Bloqueando Skype

Publicado por Nandor em 27/07/2006

[ Hits: 32.004 ]

Blog: http://www.solucoesnandor.com.br/

 


Bloqueando Skype



Vou descrever brevemente de como bloquear o Skype, não entrarei em detalhes sobre iptables ou proxy.

O skype vem de uma arquitetura muito bem elaborada onde ele atualiza dinamicamente seus servidores e tenta se conectar por diversas portas, por isso se torna difícil o bloqueio do mesmo.

O que proponho aqui nessa dica é utilizar uma arquitetura de rede interna com um firewall na ponta entre a WAN e a rede interna LAN.

Parte-se do princípio que se você não permitir a passagem de uma máquina específica, ou seja, FORWARD, ela não conseguirá conectar o skype. O que tenho visto muito por aí são firewalls com POLICE de ACCEPT ou configurações que permitem "furos" para o skype conectar.

Façamos o primeiro teste:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP

A partir desse momento essa determinada máquina não conseguirá atravessar o firewall por nenhuma porta, portanto faça um teste, feche o skype e tente conecta-lo novamente.

Caso essa máquina tenha que utilizar alguma conexão externa, como por exemplo um servidor smtp ou pop externo, aplique a regra acima e depois libere as portas necessárias:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 110 -j ACCEPT
(acessar servidor POP)
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 25 -j ACCEPT (acessar servidor SMTP)

Caso você precise implementar isso para toda a sua rede, reveja todas as suas regras de FORWARD, verifique se as POLICE estão como DROP ou uma implementação rápida que seria:

# iptables -I FORWARD -s "ip da minha rede EX: 192.168.1.0/24" -j DROP

# iptables -I FORWARD -s "ip da minha rede a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
ou
# iptables -I FORWARD -s "ip da minha máquina a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT

Considerações finais

  • Libere sempre o extremamente necessário;
  • Essa solução foi implementada numa rede onde utiliza-se proxy transparente, não testei sem proxy, mas tem uma chance de o skype utilizar a porta 80;
  • Já vi casos em que somente estava liberado o repasse da porta 445, que é para https e o skype se conectava por ela, mas isso é uma particularidade de cada rede;
  • Se necessário for, faça uma otimização das regras para cada usuário individualmente, como por exemplo liberando a máquina do "chefe" e bloqueando as outras;
  • Se você utiliza política DROP, apenas reveja suas portas liberadas no FORWARD, pois é através de alguma delas que o skype está se conectando.

Outras dicas deste autor

Comparação de comandos DOS X Linux

IP em modo texto (modem router)

Alterando o idioma das mensagens do Squid

Resolução em "modo texto"

Criando sub-domínios no Bind

Leitura recomendada

Conheça as 8 documentações mais importantes para se aprender GNU/Linux

Backports no Debian e atualizando kernel

Instalando plugin Java para Firefox no Debian

Conheça as novidades do Gnome 3.20

Precisando bular o proxy da empresa ou faculdade? Aprenda a instalar o TOR no CentOS

  

Comentários
[1] Comentário enviado por trgtecno em 28/03/2013 - 19:16h

Olá.
Se o skype é dinânico para localizar portas, eu precisar liberar a 80 e 443, ele vai sair por elas.
Confere?
Abraço



Contribuir com comentário