Автор Тема: blocking skype via iptables ?  (Прочетена 4310 пъти)

sash

  • Напреднали
  • *****
  • Публикации: 112
    • Профил
blocking skype via iptables ?
« -: Feb 03, 2012, 18:16 »
привет на всички дистрото е ubuntu 10.4 мисля ,че беше не се сащам точно но е версията преди 11.10
както и да е накой може ли да ми каже как мога да блокирам skype евентуално и facebook чрез iptables
порових се из google и това което прочетох изглежда е доста трудно казваше се нещо за проверка на layer 7 пакети и преглеждането им за skype signature каквото и да значи не съм толкова навътре с iptables ...изглежда skype ползва random ип-та и портове а дори и да е блокнат по някакъвв начин ако на друга машина в същата мрежа с достъп до интернет има skype я ползва като gateway :P и остава "жив" Holy Crap!!!  :)   мрежата е  2 linux машини с рутер , който си е най обикновен рутер за 30тина лв...

за facebook опитах следното
Код:
iptables -N FACEBOOK
 
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK

iptables -A FACEBOOK -j REJECT

първоначално го килна но след тowa продължи да си работи нормално
Код:
ping facebook.com
PING facebook.com (69.171.224.11) 56(84) bytes of data.
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=1 ttl=243 time=191 ms
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=2 ttl=243 time=189 ms
64 bytes from www-10-01-prn1.facebook.com (69.171.224.11): icmp_seq=3 ttl=243 time=189 ms

Цитат
dig facebook.com

; <<>> DiG 9.7.0-P1 <<>> facebook.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58444
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 1

;; QUESTION SECTION:
;facebook.com.         IN   A

;; ANSWER SECTION:
facebook.com.      509   IN   A   66.220.149.11
facebook.com.      509   IN   A   69.171.224.11
facebook.com.      509   IN   A   69.171.229.11

;; AUTHORITY SECTION:
facebook.com.      138792   IN   NS   ns3.facebook.com.
facebook.com.      138792   IN   NS   ns4.facebook.com.
facebook.com.      138792   IN   NS   ns5.facebook.com.
facebook.com.      138792   IN   NS   ns1.facebook.com.
facebook.com.      138792   IN   NS   ns2.facebook.com.

;; ADDITIONAL SECTION:
ns4.facebook.com.   73   IN   A   69.63.186.49

;; Query time: 9 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Feb  3 18:47:06 2012
;; MSG SIZE  rcvd: 184

БЛА ГОДАРЯ предварително  [_]3
« Последна редакция: Feb 03, 2012, 18:47 от sash »
Активен

tyuio

  • Напреднали
  • *****
  • Публикации: 145
    • Профил
Re: blocking skype via iptables ?
« Отговор #1 -: Feb 03, 2012, 19:06 »
Ами за всички потребители ли трябва да се блокира или ти ще си го ползваш? За фейса най лесно е да праснеш блокаж на браузера да не влиза там!
Активен

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: blocking skype via iptables ?
« Отговор #2 -: Feb 03, 2012, 19:14 »
Код
GeSHi (Bash):
  1. FACEBOOK_ALLOW="192.168.1.12 192.168.1.14 192.168.1.111"
  2. iptables -N FACEBOOK
  3.  
  4. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
  5. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
  6. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
  7. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
  8. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
  9. iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK
  10.  
  11. ## FACEBOOK ALLOW
  12. for face in $FACEBOOK_ALLOW; do
  13.    iptables -A FACEBOOK -s $face -j ACCEPT
  14. done
  15. iptables -A FACEBOOK -j REJECT

http://kdn2.info/2010/11/block-facebook-com-with-iptables/

http://dornea.nu/articles/2011/04/02/block-facebook-iptables-openwrt
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

vox

  • Напреднали
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Re: blocking skype via iptables ?
« Отговор #3 -: Feb 03, 2012, 19:36 »
Здравейте,
и аз доста съм пробвал да блокирам skype и facebook с помощта на
iptables, но в повечето случаи се оказваше по-скоро неработещо.
За това и послушах идеите на знаещите хора и от тогава ползвам
squid и работи перфектно. Препоръчвам и на теб да го пробваш.
Ако наистина се насочиш към него, ще ти предоставя how to с което
при мен нещата вървят идеялно.
Активен

