+ Responder ao Tópico



  1. #1
    joaopedropavan
    Visitante

    Padrão Liberar Skype

    Olá,

    Tenho um servidor com FreeBSD + Squid fazendo autenticação no Windows 2003, estou bloqueando o acesso de Internet para praticamente todos os usuários da rede, deixando só o acesso a sites especificos.
    Em algumas situações eu preciso liberar o skype, mas não estou conseguindo. Consegui liberar o MSN por autenticacao para alguns usuários (da forma como eu pretendia) mas o skype não tem jeito.
    Tentei listar os IP´s de onde o skype tenta se conectar, liberei no proxy mas mesmo assim não conecta.
    Nas regras firewall eu tb estou bloqueando tudo, deixando só passar requisiçoes tcp que é são de meu interesse.
    como faria para liberar o skype pelo squid? alguém já fez algo parecido?

    []´s
    JP

  2. #2

    Padrão Re: Liberar Skype

    cara...

    geralmente as pessoas encontram dificuldades pra bloquear o skype, mas vc está com problemas para liberá-lo.. heeheh

    o skype por padrão usa as portas 80 ou 443 automaticamente, por isso existe a dificuldade em bloqueá-lo, a não ser qdo tá tudo bloqueado para o usuário, inclusive as portas 80 e 443...

    e com relação aos IP's q o skype tenta se conectar vc não conseguirá fazer isso, pois ele tem servidores dinâmicos...

    o negócio seria vc configurar manualmente uma porta no skype e liberá-la no firewall...

    mas se o usuario.fdp mexer nas config's do skype e alterar a porta ou colocar como automatico o programa deixará de funcionar novamente..

    tente isso e depois poste os resultados..

    valew
    []'s



  3. #3
    etherlink
    Visitante

    Padrão Re: Liberar Skype

    vc esta usando pf ou ipfw para bloquear acesso ao skype poste sua regras de firewall para da uma olhada e de da uma ajuda.

  4. #4
    joaopedropavan
    Visitante

    Padrão Re: Liberar Skype

    Olá,
    Então, quando fui colocar o meu problema aqui no forum, já imaginei que o meu problema é a solução para a maioria dos usuários... heheh..
    O que eu fiz aqui, foi bloquear todas as requisições tcp que originadas da minha rede LAN, exceto os ips do meu servidor smtp e pop que estão fora da empresa. A porta 80 e 441 eu estou encaminhando para a porta 3128 que é utilizanda pelo squid.
    Nas minhas acl do squid eu liberei a Internet full para alguns usuários, para outros eu criei uma lista de sites que são relacionados a empresa e bloquiei todos os outros, em outra situação, os usuários só tem acesso aos sites relacionados a empresa e mais o msn através da autenticacao do usuário, que só permite autenticar e acessar a lista de IPs´s dos servidores MSN microsoft. e é nesse caso que eu preciso liberar o skype. Fiz o mesmo procedimento feito para liberar o MSN, mas não rolou... liberei os ips, mas sempre aparece outros ips.. :s. ACredito que seja por ser uma rede pear-to-pear.

    Ps.: Estou utilizando o IPFW no meu firewall.
    minhas regras principais:
    00046 fwd $LH,3128 ip from any to any dst-port 21 src-ip $RL
    ipfw add 00047 fwd $LH,3128 ip from any to any dst-port 80 src-ip $RL
    ipfw add 00048 fwd $LH,3128 ip from any to any dst-port 443 src-ip $RL
    ipfw add 00048 allow ip from any to any dst-port 3128 dst-ip $IPL src-ip $RL
    ipfw add 00049 deny ip from any to any dst-port 3128
    ipfw add 00050 divert 8668 ip from any to any via rl1
    ipfw add 5000 deny tcp from $RL to any
    ipfw add 5001 deny udp from $RL to any
    Aonde $RL = 192.168.2.0/24.

    []´s



  5. #5
    etherlink
    Visitante

    Padrão Re: Liberar Skype

    pelo que entendi sua regra
    ipfw add 00048 fwd $LH,3128 ip from any to any dst-port 443 src-ip $RL
    joga tudo da porta 443 para o proxy tira ela e faz um teste. que vai funcionar.



