Изпечатай

[VladSun]

l7 iptables patch-a не прави ли същото?

EDIT: Сега видях, че си писал за логин последователност. Предполагам, че string match-a на iptables ще се справи също толкова добре.

[ntrance]

Възможно е да се блокира skype, макар и да e много трудно.
решението е snort и iptables rules, като се блокира p2p skype протокола. няма смисъл да се блокират UDP портове, които се ползват от rtp (voice) пакетите.
по-добре да се прекъсне връзката между skype client i skype node, като за целта се ползва snort
snort-a следи за пакети съдържащ сигнатура: 0x17030100 - пакет който се връща от skype node / login server-a , след това този пакет се drop-ва и връзката на клиента към сървъра се прекъсва. Няма skype

Ще дадеш ли пример ?

[gat3way]

Кое точно му е по-безопасното на Ekiga? Че SIP съобщенията и аудио-то се размотават по мрежата некриптирани?

[seadog]

skype protocol e по-добър, като идея и технология от SIP-а. При SIP-a няма криптиране на връзката и по същност SIP съобщенията са почти еднакви с HTTP протокола ( това е най-общо казано).

А за блокирането на skype в snort-a има SID:5999 и той върши тази работа с блокирането на skype трафика  - http://www.snort.org/search/sid/5999

[VladSun]

snort-a следи за пакети съдържащ сигнатура: 0x17030100 - пакет който се връща от skype node / login server-a , след това този пакет се drop-ва и връзката на клиента към сървъра се прекъсва. Няма skype

Това:

Код

GeSHi (Bash):
iptables -A INPUT -p tcp -m string --hex-string "|16030100|" --algo bm -j DROP
iptables -A INPUT -p tcp -m string --hex-string "|17030100|" --algo bm -j DROP
iptables -A OUTPUT -p tcp -m string --hex-string "|16030100|" --algo bm -j DROP
iptables -A OUTPUT -p tcp -m string --hex-string "|17030100|" --algo bm -j DROP

би трябвало да прави същото, но няма ефект.

(нарочно съм задал проверка в двете посоки, защото от статията, която четох не става много ясно кой пакет за къде е)

[VladSun]

А за блокирането на skype в snort-a има SID:5999 и той върши тази работа с блокирането на skype трафика  - http://www.snort.org/search/sid/5999

Можеш ли да дадеш rule-a тук?

[gat3way]

Абе това не е ли малко лоша идея? В смисъл тези 4 байта може да се срещнат на теория примерно в някой RPM или DEB пакет с който си ъпдейтваш системата?

[progmetal]

Пак давам линк, но този път ми се струва полезен:

http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htm

[VladSun]

Код:

iptables -nxvL
Chain INPUT (policy ACCEPT 17888 packets, 7518000 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
      22     1766 SKYPE      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           STRING match "|17030100|" ALGO name bm TO 65535 
       0        0 SKYPE      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           STRING match "|16030100|" ALGO name bm TO 65535 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 19120 packets, 2863404 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
      14     2608 SKYPE      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           STRING match "|17030100|" ALGO name bm TO 65535 
      11      627 SKYPE      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           STRING match "|16030100|" ALGO name bm TO 65535 

Chain SKYPE (4 references)
    pkts      bytes target     prot opt in     out     source               destination         
      47     5001 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 

Нищо не става - логвам се Или този стринг минава в два пакета или просто не е това в протокола вече ...

@gat3way със сигурност е кофти начин за детектване на трафик Би могло да се гледа дали е в пърите пакети от тази TCP сесия ...

[VladSun]

Пак давам линк, но този път ми се струва полезен:

http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htm

може и да е полезен, но някак си не ми се инсталира цял снорт (с всичките му последици), ако само се наблюдава за TCP пакети с определена символна последователност.

[ntrance]

Пак давам линк, но този път ми се струва полезен:

http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htm

може и да е полезен, но някак си не ми се инсталира цял снорт (с всичките му последици), ако само се наблюдава за TCP пакети с определена символна последователност.

Айде успех ако се справиш кажи , аз съм доста скиптично настроен   към спирането но ако успееш кажи

[VladSun]

Пак давам линк, но този път ми се струва полезен:

http://www.carbonwind.net/Firewalls/BlockingSkypewithPfsenseandSnort/BlockingSkypewithPfsenseandSnort.htm

може и да е полезен, но някак си не ми се инсталира цял снорт (с всичките му последици), ако само се наблюдава за TCP пакети с определена символна последователност.

Айде успех ако се справиш кажи , аз съм доста скиптично настроен   към спирането но ако успееш кажи

Е, то и аз съм скептично настроен за снорт решението, ако то разчита само на откриването на тази байтова последователност в пакет ... Това исках да покажа.

[ntrance]

@offtopic
Най сигорния начин е  да се разберете да не се ползва скайп и това ако не спомогне , ходиш и му казваш или порното или скайпа пак и това ако не помогне   ходиш му режеп кабела :

[laskov]

Аз нали обичам да фантазирам ....
Не може ли да се забрани всичко и да се пуснат само желаните услуги и после като се оплаче някой да се подхожда индивидуално ?

[ntrance]

Аз нали обичам да фантазирам ....
Не може ли да се забрани всичко и да се пуснат само желаните услуги и после като се оплаче някой да се подхожда индивидуално ?

Да ти кажа за повечето неща става  , но найстина за скайп  и тем подони  незнам нямам на идея. Ако ставаше с иптаблес , защо да не се забрани DENY all   за свички и долу дно правилo ALLOW from  и така. За апаче за  базата данни  за интернета  за самбата и тем подобни може .