Sziasztok! Használ valaki Skype-ot Zorp tűzfal mögül élvezhető minőségben? A problémám a következő: A tűzfal úgy van beállítva, hogy alapvetően minden forgalmat blokkol, ami nem kell meghatározott feladatokhoz, így nincsenek szabadon használható portok sem kifelé, sem befelé. A HTTP forgalom a megfelelő alkalmazás proxyval és vírus ellenőrzéssel megy át a tűzfalon. A HTTPS forgalom ma még plug-proxyval működik, de ezt is tervezzük alkalmazás proxyra cserélni. Ilyen feltételek mellett azonban a Skype működik ugyan, de gyakorlatilag használhatatlan, annyira szagatottan megy át a hang. A Skype dokumentációja szerint az ideális hálózati konfigurció a Skype számára: 1. Kimenő TCP forgalom engedélyezett az 1024 és nagyobb portokra 2. Kimenő TCP forgalom engedélyezett a 80 és 443 portokra 3. Kimenő UDP forgalom engedélyezett az 1024 és nagyobb portokra. Ahhoz, hogy az UDP-t használni tudja a Skype a NAT-nak engedélyeznie kell, hogy UDP válasz csomagok visszajussanak a küldőhöz (Az UDP "kapcsolatokat" minimum 30 másodpercig meg kell tartani, de azt javasolják, hogy ha lehet, akkor inkább 1 óráig legyenek aktívak az ilyen kapcsolatok.) 4. A NAT konzisztens fordítást kell alkalmazzon, azaz a kimenő címfordításnál használt port azonos a bejövő csomagoknál használt porttal UDP csomagok esetében. A felsorolt környezet vállalati környezetben sok mindennek nevezhető, de nagyon biztonságosnak biztosan nem. Persze van egy olyan jegyzet is a Skype dokumentációban, hogy mik a minimális feltételek a tűzfal mögüli használathoz: - Lehetőleg legyen engedélyezett a kimenő TCP forgalom minden portra (1-65535) - Ha ez nem lehetséges, akkor a 443-as TCP portra legyen engedélyezett a kimenő forgalom. - Ha a fentiek nem lehetségesek, akkor a 80-as portra legyen engedélyezett a kimenő forgalom, de ügyeljünk arra, hogy nem jó az a megoldás, ahol a tűzfal ellenőrzi a 80-as porton a HTTP protokolt, mert a Skype nem használja a HTTP protokolt, így az ilyen tűzfal blokkolni fogja a Skype működését. - Ha a fentiek nem lehetségesek, akkor a Skype képes HTTPS/SSL vagy SOCKS5 proxy használatára. Ezzel sem vagyok nagyon kisegítve. Gondolom esetemben a 443-as porton a Plug-proxyn keresztül megy, és a többi forgalom blokkolt, de így nem igazán használható rendeltetésének megfelelően. Van valakinek esetleg olyan megoldása, ahol még elfogadható szintű a hálózati biztonság és megfelelő minőségben képes működni a Skype is? (Nem kell lemondani a 80 és 443 portok protokol elemzéséről, nem kell kinyitni az összes nagy TCP és UDP portot kifelé.) Van esetleg tapasztalat proxy használatra vonatkozóan és ha igen, akkor melyik proxy szofvert és mire figyelve érdemes használni? A probléma biztosan a tűzfalon van, mert ha ugyanazt a gépet átteszem a tűzfal mögé, akkor nagyságrendeket javul a Skype hangminősége. Előre is köszönöm a segítséget. Petya
On Tue, Jun 20, 2006 at 03:39:20PM +0200, _Zorp wrote: szia,
Használ valaki Skype-ot Zorp tűzfal mögül élvezhető minőségben?
szerintem senki, talan nem veletlenul segithet, ha kiteszel egy gepet a tuzfalon tul, es onnan lehet "telefonalni" talan terminal szerveres kornyezetben is mukod egy ugyfelunk most szembesul hasonlo problemaval ha lesz ertelmes megoldas, megirom -- lajjan
Szia, en egyszeruen kinyitottam az udp szamara par portot, es ezeket osztottam ki a klienseknek (Options->Advanced->useport). IP-tables-ba: -A megfelelo_chain -p udp --sport 4000:4100 --dport ! 53 -j TPROXY --on-port 50990 policy.py-ba: Service("io_skype", PlugProxy, router=TransparentRouter()) Receiver(SockAddrInet("tuzfal.belso.ip", 50990), "io_skype") ez igy mukodik, es eddig meg senki nem panaszkodott hangminoseg. udv tusi On Tue, 2006-06-20 at 15:39 +0200, _Zorp wrote:
... Használ valaki Skype-ot Zorp tűzfal mögül élvezhető minőségben? ...
Gabor E. Tusnady wrote:
Szia,
en egyszeruen kinyitottam az udp szamara par portot, es ezeket osztottam ki a klienseknek (Options->Advanced->useport). IP-tables-ba:
-A megfelelo_chain -p udp --sport 4000:4100 --dport ! 53 -j TPROXY --on-port 50990
policy.py-ba:
Service("io_skype", PlugProxy, router=TransparentRouter()) Receiver(SockAddrInet("tuzfal.belso.ip", 50990), "io_skype")
ez igy mukodik, es eddig meg senki nem panaszkodott hangminoseg.
Ezzel egy meglehetosen meretes lyukat utottel a tuzfalon, akar OpenVPN tunnel-t is athuznak rajta :((( -- Gellér Sándor wildy@balabit.hu
_Zorp wrote:
Sziasztok!
Használ valaki Skype-ot Zorp tűzfal mögül élvezhető minőségben?
Nem, es a tudomany mai allasa mellett nem is fog. A Skype egy p2p alkalmazas, a Zorp-pal nem fernek meg. Keress inkabb SIP-et hasznalo programot, azt a 3.1-es kereskedelmi Zorp atviszi. -- Gellér Sándor wildy@balabit.hu
On Tue, Jun 20, 2006 at 03:39:20PM +0200, _Zorp wrote:
A felsorolt környezet vállalati környezetben sok mindennek nevezhető, de nagyon biztonságosnak biztosan nem.
Egy elemzes a skype-rol, talan erdekes lehet: http://gergely.tomka.hu/skype.pdf -- Udvozlettel Zsiga
On Wed, Jun 21, 2006 at 08:13:42AM +0200, Kosa Attila wrote:
On Tue, Jun 20, 2006 at 03:39:20PM +0200, _Zorp wrote:
A felsorolt környezet vállalati környezetben sok mindennek nevezhető, de nagyon biztonságosnak biztosan nem.
Egy elemzes a skype-rol, talan erdekes lehet: http://gergely.tomka.hu/skype.pdf
igen, ez egy worm nem ez a neve, de rendelkezik mindazon tulajdonsagokkal, ami ahhoz kell, hogy atjusson egy atlagos hatarvedelmi eszkozon a protokollban van nemi titkositas is (ez IDS szempontbol erdekes), plusz jelenleg semmilyen content filter nem tamogatja (ez filetranszfer miatt lehet erdekes) emiatt gondolom azt, hogy erdemes "kivul" tartani az altala generalt forgalmat -- lajjan
On Tue, Jun 20, 2006 at 03:39:20PM +0200, _Zorp wrote:
A felsorolt környezet vállalati környezetben sok mindennek nevezhető, de nagyon biztonságosnak biztosan nem.
A Skype sem. -- Friczy 'Death is not a bug, it's a feature'
participants (6)
-
_Zorp
-
Gabor E. Tusnady
-
Gellér Sándor
-
Janos Lajos
-
Kosa Attila
-
Nemeth Gyorgy