SKYPE

Marcado: 

Este tópico contém respostas, possui 4 vozes e foi atualizado pela última vez por  Bruno Vicente 3 anos, 11 mes atrás.

  • Autor
    Posts
  • #576

    Gilberto Nunes
    Participante

    Olá pessoal

    Estou usando o Endian 2.4 aqui na empresa, mas não estou conseguindo bloquear o Skype.

    Uso o Endian autenticado no AD da Empresa e o Squid/Dansguardian está usando essa autenticação baseada em grupos ou niveis de acesso…

    Acontece que não estou conseguindo bloquear o Skype.

    Já segui o tutorial colocado aqui: http://kb.endian.com/entry/48/

    mas não surtiu efeito.

    Não uso proxy transparente devido a autenticação pois até onde eu sei, no Squid autenticação e Proxy Transparente não funcionam certo????

    Dessa forma, preciso bloquear o Skype e liberar para apenas um ou dois usuários…

    Alguém pode me ajudar eu agradeço

    Obrigado

  • #6024

    Gilberto Nunes
    Participante

    Só pra complementar.

    O custom.tmpl está assim:

    acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

    http_access deny CONNECT negadoip

    acl SSL_ports 443

    acl sslsites url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+

    http_access deny SSL_ports sslsites

    acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

    acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

    http_access deny skype_80

    http_access deny skype_443

    acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

    acl skype_ua browser ^skype^

    http_access deny CONNECT numeric_IPs all

    http_access deny skype_ua

    acl skype_ua browser ^skype^

    http_access deny skype_ua

    access_log /var/log/squid/access.log squid

  • #6025

    Gilberto Nunes
    Participante

    Alguém por gentileza pode me ajudar??? Obrigado

  • #6026

    Eduardo Silva
    Participante

    Gilberto,

    Você desativou o proxy transparente certo?

    - Certifique que os protocolos http e https estão bloqueados no seu firewall de saída.

    – Confirme nos logs do squid se as tentativas de conexão do skype estão sendo bloqueadas corretamente.

    – Utilize o tcpdump do seu endian para monitorar um computador que tenta se conectar ao skype, verifique através de quais portas que o skype está conseguindo conectar.

    Escrevi um pequeno tutorial sobre o tcpdump e outras ferramentas em: http://linux.eduardosilva.eti.br/canivete-suico-para-redes

    []’s

  • #6027

    Gilberto Nunes
    Participante

    Olá Eduardo…

    Sim, eu desativei o proxy transparente.. Estão todos navegando pelo proxy e as portas 80 e 443 está bloqueadas no Firewall do Endian.

    Os logs do Squid me mostram diversas conexões a diversos IP’s na porta 443.

    A porta que o Skype tá usando é a porta 443 pelo que eu pude observar.

    Obrigado

  • #6028

    Eduardo Silva
    Participante

    Gilberto,

    Pelo visto o seu squid não está bloqueando acessos a websites diretamente pelo endereço IP.

    Verifique no arquivo /etc/squid/squid.conf se as regras que você inseriu no arquivo custom estão lá. Não edite este arquivo pois ele é gerado automaticamente.

    []’s

  • #6029

    Gilberto Nunes
    Participante

    Sim… Está… segue:

    # begin custom.tmpl

    acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

    http_access deny CONNECT negadoip

    acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

    acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

    http_access deny skype_80

    http_access deny skype_443

    acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

    acl skype_ua browser ^skype^

    http_access deny CONNECT numeric_IPs all

    http_access deny skype_ua

    acl skype_ua browser ^skype^

    http_access deny skype_ua

    error_directory /usr/share/squid/errors/pt_BR

    access_log /var/log/squid/access.log squid

    # end custom.tmpl

    e o custom.tmpl:

    acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))

    http_access deny CONNECT negadoip

    acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80

    acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443

    http_access deny skype_80

    http_access deny skype_443

    acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+

    acl skype_ua browser ^skype^

    http_access deny CONNECT numeric_IPs all

    http_access deny skype_ua

    acl skype_ua browser ^skype^

    http_access deny skype_ua

    error_directory /usr/share/squid/errors/pt_BR

    access_log /var/log/squid/access.log squid

    Obrigado

  • #6030

    Eduardo Silva
    Participante

    Gilberto,

    Estas regras devem estar no arquivo custom-acl.tmpl e não no custom.tmpl

    De qualquer forma, as acls que você colocou aqui estão ligeiramente diferentes das acls do KB. (Acho que a página foi atualizada).

    experimente colocar as regras do kb no custom-acl.tmpl e faça novos testes.

    []’s

  • #6031

    Gilberto Nunes
    Participante

    Olá Eduardo…

    Não achei esse arquivo que você mencionou a não ser o custom.tmpl.

    Outra coisa que observei aqui é que quando eu desativo um filtro de conteúdo o Skype não funciona, porém quando eu volto a ativar esse filtro o Skype funciona para os usuários que estão no grupo que usa o filtro em questão! Esse filtro é bem permissivo e bloqueia somente alguns sites, como webmail’s etc…

    Na verdade que eu preciso é bloquear o Skype para todos usuários, exceto para que um determinado grupo de usuários…

    Quando eu tinha um firewall com Linux e Squid aqui, eu conseguia fazer isso tranquilamente.

    Espero que com o Endian eu também consiga, pois mudamos para o Endian pelo fato de ele ser mais fácil para trabalhar.

    Por gentileza, se puder me ajudar agradeço….

  • #6032

    Edinho
    Participante

    Lhe confesso que ainda não tentei com o Skype.

    Mas, já esperimentou bloquear com o MIME do Skype?

    No Endian 2.4 nunca precisei fazer isto, mas, no 2.3, funcionou direitinho com o MSN.

    O MIME do Skype é: “x-skype”

  • #6033

    Gilberto Nunes
    Participante

    Olá Edinho

    Creio que até possa funcionar da maneira que você falou, mas como eu posso liberar para somente um ou dois usuários por exemplo??

    Obrigado

  • #6034

    Bruno Vicente
    Participante

    Gilberto,

    O MIME você configura na Access Policy, então basta criar uma bloqueando o MIME do skype e na autenticação escolher o usuário ou grupo desejado.

    Depois nos dê o feedback.

    []’s

  • #6035

    Gilberto Nunes
    Participante

    Olá Bruno

    Não entendo… Aí ele não vai negar somente para o usuário em questão???

    Valeu

  • #6036

    Bruno Vicente
    Participante

    Sim Gilberto, a intenção é bloquear os usuários que não terão acesso ao Skype e liberar o restante.

    Por exemplo:

    Crie um grupo “Nega Skype” e inclua os usuários que não poderão ter acesso a este recurso, após crie uma access policy bloqueando o MIME do mensageiro e selecione o grupo criado na base de autenticação.

    []’s

O tópico ‘SKYPE’ está fechado para novas respostas.