Bloqueando Skype
Dica publicada em Linux / Introdução
Bloqueando Skype
Vou descrever brevemente de como bloquear o Skype, não entrarei em detalhes sobre iptables ou proxy.
O skype vem de uma arquitetura muito bem elaborada onde ele atualiza dinamicamente seus servidores e tenta se conectar por diversas portas, por isso se torna difícil o bloqueio do mesmo.
O que proponho aqui nessa dica é utilizar uma arquitetura de rede interna com um firewall na ponta entre a WAN e a rede interna LAN.
Parte-se do princípio que se você não permitir a passagem de uma máquina específica, ou seja, FORWARD, ela não conseguirá conectar o skype. O que tenho visto muito por aí são firewalls com POLICE de ACCEPT ou configurações que permitem "furos" para o skype conectar.
Façamos o primeiro teste:
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
A partir desse momento essa determinada máquina não conseguirá atravessar o firewall por nenhuma porta, portanto faça um teste, feche o skype e tente conecta-lo novamente.
Caso essa máquina tenha que utilizar alguma conexão externa, como por exemplo um servidor smtp ou pop externo, aplique a regra acima e depois libere as portas necessárias:
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 110 -j ACCEPT (acessar servidor POP)
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 25 -j ACCEPT (acessar servidor SMTP)
Caso você precise implementar isso para toda a sua rede, reveja todas as suas regras de FORWARD, verifique se as POLICE estão como DROP ou uma implementação rápida que seria:
# iptables -I FORWARD -s "ip da minha rede EX: 192.168.1.0/24" -j DROP
# iptables -I FORWARD -s "ip da minha rede a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
ou
# iptables -I FORWARD -s "ip da minha máquina a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
O skype vem de uma arquitetura muito bem elaborada onde ele atualiza dinamicamente seus servidores e tenta se conectar por diversas portas, por isso se torna difícil o bloqueio do mesmo.
O que proponho aqui nessa dica é utilizar uma arquitetura de rede interna com um firewall na ponta entre a WAN e a rede interna LAN.
Parte-se do princípio que se você não permitir a passagem de uma máquina específica, ou seja, FORWARD, ela não conseguirá conectar o skype. O que tenho visto muito por aí são firewalls com POLICE de ACCEPT ou configurações que permitem "furos" para o skype conectar.
Façamos o primeiro teste:
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
A partir desse momento essa determinada máquina não conseguirá atravessar o firewall por nenhuma porta, portanto faça um teste, feche o skype e tente conecta-lo novamente.
Caso essa máquina tenha que utilizar alguma conexão externa, como por exemplo um servidor smtp ou pop externo, aplique a regra acima e depois libere as portas necessárias:
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 110 -j ACCEPT (acessar servidor POP)
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 25 -j ACCEPT (acessar servidor SMTP)
Caso você precise implementar isso para toda a sua rede, reveja todas as suas regras de FORWARD, verifique se as POLICE estão como DROP ou uma implementação rápida que seria:
# iptables -I FORWARD -s "ip da minha rede EX: 192.168.1.0/24" -j DROP
# iptables -I FORWARD -s "ip da minha rede a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
ou
# iptables -I FORWARD -s "ip da minha máquina a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
Considerações finais
- Libere sempre o extremamente necessário;
- Essa solução foi implementada numa rede onde utiliza-se proxy transparente, não testei sem proxy, mas tem uma chance de o skype utilizar a porta 80;
- Já vi casos em que somente estava liberado o repasse da porta 445, que é para https e o skype se conectava por ela, mas isso é uma particularidade de cada rede;
- Se necessário for, faça uma otimização das regras para cada usuário individualmente, como por exemplo liberando a máquina do "chefe" e bloqueando as outras;
- Se você utiliza política DROP, apenas reveja suas portas liberadas no FORWARD, pois é através de alguma delas que o skype está se conectando.
Outras dicas deste autor
IP em modo texto (modem router)
Leitura recomendada
Nikto - Instalação e utilização
Bloqueando 889.898 sites pornográficos no seu computador
Se o skype é dinânico para localizar portas, eu precisar liberar a 80 e 443, ele vai sair por elas.
Confere?
Abraço