Hola foreros

POr encargo del jefe tnego que bloquearme el software skype, debido a que estahaciendo un uso chatero, y no llamadas , pero en fin .


investigango en google encontre bloquarlo por el puerto 443. y en un principio no me queje si permitia el bloqueo no deja hacer la conexion
pero me di con la sorpresa que el puerto 443 . es para HTTPS . cosa que no permite acceder a paginas de bancos.

Alguien sabe que puertos controlar, ademas quisiera preguntarles si todo los ips que se asesocien en los iptables se puede poner en un grupo para solo invocarlos en una variable para el script.


#iptables -A lan-inet -p tcp -s 192.168.14.34 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.77 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.38 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.35 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.76 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.43 --dport 443 -j DROP
#iptables -A lan-inet -p tcp -s 192.168.14.45 --dport 443 -j DROP

Saludos y gracias

solo por decirte algo cumpa

y si le cambias el peto al skype y luego lo bloqueas?¿?
ya te dije es solo por decirte algo.
salute

cumpita .. no entendi muy bien

lo que digo es que si no puedes bloquear el puerto de skype por que esta compartido con el https tal vas puedas cambiar el puerto por el que sale el skype y asi luego bloquearlo

pero es lo 1º que se me ocurrio ni siquiera uso skype no se si se puede cambiar el puerto pero en fin ...

Esto es viejo (2005), pero probablemente funcione todavía bien.

http://lists.grok.org.uk/pipermail/full ... 38646.html

Está en Inglés, y no se como será el tuyo, pero algo es algo

alguien que es layer7, (capa7) y como saber si el kernell de mi distro tiene actualizado, con esas caracteristicas
como lo puedo comprobar.

Estuve Probando en mi equipo blokeando los puertos que asocias el skype pero son muchos


###ELIMINAR SKYPE CONTABILIDAD
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2099 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2108 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2179 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2199 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2200 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2203 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2204 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2260 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2262 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2263 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2456 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2458 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 61829 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2567 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2568 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2576 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2577 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2586 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2590 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2591 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2597 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2720 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2721 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2684 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2686 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2689 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2690 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2692 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2693 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2694 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2701 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2704 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2715 -j DROP
iptables -A lan-inet -p tcp -s 192.168.19.10 --dport 2718 -j DROP




Gracias pendulo y kumpita seguire en la buskeda

como las estoy sacando pues pruebo en mi equipo win con netstat -bn y veo por donde se quiere conectar.

Y cuando bloquees esos puertos, skype saldrá por otros.

La característica más elogiada de skype, desde el principio, fue su capacidad para pasar a través de firewalls. Cuando skype salió al mercado, ni el messenger de microsoft, ni netmeeting, podían comportarse decentemente en videoconferencia si no tenías salida directa a internet.

La única posibilidad obvia que tienes, es la que te pasaron más arriba: instalar un proxy -squid es el más recomendable-, pasar todo el tráfico por él y bloquear mediante las ACL de squid.

O puedes seguir bloqueando puertos, uno por uno. Finalmente, verás que es más sencillo desconectar la placa de red.

En cuanto a layer7, es un parche para el kernel, destinado a diferenciar e individualizar tráfico. Así, podrías bloquear la salida según el nombre de la aplicación.

No conozco ninguna distro que lo traiga incorporado, porque todavía está en etapa experimental. Si te atreves a probarlo en producción, deberías bajar el parche, recompilar el kernel con soporte para layer7, y luego aplicar una regla similar a esta:

iptables -A INPUT -m layer7 --l7proto skypeout –j DROP

En el primer caso, squid no tiene soporte para videoconferencia, por lo cual skype intentará conectarse, pero no podrá establecer conexión.

En el segundo caso, el bloqueo es más eficiente, si es que te funciona.

Por último, antes de que sigas bloqueando puertos: cuando no hay ningún puerto disponible en la red, skype intenta salir por el puerto 80. Lo dicho: es más fácil desconectar el cable.