How To Blocking Skype With Squid

Marco marco a leduke.biz
Mer 23 Nov 2005 17:34:48 CET


Ciao a tutti.
Mi sono assentato per alcuni giorni dalle mie "tastiere" e non ho potuto 
rispondere ai vari msg relativi al problema Skype e Squid.
Thread del resto a sua volta aperto da me. 

Apro un altro thread CDO perche' credo che occorre il vostro prezioso aiuto 
a tutti quelli che come me hanno questa necessita', presumibilmente io sarei 
il meno indicato a farlo. 

Riepilogando, grazie a Calasso che ha trovato su un altra mail-list un 
esempio su come bloccare accessi overIP sulla porta :443 "catturando" gli IP 
e successivamente negandoli, si e' riusciti in parte a bloccare la 
tunnellizzazione di skype attraverso il proxy squid. 

Ci sono 2 aspetti che non comprendo:
1) perche' nel "http_access deny" funziona solamente anteponendo il punto 
esclamativo all'ACL?
2) perche' riesce a bloccare TUTTI gli accessi overIP:443 ma 
inspiegabilmente anche altri accessi domain:443 della banche? 

A questo punto, forse sarebbe meglio postare per INTERO la mia 
configurazione di Squid, non per passare la patata bollente a voi, ma per 
confrontarci e magari trovare una soluzione insieme, ebbene con MSN ci si e' 
riusciti, credo che con un po' di aiuto forse se ne viene a capo.
(non voglio tornare indietro a software602). 

Spero di non essere stato prolisso e fastidioso.
O_O
Grazie a tutti in anticipo.
Marco 


 -- la configurazione postata qui sotto, nega l'accesso a skype, consente 
l'accesso a poche banche e lo nega a molte altre -- 

### start squid.conf ### 

http_port 192.168.1.1:3128 

cache_dir null /tmp
cache_access_log /usr/local/squid/logs/access.log
cache_log        none
cache_store_log  none 

error_directory /usr/local/etc/squid/errors/Italian/ 

ftp_user squid a tech.net
ftp_passive on
visible_hostname fw.tech.net 

# ACL DEFINE 

acl QUERY urlpath_regex cgi-bin \?
acl msnregex url_regex -i gateway\.dll
acl worktime time SMTWHFA 08:00-19:30 

### tests NOT optimized ### 

acl skypeIP urlpath_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ 

### ----- end tests --- ### 

no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http 

acl msndomains dstdomain webmessenger.msn.com messenger.hotmail.com
acl msndomains dstdomain messenger.net msn2go.com msnger.com iloveim.com
acl msndomains dstdomain piglet-im.com wbmsn.com aimexpress.aol.com 
meebo.com
acl msndomains dstdomain toc.oscar.aol.com webaim.net go.icq.com
acl msndomains dstdomain login.passport.com 

acl msnmime req_mime_type -i ^application/x-msn-messenger$ 

acl multimedia req_mime_type -i ^video/x-msvideo$
acl CONNECT method CONNECT 

acl good_users src "/usr/local/etc/squid/good_users.txt"
acl middle_users src "/usr/local/etc/squid/middle_users.txt"
acl bank_users src "/usr/local/etc/squid/bank_users.txt"
acl bad_users src "/usr/local/etc/squid/bad_users.txt" 

acl middle_url  url_regex -i "/usr/local/etc/squid/middle_url.txt"
acl bank_url    url_regex -i "/usr/local/etc/squid/bank_url.txt"
acl bad_url     url_regex -i "/usr/local/etc/squid/bad_url.txt" 

# ALLOW AND PERMIT 

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports 

http_access deny msnmime
http_access deny multimedia
http_access deny msndomains
http_access deny msnregex 

## apply tests NOT optimized ## 

http_access deny connect !skypeIP all 

## ----- end tests --------- ## 

http_access allow good_users !bad_url worktime
http_access allow bank_users !bad_url bank_url
http_access allow middle_users !bad_url middle_url 

http_access deny bad_url
http_access deny bad_users
http_access deny all 

## end squid.config ##


Maggiori informazioni sulla lista aiuto