reklama

Blokace ICQ a Skype pomocí IPtables

Blokace ICQ a Skype pomocí IPtables
« kdy: 29. 11. 2011, 13:55:14 »
Ahoj, lze nějak účinně zablokovat ICQ případně Skype pomocí iptables či squidu? Koukám, že ICQ se dnes také připojuje skrze port 80. Dříve tuším stačilo zablokovat dport 5190.

Díky
« Poslední změna: 29. 11. 2011, 14:15:37 od Petr Krčmář »

reklama


Ondřej

Re:Blokace ICQ a Skype pomocí IPtables
« Odpověď #1 kdy: 29. 11. 2011, 15:21:58 »
pro ICQ:
# iptables -A FORWARD –dport 5190 -j DROP
# iptables -A FORWARD -d login.oscar.aol.com -j DROP //nutno zjistit, zda tento login server stale plati, kdyztak zmenit dle noveho

pro skype radeji uvedu odkaz: http://www.vitavonni.de/blog/201107/2011072601-restricting-skype-via-iptables.html

Re:Blokace ICQ a Skype pomocí IPtables
« Odpověď #2 kdy: 29. 11. 2011, 16:09:07 »
Co tak hledám různě po internetu, tak mám pocit, že zakázat právě tento port nestačí. Těch login serverů existuje také několik... :(

Re:Blokace ICQ a Skype pomocí IPtables
« Odpověď #3 kdy: 29. 11. 2011, 16:35:03 »
ICQ umí (nebo umělo, když jsem to naposled řešil ještě na střední škole - přesně z opačné strany než tady tazatel :D) použít i port 443 (https). Bylo by tedy nutné zablokovat všechny login domény, nicméně to stejně nezabrání použití webových klientů typu meebo.

Pokud není cílem mít naprosto osekanou síť (kde nakonec skončíte s velkým whitelistem), nemá takovéto omezování smysl, protože se stejně dá obejít. A moje zkušenosti jsou takové, že stačí jeden člověk, který to obejít dokáže, aby ty filtry (aspoň u široce populárních služeb) ztratily účinek - ten jeden člověk totiž ukáže ostatním jak na to.

Účinnější mi přijde zakázání těchto služeb v pracovním/školním řádu a logováním přístupů (jen z kterého PC to šlo, obsah packetu by už mohl být problematický z hlediska porušení soukromí) a následné disciplinární řízení.
Toto ale povede jen k tomu, že uživatelé začnou používat vlastní připojení k internetu (při současných cenách má skoro každý majitel smartphone aspoň něco s FUPem 100MB), což v praxi znamená, že nemáte VŮBEC ŽÁDNOU kontrolu nad tím, co uživatelé dělají - a to je něco, co přece nechcete!

Téma blokování se tu nedávno řešilo v jiném vlákně, tuším že šlo o problematiku "firemní emaily pro soukromé účely", nebo tak něco.

Každopádně ve většině případů nemá blokování smysl, protože ho uživatelé obejdou.

Možná by tedy stálo za to, kdyby tazatel uvedl důvod svého dotazu, protože by mohlo existovat i lepší řešení.

 

reklama