No Windows, no Gates only apache inside

victim70

  • Напреднали
  • *****
  • Публикации: 454
  • Distribution: Gentoo, Ubuntu
  • Window Manager: Kde Xfce
    • Профил
Re: blocking skype via iptables ?
« Отговор #4 -: Feb 03, 2012, 19:48 »
А как се справяш ако има 2-3ма дето трябва да ползват скайп а всички други да нямат в една обща вътрешна мрежа. Със скуид-а ако е без изключения минава само веба, при първото изключение тези скайпове се надушват и се релейват през потребителя с права за достъп.
Активен

"Господи, дай ми сила да променя нещата които немога да приема,
дай ми търпение да приема нещата които не мога да променя,
и ми дай мъдрост, да правя разликата между двете"

vox

  • Напреднали
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Re: blocking skype via iptables ?
« Отговор #5 -: Feb 03, 2012, 19:52 »
Това е вярно обаче, за потребители които ползва скайп и такива които имат забрана. Да прав си, че всъщност скайп не се спира така лесно, но поне за facebook действа поне за сега. Ами по-принцип потребителите в squid-а са разхвърляни в групи на достъп. Ако напълно иска да спре скайпа, то по-добре да не маскира мрежата си във firewall-а :) Но предполагам, че има решения които струват пари и спират скайп успешно.
Активен

No Windows, no Gates only apache inside

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: blocking skype via iptables ?
« Отговор #6 -: Feb 03, 2012, 20:21 »
Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....
Активен

0x2B|~0x2B

Ekspert

  • Напреднали
  • *****
  • Публикации: 801
  • Distribution: Debian Wheeze
  • Window Manager: Gnome 3
    • Профил
Re: blocking skype via iptables ?
« Отговор #7 -: Feb 03, 2012, 20:24 »
За фацебУкът:
su/do vim /etc/hosts
и добавяш фацебукът вътре и готово.
Активен

Извинението е като ЗАДНИКА. Всеки си го има.

and1soma

  • Напреднали
  • *****
  • Публикации: 138
  • Distribution: Debian based
  • Window Manager: GTK+ / Qt
    • Профил
    • WWW
Re: blocking skype via iptables ?
« Отговор #8 -: Feb 03, 2012, 21:05 »
@sash има една добавка за Firefox - BlockSite.
Чрез нейна помощ блокираш, който си искаш сайт и можеш да направиш така, че ако някой иска да влезе в настройките ѝ, да му иска парола.
След инсталацията отиваш в настройките на добавката и добавяш и премахваш сайтовете, които искаш.
Ето ти един tutorial, в който се показва как се работи с програмата.

П.П. Подобна добавка за Chrome - SiteBlock.
Активен

"Нищо не е по-далеч от истината."

sash

  • Напреднали
  • *****
  • Публикации: 112
    • Профил
Re: blocking skype via iptables ?
« Отговор #9 -: Feb 03, 2012, 21:54 »
до b2l опитах този вариант просто си намери друго ип изглежда имат предостатъчно :P

до vox eмм видях ,че със squid се се справили въпроса е ,че днес чувам за първи път за него lol
ма дай това howto ще се пробва ето и "решението"  ако може да е решение де :)))
защото има хора при ,който не работи
Код:
acl badsite dstdomain .facebook.com
http_reply_access deny badsite
http_access deny CONNECT badsite

относно маскирането на мрежата нещо не "стоплих" и си мисля ,че ще скапя не само skype и fb по този начин всъщност
идея нямам :) не ми се е налагало да правя нещо подобно до сега
 
видях ,че има няколко мнения как да се направят нещата през browser :) всъщност не ми се иска да мисля ,че от комплексни linux
решения с ,който винаги се намира начин опираме до "browser"  ,който всъщност всеки може да манипулира :)
 
и към всички :) Благодаря ви за отговорите до сега.