  6. #6
    joaopedropavan
    Visitante

    Padrão Re: Liberar Skype

    O problema disso q eu esteria liberando o skype para qualquer usuário. não é?



  7. #7

    Padrão Re: Liberar Skype

    cara..

    faz o q te falei..

    configura uma porta manualmente no skype e libera no firewall

    assim vc nao libera internet

  8. #8
    joaopedropavan
    Visitante

    Padrão Re: Liberar Skype

    cara, vc não me entendeu ou eu me espressei mau. Liberar o skype para tudo mundo eu faço sem problemas. O problema é que nem todos os usuários devem ter o acesso.
    Preciso fazer isso a nivel de usuário, nem mesmo ip ou mac pode ser, já que meus usuários tem o conhecimento de como mudar o end. mac da placa de rede.
    Já faço isso com o msn hj. Libero só para os usuários especificos...

    Mas já estou achando que não vai ser possivel com o skype por ele utilizar servidores dinamicos.

    []´s



  9. #9

    Padrão Re: Liberar Skype

    cara..

    vc disse q seus usuarios sabem como alterar o endereço MAC das placas??

    se vc especificar a porta do skype vc nao consegue fazer isso a nivel de usuario??

    no squid tem como especificar a porta tbm..

  10. #10

    Padrão Re: Liberar Skype

    Para os usuarios mudar o mac da maquina, eles devem levar uma placa de rede para o trabalho. hehehe
    Seu proxy é autenticado e no seu firewall você faz regras de proxy transparente ?
    No browser das estações configurou o proxy ou não ?



  11. #11
    joaopedropavan
    Visitante

    Padrão Re: Liberar Skype

    Luiz,
    Tanto no windows como no linux é possivel alterar o end. mac da placa de rede. O usuário só precisa ter acesso de administrador no pc.
    Uso proxy com autenticão no Windows 2003. O browser das estações estão todos configurados. Apliquei uma GPO em meu AD, assim não precisei correr maquina por maquina para adicionar o end. do proxy.
    Tanto que está funcionando perfeitamente. só preciso liberar o bendito skype para alguns usuários e deixar bloqueados em outros.

    Luciano,

    Sim, a empresa em que eu trabalho é uma software house. Tenho usuários bem avançados aqui... E tb não posso tirar o acesso administrativo das maquinas windows para os programadores e pessoal de suporte, então eles conseguem alterar... antes de eu controlar por usuário eu fazia por mac. mas não demorou mt para eles burlarem...

    Como eu controlo as portas no Squid? tem algum exemplo? Eu acho que se controlar as portas no squid, eu consigo controlar a nivel de usuário.

    []´s

  12. #12

    Padrão Re: Liberar Skype

    cara..

    vamos fazer um exemplo hipotético (palavra bunita né?)

    porta do skype: 2000 (configurada manualmente)

    agora no squid

    acl SKYPE port 2000

    http_access SKYPE allow
    agora vc une essa acl ao usuário q vc quer deixar usar o skype..

    isso deve resolver..

    valew



  13. #13

    Padrão Re: Liberar Skype

    cara..

    vc disse q eles sabem mudar o endereço MAC..

    mas se vc colocar uma regra de firewall com IP e MAC, se eles alterarem o MAC não vão conseguir navegar...

    a não ser q coloquei o IP e MAC de otra maquina, mas se fizer isso dará conflito...

    e o negócio de squid, vc testou??

  14. #14
    joaopedropavan
    Visitante

    Padrão Re: Liberar Skype

    Opa,
    Estive por fora da empresa por uma semana.
    Realmente, da para fazer essa amarração de ip e mac, o problema q eu teria q fazer isso nas 60 e poucas maquinas que tenho aqui, aí ficaria um pouco trabalhoso...
    Em relação a porta com o squid eu fiz alguns testes e não passou. Talvez eu tenha feito algo errado. Quero tentar rever as regras ainda essa semana.
    Assim que eu tiver uma resposta, eu anuncio aqui!
    Valeu!

    []´s