Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Запрет Skype

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Здравствуйте

Подскажите , как отключить Skype в Eserv 3.

Начальство просит его запретить, но пока только получается через групповые политики Виндавса.
Socks отключить не могу, нужен.
 
Комментарии к этой версии (21.05.2009 09:26) [~Evguenil] 148e33a4
АвторДатаТекстtags
ac22.05.2009 07:55
При работе скайпа через сокс какие порты он просит? (по логу socks)
imported
Evguenil22.05.2009 10:10
Здравствуйте.

11:05:55 91404
Socks connection from:: 192.168.35.195:49445, to 1080 11:05:55 91404 Command: VER5_UDP_ASSOC 0.0.0.0:62817, LoggedAs: admin 11:06:05 91440 Socks connection from: 192.168.35.195:49466, to 1080 11:06:05 91439 Socks connection from: 192.168.35.195:49465, to 1080 11:06:05 91441 Socks connection from: 192.168.35.195:49468, to 1080 11:06:05 91440 Command: VER5_CONNECT 89.215.189.196:8361, LoggedAs: admin 11:06:05 91442 Socks connection from: 192.168.35.195:49467, to 1080 11:06:05 91441 Command: VER5_CONNECT 82.44.63.89:13189, LoggedAs: admin 11:06:05 91439 Command: VER5_CONNECT 89.228.101.195:39145, LoggedAs: admin 11:06:05 91442 Command: VER5_CONNECT 92.24.42.227:48524, LoggedAs: admin 11:06:05 91440 Connected to 89.215.189.196:8361. My side 89.184.6.40:1459. 11:06:05 91442 Connected to 92.24.42.227:48524. My side 89.184.6.40:1462. 11:06:06 91442 Map socket return: 0 11:06:06 91442 Reply return: 0 11:06:22 86874 Map socket return: 0 11:06:22 86874 Reply return: 0 11:06:25 91439 Connect to 89.228.101.195(89.228.101.195):39145 failed, connect-method: SOCKS5-DIRECT-CONNECTION, Error: 10060 11:06:25 91441 Connect to 82.44.63.89(82.44.63.89):13189 failed, connect-method: SOCKS5-DIRECT-CONNECTION, Error: 10060 11:06:25 91439 Reply return: 3 11:06:26 91441 Reply return: 3

Мне кажется, что при следующем подключении могут быть и другие порты.
imported
Evguenil22.05.2009 10:15
И ещё вот это часто появляется в логе Eproxy/3.
Похоже это тоже скайп только через HTTPS/HTTP

.........
Datagramm incomming, SOCKS5_UDP_HDR 190.213.68.167:11046
Datagramm incomming, SOCKS5_UDP_HDR 82.212.150.4:38563
Datagramm incomming, SOCKS5_UDP_HDR 82.212.150.4:38563
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 70.67.126.207:49030
Datagramm incomming, SOCKS5_UDP_HDR 70.67.126.207:49030
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 98.167.192.100:15582
Datagramm incomming, SOCKS5_UDP_HDR 98.167.192.100:15582
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 24.212.52.39:42484
Datagramm incomming, SOCKS5_UDP_HDR 87.11.46.199:61282
Datagramm incomming, SOCKS5_UDP_HDR 87.11.46.199:61282
Datagramm incomming, SOCKS5_UDP_HDR 24.212.52.39:42484
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 99.226.137.49:7430
Datagramm incomming, SOCKS5_UDP_HDR 99.226.137.49:7430
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 190.213.68.167:11046
Datagramm incomming, SOCKS5_UDP_HDR 190.213.68.167:11046
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
Datagramm incomming, SOCKS5_UDP_HDR 92.255.216.81:28976
.........
imported
ac22.05.2009 16:04
UDP во втором логе — это видимо сам разговор.

С детектом скайпового трафика оказывается мировые проблемы (особенно у китайцев , т.к. это p2p-сеть, с переменными портами. Причем авторы хвалятся, что это специально, и что засечь и заблокировать его нельзя.

Тем не менее система логинов централизована (владельцы хотят контролировать сеть) — и это их слабое место, как в ICQ — логинится клиент на заданный список серверов, и вот их и надо блокировать.

В ACL-plugin'е в Eproxy в черный список хостов добавьте такие: dir*.sd.skype.net, http*.sd.skype.net.
В Eproxy\conf\socks\OnRequest.rules.txt первой строкой добавьте
TARGET-PORT 9010 = | StopProtocol \EOF


В вашем логе видны только собственно звонки, а сессий проверки логинов нет. Соединенного клиента можно заблокировать разве что по IP локального клиента (т.е. фактически запретить ему Socks) — в том же файле добавить еще строчку в начале:
PeerIP= 192.168.35.195 | StopProtocol \EOF

(IP для примера взял из вашего лога)
imported
ac22.05.2009 21:34
логинится клиент на заданный список серверов, и вот их и надо блокировать.

Почитал, освежил в памяти детали. Да, не все так просто. Скайп может авторизоваться, прогоняя трафик через других скайп-клиентов, работающих в supernode-режиме (грубо говоря, это БОТНЕТ, в который без ведома пользователей включаются те машины со скайпом, у которых реальный IP и достаточной ширины канал). Т.е. если скайпы у ваших пользователей "опытные", то у них есть адреса супернодов, через которые можно работать, если логин-серверы недоступны напрямую...

В общем, со скайпом надо бороться как с любым другим вирусом, создающим ботнет, т.к. он заточен на выживание в любой сетевой конфигурации любой ценой, включая незаконные — использование ресурсов чужих (ничего не подозревающих до получения счета за трафик!) скайп-машин. Супернодов в этом ботнете десятки тысяч, если уже не сотни, т.е. простыми черными списками не обойтись, нужно что-то типа RBL, какие применяются для борьбы со спамом (любопытно, что другие антиспамерские методы — в частности мой любимый байес — тоже используются для борьбы со скайпом!)

Если ваша ЛС полностью вам подконтрольна, то надо просто объявить скайп вне закона (тем более что "начальство просит его запретить") и бить по рукам административными методами. Если софт на пользовательских машинах контролировать невозможно, и если описанные выше добавки в *rules.txt не помогают — пишите, добавим для скайпа другие средства удушения.
imported
Работает на Eserv/5.05555 (05.06.2016)