|
Титла: blocking skype via iptables ? Публикувано от: sash в Feb 03, 2012, 18:16 привет на всички дистрото е ubuntu 10.4 мисля ,че беше не се сащам точно но е версията преди 11.10
както и да е накой може ли да ми каже как мога да блокирам skype евентуално и facebook чрез iptables порових се из google и това което прочетох изглежда е доста трудно казваше се нещо за проверка на layer 7 пакети и преглеждането им за skype signature каквото и да значи не съм толкова навътре с iptables ...изглежда skype ползва random ип-та и портове а дори и да е блокнат по някакъвв начин ако на друга машина в същата мрежа с достъп до интернет има skype я ползва като gateway :P и остава "жив" Holy Crap!!! :) мрежата е 2 linux машини с рутер , който си е най обикновен рутер за 30тина лв... за facebook опитах следното Код: iptables -N FACEBOOK първоначално го килна но след тowa продължи да си работи нормално Код: ping facebook.com Цитат dig facebook.com БЛА ГОДАРЯ предварително [_]3 Титла: Re: blocking skype via iptables ? Публикувано от: tyuio в Feb 03, 2012, 19:06 Ами за всички потребители ли трябва да се блокира или ти ще си го ползваш? За фейса най лесно е да праснеш блокаж на браузера да не влиза там!
Титла: Re: blocking skype via iptables ? Публикувано от: b2l в Feb 03, 2012, 19:14 Код
http://kdn2.info/2010/11/block-facebook-com-with-iptables/ http://dornea.nu/articles/2011/04/02/block-facebook-iptables-openwrt Титла: Re: blocking skype via iptables ? Публикувано от: vox в Feb 03, 2012, 19:36 Здравейте,
и аз доста съм пробвал да блокирам skype и facebook с помощта на iptables, но в повечето случаи се оказваше по-скоро неработещо. За това и послушах идеите на знаещите хора и от тогава ползвам squid и работи перфектно. Препоръчвам и на теб да го пробваш. Ако наистина се насочиш към него, ще ти предоставя how to с което при мен нещата вървят идеялно. Титла: Re: blocking skype via iptables ? Публикувано от: victim70 в Feb 03, 2012, 19:48 А как се справяш ако има 2-3ма дето трябва да ползват скайп а всички други да нямат в една обща вътрешна мрежа. Със скуид-а ако е без изключения минава само веба, при първото изключение тези скайпове се надушват и се релейват през потребителя с права за достъп.
Титла: Re: blocking skype via iptables ? Публикувано от: vox в Feb 03, 2012, 19:52 Това е вярно обаче, за потребители които ползва скайп и такива които имат забрана. Да прав си, че всъщност скайп не се спира така лесно, но поне за facebook действа поне за сега. Ами по-принцип потребителите в squid-а са разхвърляни в групи на достъп. Ако напълно иска да спре скайпа, то по-добре да не маскира мрежата си във firewall-а :) Но предполагам, че има решения които струват пари и спират скайп успешно.
Титла: Re: blocking skype via iptables ? Публикувано от: romeo_ninov в Feb 03, 2012, 20:21 Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....
Титла: Re: blocking skype via iptables ? Публикувано от: Ekspert в Feb 03, 2012, 20:24 За фацебУкът:
su/do vim /etc/hosts и добавяш фацебукът вътре и готово. Титла: Re: blocking skype via iptables ? Публикувано от: and1soma в Feb 03, 2012, 21:05 @sash има една добавка за Firefox - BlockSite ($2).
