Skype: Restringindo acesso não autorizado usando firewall Linux
Olá pessoal, nesse artigo pretendo mostrar uma forma simples e prática de bloquear o acesso ao Skype de todos os micros na rede e liberar somente computadores com acesso autorizado, evitando assim a utilização de todos para fins que não sejam de trabalho. Mãos a massa!
[ Hits: 28.044 ]
Por: Thiago Fernandes de Melo em 18/09/2008 | Blog: http://www.hospedarfacil.com.br
Testando o SS5 (socks server)
Agora que instalamos, vamos fazer os testes, bem básico porém funcional.
Primeiramente vamos executar o ss5:
# service ss5 start
Checar sua execução:
# lsof -i TCP:1080
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
ss5 14990 nobody 4u IPv4 2757241 TCP *:socks (LISTEN)
Ok, se você recebeu essa saída então estamos indo bem.
Agora vamos fazer um teste de conexão, instale o Skype em um dos micros da sua rede e tente conectar, obviamente não vai conectar pois seu firewall tem a política de negação geral e libera somente o que for de necessário acesso.
Agora configure o proxy no Skype indo em:
Ferramentas > Opções > Avançado > Conexão > Selecione proxy SOCKS
Preencha o ip do servidor no campo hosts e no campo porta preencha 1080, clique em salvar, feche o Skype e abra novamente, em seguida tente conectar, observe que a conexão vai estabilizar e será possível utilizar o Skype através do proxy.
Bom, então quer dizer que mesmo com a rede bloqueada para acesso externo, quem configurar o proxy simplesmente vai conseguir conectar? Não, nós vamos através de algumas regras de IPTABLES negar o acesso a porta do proxy tanto da rede externa como da rede interna, em seguida vamos liberar apenas os IPS que deverão conectar-se no Skype.
Regras:
# iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT
Essa regra bloqueará o acesso a porta do socks tanto da rede interna como da rede externa.
# iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT
Essa regra será responsável por liberar os ips que quisermos que acessem o Skype.
Ficaria assim:
Bom pessoal, então é isso, espero que esse artigo seja útil a alguém. Gostaria de agradecer pela oportunidade e pelas críticas e elogios dos outros artigos que certamente influenciam no meu crescimento pessoal e profissional.
Até a próxima. :)
Primeiramente vamos executar o ss5:
# service ss5 start
Checar sua execução:
# lsof -i TCP:1080
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
ss5 14990 nobody 4u IPv4 2757241 TCP *:socks (LISTEN)
Ok, se você recebeu essa saída então estamos indo bem.
Agora vamos fazer um teste de conexão, instale o Skype em um dos micros da sua rede e tente conectar, obviamente não vai conectar pois seu firewall tem a política de negação geral e libera somente o que for de necessário acesso.
Agora configure o proxy no Skype indo em:
Ferramentas > Opções > Avançado > Conexão > Selecione proxy SOCKS
Preencha o ip do servidor no campo hosts e no campo porta preencha 1080, clique em salvar, feche o Skype e abra novamente, em seguida tente conectar, observe que a conexão vai estabilizar e será possível utilizar o Skype através do proxy.
Bom, então quer dizer que mesmo com a rede bloqueada para acesso externo, quem configurar o proxy simplesmente vai conseguir conectar? Não, nós vamos através de algumas regras de IPTABLES negar o acesso a porta do proxy tanto da rede externa como da rede interna, em seguida vamos liberar apenas os IPS que deverão conectar-se no Skype.
Regras:
# iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT
Essa regra bloqueará o acesso a porta do socks tanto da rede interna como da rede externa.
# iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT
Essa regra será responsável por liberar os ips que quisermos que acessem o Skype.
