Bloqueando Skype

Publicado por Nandor em 27/07/2006

[ Hits: 31.630 ]

Blog: http://www.solucoesnandor.com.br/

 


Bloqueando Skype



Vou descrever brevemente de como bloquear o Skype, não entrarei em detalhes sobre iptables ou proxy.

O skype vem de uma arquitetura muito bem elaborada onde ele atualiza dinamicamente seus servidores e tenta se conectar por diversas portas, por isso se torna difícil o bloqueio do mesmo.

O que proponho aqui nessa dica é utilizar uma arquitetura de rede interna com um firewall na ponta entre a WAN e a rede interna LAN.

Parte-se do princípio que se você não permitir a passagem de uma máquina específica, ou seja, FORWARD, ela não conseguirá conectar o skype. O que tenho visto muito por aí são firewalls com POLICE de ACCEPT ou configurações que permitem "furos" para o skype conectar.

Façamos o primeiro teste:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP

A partir desse momento essa determinada máquina não conseguirá atravessar o firewall por nenhuma porta, portanto faça um teste, feche o skype e tente conecta-lo novamente.

Caso essa máquina tenha que utilizar alguma conexão externa, como por exemplo um servidor smtp ou pop externo, aplique a regra acima e depois libere as portas necessárias:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 110 -j ACCEPT
(acessar servidor POP)
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 25 -j ACCEPT (acessar servidor SMTP)

Caso você precise implementar isso para toda a sua rede, reveja todas as suas regras de FORWARD, verifique se as POLICE estão como DROP ou uma implementação rápida que seria:

# iptables -I FORWARD -s "ip da minha rede EX: 192.168.1.0/24" -j DROP

# iptables -I FORWARD -s "ip da minha rede a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
ou
# iptables -I FORWARD -s "ip da minha máquina a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT

Considerações finais

  • Libere sempre o extremamente necessário;
  • Essa solução foi implementada numa rede onde utiliza-se proxy transparente, não testei sem proxy, mas tem uma chance de o skype utilizar a porta 80;
  • Já vi casos em que somente estava liberado o repasse da porta 445, que é para https e o skype se conectava por ela, mas isso é uma particularidade de cada rede;
  • Se necessário for, faça uma otimização das regras para cada usuário individualmente, como por exemplo liberando a máquina do "chefe" e bloqueando as outras;
  • Se você utiliza política DROP, apenas reveja suas portas liberadas no FORWARD, pois é através de alguma delas que o skype está se conectando.

Outras dicas deste autor

Criando sub-domínios no Bind

Comparação de comandos DOS X Linux

Cores no vi

Alterando o idioma das mensagens do Squid

IP em modo texto (modem router)

Leitura recomendada

Montando um Linux com até 21 monitores!

Faça um test drive do Linux!

Tunning Squid - Para alto tráfego

Vídeo aula - Executando o VirtualBox

Velocidade de navegação vs taxa de transferência

  

Comentários
[1] Comentário enviado por trgtecno em 28/03/2013 - 19:16h

Olá.
Se o skype é dinânico para localizar portas, eu precisar liberar a 80 e 443, ele vai sair por elas.
Confere?
Abraço



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts