求ROS限制指定用户上某些网站.遇到新难题了.

kevin121

我现在一部份电脑只能上skype和公司的邮箱.

现在的问题是:

如果通过只开放skype和邮箱端口的话.skype服务器太多.并且协议好像不同.很难控制到.我之前有试过添加过一些端口进行测试.失败而告终.


请问哪位高手有更好的方法限制skype???急.....



下面这篇有关skype的文章,大家可以看下.了解一下.
ISA下skype的允许与限制

skype使用非公开的私用协议，并采用P2P模式，这使得允许与限制都相当麻烦。它登录时首先使用UDP，不行再使用TCP随机端口，还不行就使用HTTP和HTTPS（即TCP80和443端口）。有人称之为“网管杀手”，的确如此。

测试说明：1、由于使用的是内网DNS服务器，其上作了DNS转发，因此不涉及到DNS解析问题
2、ISA为ISA2006标准版
3、skype版本为新下载的Tom-Skype3.5.4.74

一、测试其使用的端口
1、只开放HTTP协议到外部
结果：有时可以正常登录，通话音质不太好，但大多时候都不能正常工作。
2、只开放HTTPS协议到外部
结果：可以正常登录，也可以正常拨打普通电话，通话音质不太好
3、新建一个协议，暂命名为skype，端口为UDP925发送接收，只开放此协议到外部，skype中指定使用端口925
结果：刚开始无法登录，且显示所在区域为美国。后来有时能登录，有时则不能。不稳定

二、测试其登录时使用的服务器IP
因为其使用随机的TCP端口，且还可以使用TCP80和443，所以在无法限制内网用户只浏览指定网站的情况下，尝试通过限制其登录服务器IP来限制其使用。
在网上搜得其登录服务器的7个IP：
66.235.180.9:33033 sls-cb10p6.dca2.superb.net
66.235.181.9:33033 ip9.181.susc.suscom.net
80.161.91.25:33033 0x50a15b19.boanxx15.adsl-dhcp.tele.dk
80.160.91.12:33033 0x50a15b0c.albnxx9.adsl-dhcp.tele.dk
64.246.49.60:33033 rs-64-246-49-60.ev1.net
64.246.49.61:33033 rs-64-246-49-61.ev1.net
64.246.48.23:33033 ns2.ev1.net
在ISA中新建一个计算机集，将这些IP加进去，暂命名为“skype服务器集”。
开放所有出站到“skype服务器集”
结果：无法登录，且显示所在区域为美国。
这说明这些服务器IP不对
后通过ISA的日志，找到如下IP：
130.111.151.56
130.13.162.207
145.94.38.175
147.156.30.202
163.26.224.60
190.78.215.222
201.192.84.58
203.175.26.165
210.159.184.155
213.103.205.231
222.188.139.232
24.208.192.51
41.201.182.6
41.243.119.56
60.56.66.204
60.56.66.204
67.184.82.132
68.225.209.13
68.34.121.85
69.217.50.192
70.135.126.59
74.195.28.91
75.18.113.60
75.37.131.146
76.110.250.40
76.111.84.229
82.131.80.48
84.101.139.56
84.102.164.192
84.223.160.111
85.139.185.93
85.224.56.239
86.136.102.165
86.7.66.70
87.3.88.101
98.226.114.199
太多了！可能还有许多，看来想通过限制登录服务器IP的方法太麻烦，不现实。

三、结论

估计skype是使用HTTPS协议进行登录验证

通话时skype尝试使用随机的UDP1024以上端口与外界通信，不行就尝试随机的TCP1024以上端口，还不行就使用TCP443端口，最后使用TCP80端口。当然这样会导致音质下降。

四、解决方法

要求：只允许访问某些指定网站，禁skype
方法：只允许HTTP、HTTPS协议，目标为指定的域名集。自然skype也无法访问，这实际上还是通过限制服务器IP来限制skype的登录，从而使其无法使用。

要求：允许访问所有网站，但要禁skype
方法：这个比较难，可以这样试：
（1）第一种方法：允许HTTP、HTTPS协议，目标为外部，但对用户进行限制，即删掉所有用户，添加允许的内网用户（需域支持），同时内网客户端不要安装firewall客户端软件，并在ISA上关闭WEB代理和socks4代理。这是利用skype无法提供用户验证的特性。
（2）第二种方法：使用sniffer，找到skype的签名，使用HTTP过滤进行阻止
这两种方法只是思路，未实际验证过。

要求：只允许skype
方法：在ISA中新建一个协议，命名为skype，端口为UDP925发送接收。只允许此协议和HTTPS协议到外部，skype中指定使用端口925。这样就要开放HTTPS协议，有点遗憾，但只使用HTTPS协议的网站毕竟少

kevin121

求解决办法....

hcb

很难
我尝试过限制登陆服务器的办法，但是服务器IP太多了，就没有再尝试下去
不过理论上来说，服务器IP肯定是有限的，总有被穷尽封掉的可能

弄一台电脑，什么都不做，就是不断的登陆skype
在网关上(如ROS,LINUX,甚至ISA)写一程序自动获得skype登陆的IP,然后自动封掉这个IP
skype会尝试用另外一个IP登陆，程序再封掉该IP
如此反复，总会封掉所有的服务器IP的，就是登陆的时候，有时需要人工干预，花费的精力还是很大的

kevin121

唉...开放一样是问题多.我现要要开放它.也是.一但开放QQ等一些工具随之也可以使用了.很烦很苦恼.

chtcrack

你是想禁止下面的机器使用SKYPE么？从路由上不好禁，那就从客户端上禁止吧。首先截取到skype的窗口名称，自己编一个程序，只要检测到skype窗口，自动终止这个进程，这样无论把skype怎么改名都无法使用~~