Skype Squid e ipfw (Riccardo Torrini)

Marco marco a leduke.biz
Mar 15 Nov 2005 14:55:52 CET


Riccardo Torrini Scrive: 

Ciao Riccardo 

> Il successo di skype e' dato dal fatto che e' pensato per "aggirare"
> proxy e firewall senza l'intervento degli admin  :(

Infatti me ne sono meramente accorto, skype=piaga 

L'ho installato sul mio client per fare delle prove, utilizza TUTTE le porte 
alte in modo random, vale a dire 1023-65535, e se non trova nessuna di 
queste porte utilizza la 80 o la 443 tunnellizzandosi (si dice cosi'?) 
attraverso il proxy. 

Alla fine l'unica cosa che sono riuscito a fare con dummynet di ipfw e' di 
ridurre la banda dell'utente per le porte 80,443,1023-65535 a 10kBit/s. 

E pensa, skype anche con una banda cosi' esigua riesce a stabilire il 
connect e mantenerlo!
:-( 

> Usa una connect:443, potresti filtrare al contrario: accettando
> la connect _solo_ per destinazioni note (tipo banche o altro) o
> da utenti fidati (per ip interno statico o col modulo di auth).

Solo gli utenti contabili accedono a remote banking, pero' anche molti altri 
utenti (come il capo) necessitano di entrare in siti di banking... 

Con un modulo di auth digest e' uguale, perche' l'ultimo client di skype, 
permette la memorizzazione degli utenti e pwd del proxy! :-( 

Ho trovato nelle FAQ di squid-cache un impostazione di ACL, ma ovviamente 
non funziona!
Non so che fare! Pensa che gli utenti di skype possono trasferire online la 
loro rubrica, lo spam e' tra noi. :-( 

> 
> Mi pare di aver notato che gli ip usati non hanno il reverse ma
> potrei sbagliare.  Devo controllare meglio. 
> 
> 
> PS: Non mi pare che funzioni con la 80 su uno squid di default
>     (che non ha la connect sulla 80, ma solo sulla 443 e 563).

Si, e' vero, ma sono comunque fregato.
Tu ti stai attivando per una soluzione? 



Maggiori informazioni sulla lista aiuto