Solução pra bloqueo de skype ! + Ajuda para melhorar
Bom pessoal , semana passada um dos meus clientes pediu um controle de acesso ao skype via proxy .
Depois de diversas buscas na internet , percebi que o skype é um bixo chato ( inteligente ? ) demais .
Então que decidi fazer meus próprios testes . Configurei algumas máquina para que o skype passasse pelo proxy , e então percebi que para ser feito o login , ele acessa um determinado ip pela porta 443 ( o qual é uma lista própria no client que é atualizada a cada conexão ) então fiz a seguinte regra para bloqueio :
Código :
acl users_skype proxy_auth -i "/amb/local/squid/conf/users_skype.usr"
acl skype_regex url_regex ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:443$
http_access deny skype_regex !users_skype
explicando a regex , caso com todos IP:443 .
Então com isso consegui efetuar o bloqueio , note que a acl tem que ser url_regex , pois se colocarmos um src IP , ela vai checar em todos os IPS . como é uma ulr_regex , ele só vai olhar no NOME dos site , que no caso é um ip ( complexo XD )! :evil:
Queria ajuda de vocês para aperfeiçoar esta regra , pois tem a falha de poder bloquear sites que não deviam ser bloqueados . Eu sei que a regex dá para ser extendida , mas isso é o de menos .
Alguem ajuda ? :)
Abraços
Re: Solução pra bloqueo de skype ! + Ajuda para melhorar
cara...
isso seria bem interessante, conseguir fazer o bloqueio do skype pelo squid e sem prejudicar outras páginas..
mas até agora pelo que vi na net, não houve muito sucesso neste tipo de implementação...
tanto é q o pessoal usa o layer7 para bloquear o skype...
mas se sua regra funcionar será um grande avanço.. :)
valeu
Re: Solução pra bloqueo de skype ! + Ajuda para melhorar
precisa 'debugar' os pacotes iniciais da conexao do skype.. testar TODAs as meneiras que ele usa pra conectar...
eu estava estudando o protocolo do msn (decodificando o conteudo dos pacotes com o tcpdump) .. deu pra ver que com o modulo ipt_match da pra filtrar legal...
com o skype deve dar pra fazer o mesmo... ele deve repassar algum "header" no inicio da sessão (login)...