Marcado: skype
- Este tópico contém 13 respostas, 4 vozes e foi atualizado pela última vez 13 anos, 6 meses atrás por Bruno Vicente.
- AutorPosts
- setembro 20, 2010 às 1:41 pm #576Gilberto NunesParticipante
Olá pessoal
Estou usando o Endian 2.4 aqui na empresa, mas não estou conseguindo bloquear o Skype.
Uso o Endian autenticado no AD da Empresa e o Squid/Dansguardian está usando essa autenticação baseada em grupos ou niveis de acesso…
Acontece que não estou conseguindo bloquear o Skype.
Já segui o tutorial colocado aqui: http://kb.endian.com/entry/48/
mas não surtiu efeito.
Não uso proxy transparente devido a autenticação pois até onde eu sei, no Squid autenticação e Proxy Transparente não funcionam certo????
Dessa forma, preciso bloquear o Skype e liberar para apenas um ou dois usuários…
Alguém pode me ajudar eu agradeço
Obrigado
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
- setembro 20, 2010 às 2:39 pm #6024Gilberto NunesParticipante
Só pra complementar.
O custom.tmpl está assim:
acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))
http_access deny CONNECT negadoip
acl SSL_ports 443
acl sslsites url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+
http_access deny SSL_ports sslsites
acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80
acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443
http_access deny skype_80
http_access deny skype_443
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
acl skype_ua browser ^skype^
http_access deny CONNECT numeric_IPs all
http_access deny skype_ua
acl skype_ua browser ^skype^
http_access deny skype_ua
access_log /var/log/squid/access.log squid
- setembro 21, 2010 às 11:11 am #6025Gilberto NunesParticipante
Alguém por gentileza pode me ajudar??? Obrigado
- setembro 21, 2010 às 2:51 pm #6026Eduardo SilvaParticipante
Gilberto,
Você desativou o proxy transparente certo?
– Certifique que os protocolos http e https estão bloqueados no seu firewall de saída.
– Confirme nos logs do squid se as tentativas de conexão do skype estão sendo bloqueadas corretamente.
– Utilize o tcpdump do seu endian para monitorar um computador que tenta se conectar ao skype, verifique através de quais portas que o skype está conseguindo conectar.
Escrevi um pequeno tutorial sobre o tcpdump e outras ferramentas em: http://linux.eduardosilva.eti.br/canivete-suico-para-redes
[]’s
- setembro 21, 2010 às 5:21 pm #6027Gilberto NunesParticipante
Olá Eduardo…
Sim, eu desativei o proxy transparente.. Estão todos navegando pelo proxy e as portas 80 e 443 está bloqueadas no Firewall do Endian.
Os logs do Squid me mostram diversas conexões a diversos IP’s na porta 443.
A porta que o Skype tá usando é a porta 443 pelo que eu pude observar.
Obrigado
- setembro 21, 2010 às 6:53 pm #6028Eduardo SilvaParticipante
Gilberto,
Pelo visto o seu squid não está bloqueando acessos a websites diretamente pelo endereço IP.
Verifique no arquivo /etc/squid/squid.conf se as regras que você inseriu no arquivo custom estão lá. Não edite este arquivo pois ele é gerado automaticamente.
[]’s
- setembro 21, 2010 às 7:34 pm #6029Gilberto NunesParticipante
Sim… Está… segue:
# begin custom.tmpl
acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))
http_access deny CONNECT negadoip
acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80
acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443
http_access deny skype_80
http_access deny skype_443
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
acl skype_ua browser ^skype^
http_access deny CONNECT numeric_IPs all
http_access deny skype_ua
acl skype_ua browser ^skype^
http_access deny skype_ua
error_directory /usr/share/squid/errors/pt_BR
access_log /var/log/squid/access.log squid
# end custom.tmpl
e o custom.tmpl:
acl negadoip dstdom_regex -i ([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}($|:.+|/))
http_access deny CONNECT negadoip
acl skype_80 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:80
acl skype_443 url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+:443
http_access deny skype_80
http_access deny skype_443
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
acl skype_ua browser ^skype^
http_access deny CONNECT numeric_IPs all
http_access deny skype_ua
acl skype_ua browser ^skype^
http_access deny skype_ua
error_directory /usr/share/squid/errors/pt_BR
access_log /var/log/squid/access.log squid
Obrigado
- setembro 24, 2010 às 2:21 am #6030Eduardo SilvaParticipante
Gilberto,
Estas regras devem estar no arquivo custom-acl.tmpl e não no custom.tmpl
De qualquer forma, as acls que você colocou aqui estão ligeiramente diferentes das acls do KB. (Acho que a página foi atualizada).
experimente colocar as regras do kb no custom-acl.tmpl e faça novos testes.
[]’s
- setembro 24, 2010 às 11:59 am #6031Gilberto NunesParticipante
Olá Eduardo…
Não achei esse arquivo que você mencionou a não ser o custom.tmpl.
Outra coisa que observei aqui é que quando eu desativo um filtro de conteúdo o Skype não funciona, porém quando eu volto a ativar esse filtro o Skype funciona para os usuários que estão no grupo que usa o filtro em questão! Esse filtro é bem permissivo e bloqueia somente alguns sites, como webmail’s etc…
Na verdade que eu preciso é bloquear o Skype para todos usuários, exceto para que um determinado grupo de usuários…
Quando eu tinha um firewall com Linux e Squid aqui, eu conseguia fazer isso tranquilamente.
Espero que com o Endian eu também consiga, pois mudamos para o Endian pelo fato de ele ser mais fácil para trabalhar.
Por gentileza, se puder me ajudar agradeço….
- setembro 24, 2010 às 9:57 pm #6032EdinhoParticipante
Lhe confesso que ainda não tentei com o Skype.
Mas, já esperimentou bloquear com o MIME do Skype?
No Endian 2.4 nunca precisei fazer isto, mas, no 2.3, funcionou direitinho com o MSN.
O MIME do Skype é: “x-skype”
- setembro 27, 2010 às 12:14 pm #6033Gilberto NunesParticipante
Olá Edinho
Creio que até possa funcionar da maneira que você falou, mas como eu posso liberar para somente um ou dois usuários por exemplo??
Obrigado
- setembro 27, 2010 às 2:45 pm #6034Bruno VicenteParticipante
Gilberto,
O MIME você configura na Access Policy, então basta criar uma bloqueando o MIME do skype e na autenticação escolher o usuário ou grupo desejado.
Depois nos dê o feedback.
[]’s
- setembro 27, 2010 às 6:01 pm #6035Gilberto NunesParticipante
Olá Bruno
Não entendo… Aí ele não vai negar somente para o usuário em questão???
Valeu
- setembro 28, 2010 às 12:30 pm #6036Bruno VicenteParticipante
Sim Gilberto, a intenção é bloquear os usuários que não terão acesso ao Skype e liberar o restante.
Por exemplo:
Crie um grupo “Nega Skype” e inclua os usuários que não poderão ter acesso a este recurso, após crie uma access policy bloqueando o MIME do mensageiro e selecione o grupo criado na base de autenticação.
[]’s
- AutorPosts
- O tópico ‘SKYPE’ está fechado para novas respostas.