Hallo zusammen,
ich würde gerne in einem Netzwerk die Kommunikation mit Skype unterbinden. Es gibt derzeit eine deny-all Regel und erlaubt ist 80, 443, 8080, 110, 993, 53 trotzdem schafft es diese d...-Software eine Verbindung aufzubauen. Die Artikel hier im Board hab ich gelesen und mich damit abgefunden, dass ich SNMP abschalten muß. Hat jemand vielleicht einen Tipp für mich, ob es vielleicht mit irgendwelchen verketteten Regeln geht.
Schon mal vielen Dank,
Andreas
Skype wirksam mit LC-Routern unterbinden
Moderator: Lancom-Systems Moderatoren
Moin,
Kann ich mir nicht vorstellen, wenn eine Deny_all existiert und wirklich nur die Ports 80, 443, 8080, 110, 993, 53 nach außen offen sind!
Da ist wohl ein Fehler in der Deny bzw. an anderer Stelle der Firewall-Regeln.
Bist du sicher, dass die Deny_all von allen Stationen an alle Stationen gilt bzw. eingerichtet ist?
Andere raufen sich die Haare, skype vernünftig durch die Firewall ans Laufen zubekommen und bei dir geht das ohne Zutun und Deny_all
...nene, glaube das kann nicht sein 
Kann ich mir nicht vorstellen, wenn eine Deny_all existiert und wirklich nur die Ports 80, 443, 8080, 110, 993, 53 nach außen offen sind!
Da ist wohl ein Fehler in der Deny bzw. an anderer Stelle der Firewall-Regeln.
Bist du sicher, dass die Deny_all von allen Stationen an alle Stationen gilt bzw. eingerichtet ist?
Andere raufen sich die Haare, skype vernünftig durch die Firewall ans Laufen zubekommen und bei dir geht das ohne Zutun und Deny_all
...nene, glaube das kann nicht sein Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Moin,
es ist in der Tat nicht ganz einfach, Skype zu blocken. Die Software ist so geschrieben,
daß sie zur Not alles über Port 80 macht, mit einfachen Port-Filtern kommt man da nicht
weiter. Neulich gab es einen Artikel zum Thema Skype (müßte bei Heise verlinkt sein),
da hat jemand das Protokoll auseinandergenommen und eine Variante gefunden, an
welcher Bytefolge im Paket man Skype erkennen kann, ich glaube aber nicht, daß sich
das im Moment in der LANCOM-Firewall abbilden läßt. Ansonsten helfen nur noch
Zwangsproxies und drakonische Strafandrohungen...
Gruß Alfred
es ist in der Tat nicht ganz einfach, Skype zu blocken. Die Software ist so geschrieben,
daß sie zur Not alles über Port 80 macht, mit einfachen Port-Filtern kommt man da nicht
weiter. Neulich gab es einen Artikel zum Thema Skype (müßte bei Heise verlinkt sein),
da hat jemand das Protokoll auseinandergenommen und eine Variante gefunden, an
welcher Bytefolge im Paket man Skype erkennen kann, ich glaube aber nicht, daß sich
das im Moment in der LANCOM-Firewall abbilden läßt. Ansonsten helfen nur noch
Zwangsproxies und drakonische Strafandrohungen...
Gruß Alfred
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Skype redet im lan leider auch mit anderen skypes ... und findet so auch seinen weg ... selbst wenn nur ein skype inet hat ... selbst vpns schrenken sykpe ned ab. Ich habe es bei meinen nachbarn und bei mir @home work am laufen. alles voll geroutet und mit filterregeln versehen ... man glaubt nicht was skype alles versucht zu verbinden ... zwischen den clients ... zb. route ich ein netz nicht nach extern ... nur proxy und das nimmt skype auch an.
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
skype dann wenn es nur passiv ueber port 80 geht schon mal probleme ... mit eingehenden verbindungen ... egal ob voice/daten/chat ... es bekommt nur daten wenn es selber pollt. Ich selbe musste noch nie was freigeben fuer skype .. nutze aber immer die letzte version 
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Hallo zusammen,
erst mal danke für Eure Anregungen. Ich habs gestern Abend noch mal untersucht:
Deny_all (@filou: ja, wirklich alles deny )
Port 80 allow
und schon funktioniert skype
Fazit: Mit Lancom Bordmitteln leider nicht zu blocken, wenn http benötigt wird.
Viele Grüsse,
Andreas
P.S. einfach mal alles verbieten und den Lanmonitor beobachten, schon faszinierend was Skype alles anstellt um nach außen zu kommen.
erst mal danke für Eure Anregungen. Ich habs gestern Abend noch mal untersucht:
Deny_all (@filou: ja, wirklich alles deny
)Port 80 allow
und schon funktioniert skype
Fazit: Mit Lancom Bordmitteln leider nicht zu blocken, wenn http benötigt wird.
Viele Grüsse,
Andreas
P.S. einfach mal alles verbieten und den Lanmonitor beobachten, schon faszinierend was Skype alles anstellt um nach außen zu kommen.
Wundert euch das? Skype wurde doch von den gleichen Leuten entwickelt wie ursprünglich Kazaa. Und so arbeitet es doch auch wie eine P2P Software. Und P2P war schon immer darauf ausgelegt Firewalls zu überwinden.
Daher hat Skype auch nichts in einem, Firmen-Lan verloren - man kann es schlicht nicht kontrollieren.
Und ein Proxy ist auch nicht immer ein Allheilmittel
Gruß
COMCARGRU
Daher hat Skype auch nichts in einem, Firmen-Lan verloren - man kann es schlicht nicht kontrollieren.
Und ein Proxy ist auch nicht immer ein Allheilmittel
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???