Ficaria assim:
# Liberando Skype do joão
iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT
# Liberando Skype do mario
iptables -A INPUT -p TCP -s 192.168.0.35/32 --dport 1080 -j ACCEPT
# Bloqueando Skype dos demais computadores da rede
iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT
iptables -A INPUT -p TCP -s 192.168.0.34/32 --dport 1080 -j ACCEPT
# Liberando Skype do mario
iptables -A INPUT -p TCP -s 192.168.0.35/32 --dport 1080 -j ACCEPT
# Bloqueando Skype dos demais computadores da rede
iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 1080 -j REJECT
Alguns links
Bom pessoal, então é isso, espero que esse artigo seja útil a alguém. Gostaria de agradecer pela oportunidade e pelas críticas e elogios dos outros artigos que certamente influenciam no meu crescimento pessoal e profissional.
Até a próxima. :)
Páginas do artigo
1. Introdução2. Instalação e configuração do SS5 (socks server)
3. Testando o SS5 (socks server)
Outros artigos deste autor
SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA
Configurando Apache + MySQL + Manipulação de dados com PHP
Configurando Squid para liberação de messenger em horário específico, dentre outros
Leitura recomendada
Guia básico de como usar comandos no Linux
Deixando o Ubuntu (ou outra distro) parecido com o Mac OS X
Comentários
[1] Comentário enviado por agk em 19/09/2008 - 09:04h
Muitíssimo interessante, parabéns pelo artigo.
É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.
Muitíssimo interessante, parabéns pelo artigo.
É uma solução bastante consistente, apesar dos usuários poderem utilizar o proxy socks para algo mais além de se conectar ao skype.
[2] Comentário enviado por y2h4ck em 19/09/2008 - 10:03h
Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)
Então não acho que isso ai iria ajudar em mta coisa não.
[]s
Anderson
Não sei se vc sabe mas o skype comunica-se tambem via 443/TCP :)
Então não acho que isso ai iria ajudar em mta coisa não.
[]s
Anderson
[3] Comentário enviado por maran em 19/09/2008 - 10:04h
Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)
Abraços, irei fazer os teste e depois posto resultado aki :)
Grande Thiago, show de bola meu velho, aki usamos muito o Skype também :)
Abraços, irei fazer os teste e depois posto resultado aki :)
[4] Comentário enviado por m4tri_x em 19/09/2008 - 10:09h
Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)
Sendo assim a porta 443 estará Bloqueada também.
Fabio, valeu mano, :D
[]´s
Anderson, não sei se você chegou a ler o artigo inteiro, mais se você observar vai notar que eu enfatizei a importancia da politica do firewall ser de negação geral e liberação conforme necessidade.
:)
Sendo assim a porta 443 estará Bloqueada também.
Fabio, valeu mano, :D
[]´s
[5] Comentário enviado por y2h4ck em 19/09/2008 - 10:18h
Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs
:)
Dai é complexo ehehe
Mas bloquear 443/tcp é osso né ?? Ao inves de vc ajudar os usuarios a utilizarem recursos seguros :P vc vai estar impelindo eles a usarem sempre o recurso vulneravel rs rs rs
:)
Dai é complexo ehehe
[6] Comentário enviado por m4tri_x em 19/09/2008 - 10:23h
Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.
Maior segurança ainda ^^
Não amigão, tipo, qual é a utilidade de usar a 443 diretamente da estação se podemos utilizar um proxy squid para controlar a navegação? A politica do firewall vai aplicar-se apenas as estações não ao servidor. ^^
Poderão usar a 443 normalmente através do squid.
Maior segurança ainda ^^
[7] Comentário enviado por kalib em 19/09/2008 - 11:19h
Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..
[]
Show de bola cara..qnt tempo eim parceiro!?
O skype é uma ótima ferramenta...
Bom trabalho..
[]
[8] Comentário enviado por agk em 19/09/2008 - 11:53h
Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.
Que eu saiba se bloquear as portas UDP de entrada e saída o skype não vai funcionar, mesmo que a porta tcp/443 esteja liberada, sem udp nada feito.
