Как заблокировать скайп на роутере
Возраст: 57
Группа: Пользователи
Сообщений: 32 410
Регистрация: 7.8.2001
Из: White Plains, NY
Пользователь №: 473
Вставить ник Цитата
Исходные данные такие:
роутер DIR320 NRU версия прошивки 1.3.9
раздает инет по фавле двум лопатам и двум ноутам.
Требуется:
Заблокировать использование Skype через роутер на одном из ноутбуков. (В крайнем случае тогда для всех подключаемых устройств).
Как это сделать че то не понимаю, лазию по настройкам роутера без успешно.
Нужен совет, тока не типа такого что сделать фильтр по MAC адресам, а конкретно куда нажать и что прописать
Я бы советовал решать проблему другим способом.
Блокировать скайп очень сложно, — это очень адаптивная фигня. «ты их в дверь, — они в окно» — это про скайп. Блокировка конкретных портов\протоколов мало чего даст, — он их меняет постоянно. Реальный вариант был года два назад, когда блокировался весь трафик на определенные айпи адреса — сервера куда он логинится. Их там пара десятков. Но, если мне память не изменяет, в последнее время они и это обошли.
Я подозреваю что средствами Вашего роутера это вообще сделать невозможно.
самый старый форумчанин !
Возраст: 42
Группа: Пользователи
Сообщений: 6 008
Регистрация: 29.8.2000
Пользователь №: 51
Вставить ник Цитата
Исходные данные такие:
роутер DIR320 NRU версия прошивки 1.3.9
раздает инет по фавле двум лопатам и двум ноутам.
Требуется:
Заблокировать использование Skype через роутер на одном из ноутбуков. (В крайнем случае тогда для всех подключаемых устройств).
Как это сделать че то не понимаю, лазию по настройкам роутера без успешно.
Нужен совет, тока не типа такого что сделать фильтр по MAC адресам, а конкретно куда нажать и что прописать
Фильтруем и управляем подключением Skype
Многие наверное подумают — что это немного не тот сайт и не стоило сюда писать, но решил поделиться данной наработкой. Думаю кому-то эта статья будет полезна.
Вопрос с управлением доступом к Skype — это больная тема многих сетевиков и администраторов. В попытках найти решение в интернете многие собирают статистику подключений Skype и открывают доступ полностью в весь пул сетей — но анализ этой чудо программы показал что это не вариант, так как я не очень люблю как работают некоторые вещи для меня непонятным образом, решил что нужно принимать какие-то меры. Так же многие упоминают про Layer 7 protocol — но в случае с L7 у Вас получится только корректно заблокировать доступ, но не управлять им. Для понимания: Skype — очень противное приложение в плане сетевого взаимодействия, ломится на кучу IP-адресов и хостов по куче портов среди которых и 80 и 443. Решение есть и оно довольно простое, мы будем использовать метки DSCP (TOS) и делать будем это средствами самой Windows. О самих же метках лучше почитать внимательно в интернете.
Имеем доменную машину, с Skype на борту, через групповые политики добавляем DSCP(TOS) метку на приложение, маршрутизатор в свою очередь принимая метку маркирует соединение и на основе access-листа разрешает, либо запрещает соединение.
Собственно будем пытаться сделать как на схеме. Метку при этом я выбрал 32 — она довольно распространенная даже среди провайдеров, но мы не будем лезть в входящий и исходящий трафик, мы лезем только в «проходящий мимо». Почему 32? — а у нее просто очень хорошее число, в бинарном виде DSCP передается как 100000, а TOS 100 — дело в том что некоторые старые устройства не понимают что такое DSCP и метку обрезают с конца до TOS и число 100000 превращается в 100 — такую метку наш роутер тоже поймет. Еще бывает коммутаторы промежуточные срезают метку поставленную роутером — не доверяют типа роутеру, для этого надо на примере коммутаторов SNR добавлять строку на интерфейс mls qos trust dscp. Ладно, хватит теории, к делу.
Сначала нам надо повешать метку на приложение — открываем редактор локальной групповой политики
Переходим Конфигурация компьютера -> Конфигурация Windows -> QoS на основе политики
Нажимаем правой кнопкой мыши Создать новую политику. Добавляем профиль политики я ее назвал skype_dscp, следом нужно указать значение (от 0 до 63) и частоту передачи — я выбрал значение 32 и частоту передачи 2 Мб/с.
Далее нам надо выбрать приложение или URL-адрес приложения, URL как мы поняли нам неизвестен, собственно поэтому эта статья и написана, выбираем только к приложениям с именем исполняемого файла — в данном случае указываем skype.exe.
Далее нам следует указать IP-адреса, но нам опять же они неизвестны, да и не интересно собственно, в целом у нас итак будет возможность управлять им на роутере, поэтому ставим к любому исходному IP-адресу и к любому конечному IP-адресу.
Далее нужно указать протоколы и порты подключения, нам они опять же неизвестны, но известно что Skype использует как TCP так и UDP соединения, поэтому надо выпадающий список поставить TCP и UDP.
Нажимаем Ок и наша политика готова.
