes]

Olá Eduardo…

Sim, eu desativei o proxy transparente.. Estão todos navegando pelo proxy e as portas 80 e 443 está bloqueadas no Firewall do Endian.

Os logs do Squid me mostram diversas conexões a diversos IP’s na porta 443.

A porta que o Skype tá usando é a porta 443 pelo que eu pude observar.

Obrigado

[Eduardo Silva]

Gilberto,

Pelo visto o seu squid não está bloqueando acessos a websites diretamente pelo endereço IP.

Verifique no arquivo /etc/squid/squid.conf se as regras que você inseriu no arquivo custom estão lá. Não edite este arquivo pois ele é gerado automaticamente.

[]’s

[Gilberto Nunes]

Sim… Está… segue:

# begin custom.tmpl

acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

http_access deny CONNECT negadoip

acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

http_access deny skype_80

http_access deny skype_443

acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

acl skype_ua browser ^skype^

http_access deny CONNECT numeric_IPs all

http_access deny skype_ua

acl skype_ua browser ^skype^

http_access deny skype_ua

error_directory /usr/share/squid/errors/pt_BR

access_log /var/log/squid/access.log squid

# end custom.tmpl

e o custom.tmpl:

acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

http_access deny CONNECT negadoip

acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

http_access deny skype_80

http_access deny skype_443

acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

acl skype_ua browser ^skype^

http_access deny CONNECT numeric_IPs all

http_access deny skype_ua

acl skype_ua browser ^skype^

http_access deny skype_ua

error_directory /usr/share/squid/errors/pt_BR

access_log /var/log/squid/access.log squid

Obrigado

[Eduardo Silva]

Gilberto,

Estas regras devem estar no arquivo custom-acl.tmpl e não no custom.tmpl

De qualquer forma, as acls que você colocou aqui estão ligeiramente diferentes das acls do KB. (Acho que a página foi atualizada).

experimente colocar as regras do kb no custom-acl.tmpl e faça novos testes.

[]’s

[Gilberto Nunes]

Olá Eduardo…

Não achei esse arquivo que você mencionou a não ser o custom.tmpl.

Outra coisa que observei aqui é que quando eu desativo um filtro de conteúdo o Skype não funciona, porém quando eu volto a ativar esse filtro o Skype funciona para os usuários que estão no grupo que usa o filtro em questão! Esse filtro é bem permissivo e bloqueia somente alguns sites, como webmail’s etc…

Na verdade que eu preciso é bloquear o Skype para todos usuários, exceto para que um determinado grupo de usuários…

Quando eu tinha um firewall com Linux e Squid aqui, eu conseguia fazer isso tranquilamente.

Espero que com o Endian eu também consiga, pois mudamos para o Endian pelo fato de ele ser mais fácil para trabalhar.

Por gentileza, se puder me ajudar agradeço….

[Edinho]

Lhe confesso que ainda não tentei com o Skype.

Mas, já esperimentou bloquear com o MIME do Skype?

No Endian 2.4 nunca precisei fazer isto, mas, no 2.3, funcionou direitinho com o MSN.

O MIME do Skype é: “x-skype”

[Gilberto Nunes]

Olá Edinho

Creio que até possa funcionar da maneira que você falou, mas como eu posso liberar para somente um ou dois usuários por exemplo??

Obrigado

[Bruno Vicente]

Gilberto,

O MIME você configura na Access Policy, então basta criar uma bloqueando o MIME do skype e na autenticação escolher o usuário ou grupo desejado.

Depois nos dê o feedback.

[]’s

[Gilberto Nunes]

Olá Bruno

Não entendo… Aí ele não vai negar somente para o usuário em questão???

Valeu

[Bruno Vicente]

Sim Gilberto, a intenção é bloquear os usuários que não terão acesso ao Skype e liberar o restante.

Por exemplo:

Crie um grupo “Nega Skype” e inclua os usuários que não poderão ter acesso a este recurso, após crie uma access policy bloqueando o MIME do mensageiro e selecione o grupo criado na base de autenticação.

[]’s

[Autor]

Posts