1. http://www.xakep.ru/post/38543/
2. Административно с применением терморектальных воздействий к нарушителям
3. Если это Windows-сеть с доменом, то запретить запуск Skype через GPO.
Таким образом, чтобы заблокировать UDP-трафик, генерируемый Skype, достаточно добавить в брандмауэр следующее правило:
iptables -I FORWARD -p udp -m length --length 39 -m u32
--u32 '27&0 x8f=7' --u32 '31=0 x527c4833 ' -j DROP
К сожалению, блокировка UDP-трафика ничего не решает, поскольку Skype автоматом переходит на TCP, но тут есть одна небольшая зацепка. Заголовки входящих IP-пакетов, относящиеся к протоколу обмена SSL-ключами (SSL key-exchange packets), содержат нехарактерный для «нормальных» приложений идентификатор 170301h, возвращаемый в ответ на запрос с идентификатором 160301h (стандартный SSL версии 3.1). Таким образом, блокирование всех входящих пакетов, содержащих в заголовке 170301h, серьезно озадачит Skype, и текущие версии потеряют работоспособность. Вот только надолго ли…
Строго говоря, это бесперспективная и очень глупая затея. Зачем вам ограничивать пользователей? Создайте иную мотивацию для работы кроме как резать инет. Скайп (и вообще любой подобный протокол, подделывающийся под https) можно зарезать только отключением вообще всего шифрованного трафика. В противном случае пробрасывается туннель (OpenVPN, OpenSSH, Tor+bridges или что угодно) и трафик нужного приложения пускается через него. Этим способом очень удобно вращать админа (или администрацию учреждения) на половом органе - сам часто пользуюсь. Как говорят в таких случаях, среди говна (планктона) мы все поэты (всемогущие админы), среди админов мы - ...
Ей Богу! Над тем чтобы заблокировать Skype или другие мессенжеры работает в лучшем случае один замученный, сонный админочувак....)) А над тем как обойти админочувака, работают все разработчики всех мессенжеров, плюс еще и пользователи сети у админочувака... Исход битвы предрешён!
1.
1. http://www.xakep.ru/post/38543/
2. Административно с применением терморектальных воздействий к нарушителям
3. Если это Windows-сеть с доменом, то запретить запуск Skype через GPO.
спс. подсказали
спс.
подсказали что через сквид можно
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
буду пробовать
вот ещё Из этой
вот ещё
Из этой статьи: http://www.xakep.ru/post/38543/
Таким образом, чтобы заблокировать UDP-трафик, генерируемый Skype, достаточно добавить в брандмауэр следующее правило:
iptables -I FORWARD -p udp -m length --length 39 -m u32
--u32 '27&0 x8f=7' --u32 '31=0 x527c4833 ' -j DROP
К сожалению, блокировка UDP-трафика ничего не решает, поскольку Skype автоматом переходит на TCP, но тут есть одна небольшая зацепка. Заголовки входящих IP-пакетов, относящиеся к протоколу обмена SSL-ключами (SSL key-exchange packets), содержат нехарактерный для «нормальных» приложений идентификатор 170301h, возвращаемый в ответ на запрос с идентификатором 160301h (стандартный SSL версии 3.1). Таким образом, блокирование всех входящих пакетов, содержащих в заголовке 170301h, серьезно озадачит Skype, и текущие версии потеряют работоспособность. Вот только надолго ли…
Только как это сделать?
Строго говоря,
Строго говоря, это бесперспективная и очень глупая затея. Зачем вам ограничивать пользователей? Создайте иную мотивацию для работы кроме как резать инет. Скайп (и вообще любой подобный протокол, подделывающийся под https) можно зарезать только отключением вообще всего шифрованного трафика. В противном случае пробрасывается туннель (OpenVPN, OpenSSH, Tor+bridges или что угодно) и трафик нужного приложения пускается через него. Этим способом очень удобно вращать админа (или администрацию учреждения) на половом органе - сам часто пользуюсь. Как говорят в таких случаях, среди говна (планктона) мы все поэты (всемогущие админы), среди админов мы - ...
завернул на
завернул на прокси:
pf.conf
rdr on $int_if proto { tcp } from $int_lan to any port { www, https, domain } -> 127.0.0.1 port 3128
а сквидом заблокировал:
squid.conf
# skype
acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
# skype
http_access deny numeric_IPS
http_access deny Skype_UA
Цитата:
Цитата: завернул на прокси:
Вот куча способов завернуть админа, какой-нить... да сработает: http://gray-world.net/ru/links.shtml
Ей Богу! Над тем
Ей Богу! Над тем чтобы заблокировать Skype или другие мессенжеры работает в лучшем случае один замученный, сонный админочувак....)) А над тем как обойти админочувака, работают все разработчики всех мессенжеров, плюс еще и пользователи сети у админочувака... Исход битвы предрешён!
что плавно
что плавно подводит нас к мысли об избыточности должности администратора ;)
ну так я же
ну так я же увижу по трафику кто и что, а по туннелям или нет это уже его проблеммы
=)