PS ако е възможно нека да се насочим към филтрирането на layer 7 пакети
и как по точно това би проработило за skype и fb по всичко личи ,че там е разковничето.
ето до къде са стигнали и колегите чуждоземци  ;D   http://www.linuxquestions.org/questions/linux-newbie-8/iptable-rules-to-block-https-www-facebook-com-919096/
« Последна редакция: Feb 03, 2012, 21:58 от sash »
Активен

victim70

  • Напреднали
  • *****
  • Публикации: 454
  • Distribution: Gentoo, Ubuntu
  • Window Manager: Kde Xfce
    • Профил
Re: blocking skype via iptables ?
« Отговор #10 -: Feb 04, 2012, 10:50 »
Хора, я ми обяснете (но от бизнес гледна точка) какви са тези идиотски правила: един във фирмата имал право да ползва скайп, останалите не можело. Никой ли няма акъл в главата си за да осъзнае че бизнес проблеми не се решават с технически средства? Същото важи и за човешки проблеми....
Много е просто. Биг бос идва и казва - "Отдела на принцесите само си бъбри по скайпа и виси във файсбука - това трябва да се спре че работата им стои". При което това си е пряка заповед от работодателя - правиш каквото можеш.
За фейса нямаше оплаквания че е глобално спрян, обаче отдела на маждрамуняците се нуждае от скайп за да прави конферентни разговори с доставчици.
Това добре - пускат се през отделен рутер и всичко за 1 ден е ОК.
Обаче се оказва че маждрамуняците използват и конферентни зали и други етажи и т.н.т. дето нямат инфраструктура за отделен рутер.
Пак няма проблеми свързаността им я правя през VPN и си мисля че като са отделни логически мрежи всичко е ОК.
На следващият ден биг бос квичи че принцеските пак имали скайп. Проверявам - вярно. Оказва се че има ли пуснат един скайп той релейва другите и стига да е в една физическа мрежа - няма отърване. Промъква се през какво ли не.
По гадното е че се затваря през шевски компютри и им претоварва мрежата. Домейн контролера също не ги спира, защото се лишават от вътрешна свързаност за да си имат скайп.
Та така нареждат ти обясняваш че неможе натискат те и изпълняваш.
Активен

"Господи, дай ми сила да променя нещата които немога да приема,
дай ми търпение да приема нещата които не мога да променя,
и ми дай мъдрост, да правя разликата между двете"

vox

  • Напреднали
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Re: blocking skype via iptables ?
« Отговор #11 -: Feb 04, 2012, 13:46 »
Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение.
Активен

No Windows, no Gates only apache inside

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: blocking skype via iptables ?
« Отговор #12 -: Feb 04, 2012, 13:51 »
Има и друг вариант с две мрежи една интернетска и една вътрешна. Тези които искат да имат скайп да са във интернетската мрежа, а всички останали във вътрешната мрежа. Да малко повече работа и пари вероятно, но пак е решение.

А тези от вътрешната няма да имат изобщо интернет ли?
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

vox

  • Напреднали
  • *****
  • Публикации: 147
  • Distribution: HP-UX, Solaris, AIX
  • Window Manager: console only
  • #!/bin/ksh
    • Профил
Re: blocking skype via iptables ?
« Отговор #13 -: Feb 04, 2012, 14:19 »
да
Активен

No Windows, no Gates only apache inside

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: blocking skype via iptables ?
« Отговор #14 -: Feb 04, 2012, 14:24 »
да

Доста неефективно, не мислиш ли?
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Проблем с Skype
Настройка на програми
Demon_A 2 4025 Последна публикация Mar 16, 2005, 00:48
от alabal
Skype
Настройка на програми
DeadAndDreaming 7 5987 Последна публикация Feb 26, 2005, 15:51
от BOT_ev
Skype
Настройка на програми
rinoceros 1 3760 Последна публикация Apr 17, 2005, 22:52
от BOT_ev
Skype
Настройка на програми
niko_lai 5 5286 Последна публикация May 01, 2005, 19:03
от
skype
Настройка на програми
knoppix 2 4109 Последна публикация May 30, 2005, 23:02
от knoppix