Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: a903user 29. 11. 2011, 13:55:14

Název: Blokace ICQ a Skype pomocí IPtables
Přispěvatel: a903user 29. 11. 2011, 13:55:14

Ahoj, lze nějak účinně zablokovat ICQ případně Skype pomocí iptables či squidu? Koukám, že ICQ se dnes také připojuje skrze port 80. Dříve tuším stačilo zablokovat dport 5190.

Díky

Název: Re:Blokace ICQ a Skype pomocí IPtables
Přispěvatel: Ondřej 29. 11. 2011, 15:21:58

pro ICQ:
# iptables -A FORWARD –dport 5190 -j DROP
# iptables -A FORWARD -d login.oscar.aol.com -j DROP //nutno zjistit, zda tento login server stale plati, kdyztak zmenit dle noveho

pro skype radeji uvedu odkaz: http://www.vitavonni.de/blog/201107/2011072601-restricting-skype-via-iptables.html

Název: Re:Blokace ICQ a Skype pomocí IPtables
Přispěvatel: a903user 29. 11. 2011, 16:09:07

Co tak hledám různě po internetu, tak mám pocit, že zakázat právě tento port nestačí. Těch login serverů existuje také několik... :(

Název: Re:Blokace ICQ a Skype pomocí IPtables
Přispěvatel: Zopper 29. 11. 2011, 16:35:03

ICQ umí (nebo umělo, když jsem to naposled řešil ještě na střední škole - přesně z opačné strany než tady tazatel :D) použít i port 443 (https). Bylo by tedy nutné zablokovat všechny login domény, nicméně to stejně nezabrání použití webových klientů typu meebo.

Pokud není cílem mít naprosto osekanou síť (kde nakonec skončíte s velkým whitelistem), nemá takovéto omezování smysl, protože se stejně dá obejít. A moje zkušenosti jsou takové, že stačí jeden člověk, který to obejít dokáže, aby ty filtry (aspoň u široce populárních služeb) ztratily účinek - ten jeden člověk totiž ukáže ostatním jak na to.

Účinnější mi přijde zakázání těchto služeb v pracovním/školním řádu a logováním přístupů (jen z kterého PC to šlo, obsah packetu by už mohl být problematický z hlediska porušení soukromí) a následné disciplinární řízení.
Toto ale povede jen k tomu, že uživatelé začnou používat vlastní připojení k internetu (při současných cenách má skoro každý majitel smartphone aspoň něco s FUPem 100MB), což v praxi znamená, že nemáte VŮBEC ŽÁDNOU kontrolu nad tím, co uživatelé dělají - a to je něco, co přece nechcete!

Téma blokování se tu nedávno řešilo v jiném vlákně, tuším že šlo o problematiku "firemní emaily pro soukromé účely", nebo tak něco.

Každopádně ve většině případů nemá blokování smysl, protože ho uživatelé obejdou.

Možná by tedy stálo za to, kdyby tazatel uvedl důvod svého dotazu, protože by mohlo existovat i lepší řešení.