Чрез нейна помощ блокираш, който си искаш сайт и можеш да направиш така, че ако някой иска да влезе в настройките ѝ, да му иска парола. След инсталацията отиваш в настройките на добавката и добавяш и премахваш сайтовете, които искаш. Ето ти ($2) един tutorial, в който се показва как се работи с програмата. П.П. Подобна добавка за Chrome - SiteBlock ($2). Титла: Re: blocking skype via iptables ? Публикувано от: sash в Feb 03, 2012, 21:54 до b2l опитах този вариант просто си намери друго ип изглежда имат предостатъчно :P до vox eмм видях ,че със squid се се справили въпроса е ,че днес чувам за първи път за него lol ма дай това howto ще се пробва ето и "решението" ако може да е решение де :))) защото има хора при ,който не работи Код: acl badsite dstdomain .facebook.com относно маскирането на мрежата нещо не "стоплих" и си мисля ,че ще скапя не само skype и fb по този начин всъщност идея нямам :) не ми се е налагало да правя нещо подобно до сега видях ,че има няколко мнения как да се направят нещата през browser :) всъщност не ми се иска да мисля ,че от комплексни linux решения с ,който винаги се намира начин опираме до "browser" ,който всъщност всеки може да манипулира :) и към всички :) Благодаря ви за отговорите до сега. PS ако е възможно нека да се насочим към филтрирането на layer 7 пакети и как по точно това би проработило за skype и fb по всичко личи ,че там е разковничето. ето до къде са стигнали и колегите чуждоземци ;D http://www.linuxquestions.org/questions/linux-newbie-8/iptable-rules-to-block-https-www-facebook-com-919096/ Титла: Re: blocking skype via iptables ? Публикувано от: victim70 в Feb 04, 2012, 10:50 Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....Много е просто. Биг бос идва и казва - "Отдела на принцесите само си бъбри по скайпа и виси във файсбука - това трябва да се спре че работата им стои". При което това си е пряка заповед от работодателя - правиш каквото можеш. За фейса нямаше оплаквания че е глобално спрян, обаче отдела на маждрамуняците се нуждае от скайп за да прави конферентни разговори с доставчици. Това добре - пускат се през отделен рутер и всичко за 1 ден е ОК. Обаче се оказва че маждрамуняците използват и конферентни зали и други етажи и т.н.т. дето нямат инфраструктура за отделен рутер. Пак няма проблеми свързаността им я правя през VPN и си мисля че като са отделни логически мрежи всичко е ОК. На следващият ден биг бос квичи че принцеските пак имали скайп. Проверявам - вярно. Оказва се че има ли пуснат един скайп той релейва другите и стига да е в една физическа мрежа - няма отърване. Промъква се през какво ли не. По гадното е че се затваря през шевски компютри и им претоварва мрежата. Домейн контролера също не ги спира, защото се лишават от вътрешна свързаност за да си имат скайп. Та така нареждат ти обясняваш че неможе натискат те и изпълняваш. Титла: Re: blocking skype via iptables ? Публикувано от: vox в Feb 04, 2012, 13:46 Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение.
Титла: Re: blocking skype via iptables ? Публикувано от: b2l в Feb 04, 2012, 13:51 Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение. А тези от вътрешната няма да имат изобщо интернет ли? Титла: Re: blocking skype via iptables ? Публикувано от: vox в Feb 04, 2012, 14:19 да
Титла: Re: blocking skype via iptables ? Публикувано от: b2l в Feb 04, 2012, 14:24 Титла: Re: blocking skype via iptables ? Публикувано от: vox в Feb 04, 2012, 14:31 Много може да се спори по тази тема, но на мен лично не ми се иска да задълбавам повече. Има много фактори които оказват влияние на това фирмата каква IT политика ще предпочете. Зависи и в каква насока работи фирмата. Но това не е мой проблем не мислиш ли ?
Титла: Re: blocking skype via iptables ? Публикувано от: b2l в Feb 04, 2012, 14:36 Много може да се спори по тази тема, но на мен лично не ми се иска да задълбавам повече. Има много фактори които оказват влияние на това фирмата каква IT политика ще предпочете. Зависи и в каква насока работи фирмата. Но това не е мой проблем не мислиш ли ? И аз съм на мнение, че няма да споря с теб, но предложението което направи ме учудва и ми се струва много неефективно. Но както и да е :). Титла: Re: blocking skype via iptables ? Публикувано от: sash в Feb 04, 2012, 20:09 благодаря на всички за отговорите :) мисля ,че някаква програмка няма как да е по умна от всички нас skype ще и намеря цаката все някой се е справил.
Поздрави. [_]3 Титла: Re: blocking skype via iptables ? Публикувано от: romeo_ninov в Feb 04, 2012, 21:43 Щом шефовете не искат скайп да въведат административни мерки, а не да държат куклите за еба.е. Или си инсталирайте един Астериск и го ползвайте него за конферентни разговори, така е в белия святХора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....Много е просто. Биг бос идва и казва - "Отдела на принцесите само си бъбри по скайпа и виси във файсбука - това трябва да се спре че работата им стои". При което това си е пряка заповед от работодателя - правиш каквото можеш. Титла: Re: blocking skype via iptables ? Публикувано от: laskov в Feb 04, 2012, 22:01 Ако можеш да спреш скайп за някои компютри с iptables правила на рутера, значи можеш да копираш тези правила върху всяка от машините, които не трябва да имат скайп. Дано да не са много :)
Впрочем, ако потребителите нямат администраторски права, както би трябвало да бъде, след като им го деинсталираш, как ще го ползват? Титла: Re: blocking skype via iptables ? Публикувано от: b2l в Feb 04, 2012, 22:06 Впрочем, ако потребителите нямат администраторски права, както би трябвало да бъде, след като им го деинсталираш, как ще го ползват? Portable, run from USB... Титла: Re: blocking skype via iptables ? Публикувано от: victim70 в Feb 04, 2012, 22:50 Даа почти - записано при документите + излизане от домейн контролера. Иначе не ги допуска да правят магарии. Много такива методи са описани за прецакване на домейн контролери и заобикаляне на админските права. В случая не е необходимо да ги заобикалят, понеже работят като админи, заради една глупава апликация която неможе иначе да диша писана от италянци и дори цели менюта не са преведени.Впрочем, ако потребителите нямат администраторски права, както би трябвало да бъде, след като им го деинсталираш, как ще го ползват? @romeo Административни мерки за такова нещо трудно се налагат. Преди 2 години загубихме едно дело за уволнение поради несправяне с сл. задължения. А със скайп работи само френската логистика - всички други са на по-сериозни услуги, дори и китайците. Неможе да промениш света. И това си е услуга която се плаща и смятам че е по скъпо от другите видове конферентна връзка, но подържа избиране на много мобилни номера в конферентна връзка, локално за фр. Титла: Re: blocking skype via iptables ? Публикувано от: romeo_ninov в Feb 05, 2012, 07:48 ....Точно с Франция сме си правили конферентни връзки с обикновени телефони и не сме имали никакъв проблем. За съжаление никога не съм се занимавал директно с тази работа и не мога да спомена имена на доставчици. Относно административните мерки - големите компании се справят, залагат го в правилата за работа, с които трябва да се съгласиш и подпишеш при постъпване. Просто трябва да се обмисли добре от правна гледна точка и не мисля че ще имате проблеми А как да хванете кой си пуска скайп - предлагам да наблюдавате DNS трафика сутрин :) Титла: Re: blocking skype via iptables ? Публикувано от: Acho в Feb 05, 2012, 09:31 То хубу DNS-а, ама то май SKYPE не търси сървърите им по име (че да се ресолва), ами по IP направо. Такъе спомен имам аз, но може и да греша. Човешко е.
Титла: Re: blocking skype via iptables ? Публикувано от: romeo_ninov в Feb 05, 2012, 12:20 То хубу DNS-а, ама то май SKYPE не търси сървърите им по име (че да се ресолва), ами по IP направо. Такъе спомен имам аз, но може и да греша. Човешко е.Хм, не е съвсем прецизно, защото има моменти, когато прави и резолв. Но кога, защо и т.н. оставям за домашно :) |