Dotaz: Firewall + Skype restrikce všeho, kromě skype

Zdravim potřeboval bych poradit jak nastavit firewall aby mi na jednom počítači v podsíti nefungovalo nic z internetu kromě SKYPE.

když sem sledoval jak SKYPE funguje tak on komunikuje s docela velikym množstvým serverů.. nejlepší by bylo kdybych mohl povolit komunikaci jenom na jeden server.. ale nevim na kterej.... pomocí příkazu

iptables -t filter -I FORWARD -i eth1 -s 192.168.0.2 -j REJECT

zakážu veškerou komunikaci a pomocí

iptables -t filter -I FORWARD -i eth1 -s 192.168.0.2 -d 64.12.161.153 -j ACCEPT
iptables -t filter -I FORWARD -i eth1 -s 192.168.0.2 -d 64.12.24.76 -j ACCEPT

Povolim jenom komunikaci na požedované servery (V tomhle případě to takto funguje pro ICQ kde je ale nutno mít v ICQ přeplý connection s firewallem bez proxy)

ale SKYPE funguje jinak...

Napadlo mě že by se zakázala veškerá komunikace na všech portech pro jednu vnitřní adresu a pak povolila komunikace na portech potřebných pro skype... ale to nevim jak..

Poradíte někdo co udělat? Díky za každou podnětnou radu....

fakt nikdo neví? :(

No jeste jsem neco takoveho nedelal, ale sel bych na to asi takto.

Za prve, bych ve SKYPE nastavil port pres jaky to ma jit a vyskrtnul defaultni 80. Pak bych proste na firewallu zakazal vse mimo toho portu pro skype + nejake dalsi, ktere drzi system pri zivote.

Pokud chcete vědět kam se daná IP adresa vnitřní sítě snaží spojit zkuste ještě před REJECT (či DROP) pravidlo zadat:

iptables -A FORWARD -i eth1 -s 192.168.0.2 -j LOG --log-prefix "WATCH SKYPE: "

A REJECT (či DROP) pakety uvidíte via syslog v patřičných logovacích souborech (tail -f /var/log/syslog v debianu, jinde možná messages ...).

Možná si budete muset pohrát s --log-level, já používám "--log-level DEBUG"

Pokud byste to používal dlouhodobě doporučuji limitovat záznamy do logu pomocí "-m limit --limit 20/minute", jinak si můžete zaplnit disk logy.

Dá se použít i na povolenou komunikaci (místo REJECT/DROP je ACCEPT), ale v tom případě by bylo vhodné logovat jen pakety navazující komunikaci vložením "-m state --state NEW" do pravidla pro logování.

A pokud byste neuspěl, či se porty SKYPE nedaly rozumně determinovat (což si myslím, poněvadž skype na serverech asi musí dělat forwarding spojení klientů za NATem, tedy po navázání sdělí klientovi aby se spojil s tou a tou adresou na tom a tom portu) bylo by možné řešení pomocí modulu "-m owner --cmd-owner jmeno-programu-skype" (nemám praktické zkušenosti) což se dá IMHO použít pouze na PC kde skype běží. Pokud je firewall fyzicky jiné zařízení, pak by se dalo mezi PC se skype a fw udělat tunel (aliasy na síťovky a jiný adresní rozsah, či vtun, či cokoli jiného) a výše uvedeným pravidlem tam pustit jen provoz programu skype.

Martin.

P.S. Až na "tail -f" vše parametry příkazu iptables, viz man iptables.

tak sem laboroval a abych řek pravdu tak moc moudrej z toho nejsem... SKYPE komunikuje se spoustou serverů... a spousta z nich jsou samotní klienti.. vypadá to že neexistuje jeden centrální server... něco jako má ICQ na kterej stačí povolit komunikaci a je to...

Napadla mě ještě jedna věc.. nezakazovat vše.. ale jenom port 80 pro konkrétní adresu v podsíti, plus nějaký další porty.. tim by se funkčnost komunikátorů zachovala a účel zakázat fungování internetu.. (hlavně port 80) by se splnil... bohužel ale nevim jak na to..

když sem zkoušel příkaz

iptables -t filter -I FORWARD -i eth1 -s 192.168.0.2 -d 64.12.161.153 --sports 80 -j REJECT

tak to je prej nesmysl... tak nevim...

poradíte mi někdo alespoň v tomhle? prošel sem i man iptables.. ale pořád mi to nějak nejde do hlavy... Děkuju mnohokrát....

iptables -t filter -I FORWARD -i eth1 -s 192.168.0.2 --sports 80 -j REJECT

   multiport
       This  module  matches  a  set of source or destination ports.  Up to 15
       ports can be specified.  It can only be used in conjunction with -p tcp
       or -p udp.

       --source-ports port[,port[,port...]]
              Match  if  the  source port is one of the given ports.  The flag
              --sports is a convenient alias for this option.

-p tcp