[9] Comentário enviado por m4tri_x em 19/09/2008 - 13:21h
:D
Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...
Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.
[]´s
:D
Iae Marcelo, verdade hein, eu estou meio sumido por causa da faculdade, heheh ta me matando, ultimo semestre eh fogo...
Agk, acho que a informação era referente as portas alternativas do skype para conexões de entrada, 80 e 443.
[]´s
[11] Comentário enviado por grandmaster em 20/09/2008 - 16:02h
Vou testar para ver como rola
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
Vou testar para ver como rola
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
[12] Comentário enviado por Thiago Madella em 20/09/2008 - 19:23h
Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.
Bom mesmo o artigo, mas o lance do 443 vale analisar.
Mas muito bom o artigo.
[13] Comentário enviado por fasseabra em 23/09/2008 - 22:50h
Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP
Bom Tuto Amigo - Mas prefiro bloquear pelo Layer7 - ai Vai ;))
iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP
[14] Comentário enviado por m4tri_x em 24/09/2008 - 11:12h
Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D
[]´s
Olá Fábio, não conheço esse Layer7, mais vou dar uma olhada depois :D
[]´s
[15] Comentário enviado por ivancsantos em 11/05/2012 - 16:45h
Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:
Cenário:
- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.
Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.
Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!
Valeu a dica m4tri_x !
Sei que o tópico é antigo, mas achei interessante e vendo os comentários gostaria de complementar com um exemplo, ressaltando sua utilidade:
Cenário:
- Em uma empresa/escritório pequeno (com poucos usuários) há um servidor rodando iptables + squid para filtro de acessos;
- Devido à necessidade de uma estrutura simples (pois não há um IT Admin) a simplicidade de um proxy transparente foi melhor opção;
- Apenas alguns usuários deverão ter acesso à internet. Os outros terão acesso apenas aos sites liberados para acesso.
Sendo assim:
- As portas altas (1024:65535) assim como as portas http e https (80 e 443) estão com DROP por segurança. As requisições http passam pelo proxy, e as https estão liberadas somente para alguns usuários, para que ninguem desautorizado consiga se logar em serviços como Facebook, por exemplo.
Surge a necessidade de utilizar o skype em todos os micros, porém nestas circunstânceas o Skype não irá funcionar, pois precisa das portas altas (1024:65535) liberadas, ou como alternativa, não tão boa diga-se de passagem pois é preferível que tenha acesso à portas udp, as portas 80 e 443. Confesso que com minha urgência em resolver o problema, eu optei por liberar as portas altas, pois desconhecia dessa solução e reconfigurar o squid para proxy autenticado não seria uma solução viável (a essa altura já estava valendo tudo! rsrs porém eu realmente precisei de uma solução rápida). Mas na próxima oportunidade irei fazer isso!
Valeu a dica m4tri_x !
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
IA chega ao desktop e impulsiona produtividade no mundo Linux
Dicas
Atualizando o Fedora 42 para 43
Como saber se o seu e-mail já teve a senha vazada?
Como descobrir se a sua senha já foi vazada na internet?
Tópicos
E aí? O Warsaw já está funcionando no Debian 13? [RESOLVIDO] (13)
copiar library para diretorio /usr/share/..... su com Falha na a... (1)
Problema em SSD ao dar boot LinuxMint LMDE FAYE 64 (3)
Top 10 do mês
-
Xerxes
1° lugar - 114.858 pts -
Fábio Berbert de Paula
2° lugar - 87.432 pts -
Alberto Federman Neto.
3° lugar - 26.454 pts -
Mauricio Ferrari
4° lugar - 24.632 pts -
edps
5° lugar - 23.923 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 23.324 pts -
Buckminster
7° lugar - 22.066 pts -
Daniel Lara Souza
8° lugar - 20.376 pts -
Andre (pinduvoz)
9° lugar - 19.191 pts -
Diego Mendes Rodrigues
10° lugar - 16.422 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
