 |
|
|
|
| Autor |
Nachricht |
andreas
Anmeldungsdatum: 04.01.2005
Beiträge: 66
|
 Verfasst am:
Di 20 Jun, 2006 00:11 |
  |
|
Hallo zusammen,
ich würde gerne in einem Netzwerk die Kommunikation mit Skype unterbinden. Es gibt derzeit eine deny-all Regel und erlaubt ist 80, 443, 8080, 110, 993, 53 trotzdem schafft es diese d...-Software eine Verbindung aufzubauen. Die Artikel hier im Board hab ich gelesen und mich damit abgefunden, dass ich SNMP abschalten muß. Hat jemand vielleicht einen Tipp für mich, ob es vielleicht mit irgendwelchen verketteten Regeln geht.
Schon mal vielen Dank,
Andreas |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 20 Jun, 2006 05:56 |
|
|
Moin,
Kann ich mir nicht vorstellen, wenn eine Deny_all existiert und wirklich nur die Ports 80, 443, 8080, 110, 993, 53 nach außen offen sind!
Da ist wohl ein Fehler in der Deny bzw. an anderer Stelle der Firewall-Regeln.
Bist du sicher, dass die Deny_all von allen Stationen an alle Stationen gilt bzw. eingerichtet ist?
Andere raufen sich die Haare, skype vernünftig durch die Firewall ans Laufen zubekommen und bei dir geht das ohne Zutun und Deny_all  ...nene, glaube das kann nicht sein  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
 |
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Di 20 Jun, 2006 07:57 |
|
|
Moin,
es ist in der Tat nicht ganz einfach, Skype zu blocken. Die Software ist so geschrieben,
daß sie zur Not alles über Port 80 macht, mit einfachen Port-Filtern kommt man da nicht
weiter. Neulich gab es einen Artikel zum Thema Skype (müßte bei Heise verlinkt sein),
da hat jemand das Protokoll auseinandergenommen und eine Variante gefunden, an
welcher Bytefolge im Paket man Skype erkennen kann, ich glaube aber nicht, daß sich
das im Moment in der LANCOM-Firewall abbilden läßt. Ansonsten helfen nur noch
Zwangsproxies und drakonische Strafandrohungen...
Gruß Alfred |
|
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 20 Jun, 2006 08:24 |
|
|
| Zitat:
|
|
Die Software ist so geschrieben, daß sie zur Not alles über Port 80 macht...
|
Aha, das wusste ich noch nicht  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 20 Jun, 2006 08:26 |
|
|
Skype redet im lan leider auch mit anderen skypes ... und findet so auch seinen weg ... selbst wenn nur ein skype inet hat ... selbst vpns schrenken sykpe ned ab. Ich habe es bei meinen nachbarn und bei mir @home work am laufen. alles voll geroutet und mit filterregeln versehen ... man glaubt nicht was skype alles versucht zu verbinden ... zwischen den clients ... zb. route ich ein netz nicht nach extern ... nur proxy und das nimmt skype auch an. |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 20 Jun, 2006 09:47 |
|
|
Ich verstehe dann nur nicht, dass einige (Posts hier im Board) mühsam ganze Portranges aufmachen müssen, wenn es doch über den 80 auch geht!? 
Oder ist das erst mit neuereen Skype-Versionen so "praktisch"? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Di 20 Jun, 2006 10:23 |
|
|
skype dann wenn es nur passiv ueber port 80 geht schon mal probleme ... mit eingehenden verbindungen ... egal ob voice/daten/chat ... es bekommt nur daten wenn es selber pollt. Ich selbe musste noch nie was freigeben fuer skype .. nutze aber immer die letzte version  |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
|
|
andreas
Anmeldungsdatum: 04.01.2005
Beiträge: 66
|
| Verfasst am:
Di 20 Jun, 2006 23:25 |
|
|
Hallo zusammen,
erst mal danke für Eure Anregungen. Ich habs gestern Abend noch mal untersucht:
Deny_all (@filou: ja, wirklich alles deny )
Port 80 allow
und schon funktioniert skype 
Fazit: Mit Lancom Bordmitteln leider nicht zu blocken, wenn http benötigt wird.
Viele Grüsse,
Andreas
P.S. einfach mal alles verbieten und den Lanmonitor beobachten, schon faszinierend was Skype alles anstellt um nach außen zu kommen. |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 21 Jun, 2006 09:26 |
|
|
Wundert euch das? Skype wurde doch von den gleichen Leuten entwickelt wie ursprünglich Kazaa. Und so arbeitet es doch auch wie eine P2P Software. Und P2P war schon immer darauf ausgelegt Firewalls zu überwinden.
Daher hat Skype auch nichts in einem, Firmen-Lan verloren - man kann es schlicht nicht kontrollieren.
Und ein Proxy ist auch nicht immer ein Allheilmittel
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
|
|
|
|
| |
|
|