Для раскатывания политиками или добавления вручную достаточно добавить значения в ветке реестра:
Далее нам надо отмаркировать это дело на нашем микротике, заходим IP -> Firewall -> Mangle и добавляем новое правило:
add action=mark-connection chain=forward comment=DSCP_32_mark_skype_connection_except_allow_all dscp=32 new-connection-mark=DSCP_32 passthrough=no src-address-list=!allow_all
У меня маркируется трафик Skype, кроме тех, кто в адрес-листе allow_all — это люди, которым дан полный доступ в интернет — нет смысла маркировать то, что итак доступно.
Теперь у нас приложение маркируется на роутере. Как узнаем? Да просто: заходим на микротик IP -> Firewall -> Connections, фильтруем по нашему Src.address и видим:
ОГО! И это подключения только с одного компьютера.
Осталось разрешать или запрещать, создадим 3 правила на основе access-листа.
Создадим разрешающие правила, правило на source:
Правило на destination отличается от source только в вкладке Advanced:
Создадим теперь запрещающее правило — все тоже самое, только в Advanced ничего не ставим, а Action -Drop:
Консольный вариант всех трех правил:
add action=accept chain=forward comment=DSCP_32_allow_source_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 src-address-list=Allow_Skype_for_User
add action=accept chain=forward comment=DSCP_32_allow_destination_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 dst-address-list=Allow_Skype_for_User
add action=drop chain=forward comment=DSCP_32_reject_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32
Все готово! Для того, чтобы Skype разрешить пользователю доступ в Skype добавляем адрес компьютера пользователя в IP -> Firewall -> Address Lists название листа Allow_Skype_for_User. Для его запрета просто удаляем адрес из списка. Раскатать массово доменными политиками думаю сложности администратору не составит. На этом настройка закончена.
Рад если кому-то пригодится данный мануал.
Найдены дубликаты
скайп уже хреновый файлообменник
Согласен, я бы не пользовался. Это все распоряжения сверху))
моё лицо листая пост
на 1к пользователей можно и на skype for buisness раскошелится, к примеру. Он все-таки лучше интегрирован с корпоративной средой
Это самое мерзкое приложение что я видел. Как же нужно не любить людей, чтоб заставлять им пользоваться.
Он нужен в редких случаях и не надолго нет смысла покупать
Настраиваю маркировку трафика групповыми политиками в вин10 — все в порядке, точно те же групповые политики в вин7 не дают никакого эффекта. В wiresharke dscp по нулям. Подскажите, пожалуйста, если сталкивались — какие еще манипуляции для семерки необходимы?
Да вроде никаких, у нас как на 10 так и на 7 одинаково работает. А 7ка у вас версия корпоративная? Просто есть вариант что на других не заработает (не проверено). Еще может фаервол блочит.
Спасибо за ответ. Да, корпоративная, фаервол отключал. Кстати, попробовал на машине с 10кой поставить под виртуалками 7ку и 10ку, прокинул им обоим бридж на свою сетевую карту и указал что бы обе дублировали хостовую. Запустил ваершарк на хостовой и история повторилась — с виртуальной 10ки трафик идет маркированый, а с 7ки нет.
Спасибо, очень много прикольных фич можно реализовать, чет в голову не приходило метить на клиентской тачке!
Чуваки, а чего скайпом в корпоративе еще пользуются?
Конечно! Он же бесплатный (не имеется ввиду skype for buisness)
а че как с производительностью? Какой микрот? Если внезапно в этой сети будет видеоконференция на 20+ товарищей, ну или просто приспичит одновременно позвонить, железка не захлебнется?
С производительностью хорошо, не просаживает. В мелких филиалах стоят rb951, где-то и rb750, 10+ спокойно вывозят. В больших филиалах у нас ccr’ы 16 ядерные хрен его заткнешь даже 30+ человек одновременно. По большей части у нас скайп не используется, почти на 1к человек пользуется всего человек 50 — но зато постоянно и приходилось из за скайпа снимать все ограничения для некоторых машин. Открывать пулы микрософта и скайпа — не спортивно нафиг. Вот и придумал такую вещь.
шошнадцоть ядер микрота могут ничего не значить ибо irq и вообще параллелизм у него немного хромает, всё зависит от того как и что наконфигурено, как траф ходит, какие процессы.
И кстати, правило для Destination list в принципе, может быть лишним. Возможно, правило accept для цепочки forward на established соединения должно пустить трафик со скайпа внутрь к конечным потребителям. Но это зависит от конкретных правил фаервола и их порядка.
Так и есть, но у меня есть там в фаерволе свои ньюансы и некоторые компы именно в dst прилетают, добавил просто для общей картины
Ну я и говорю, что зависит от конкретных правил. Может, если пересмотрите их порядок, его и не нужно вовсе будет.
Вам бы с этой статьей на Хабр
Интересное решение, спасибо за новую инфу
Beeline Smart Box с другим провайдером.
Всем привет. Случился недавно переезд в новую квартиру, и так как мы живем в 21 веке то в дом первым пускают кошку интернет конечно же. Так выпало, что единственный доступный на данный момент провайдер это Ростелеком. Собственно к чему всё это, при переезде осталась на первый взгляд бесполезная коробочка роутер от билайна под названием SmartBox (читай -коробка). Но вот беда, работает он только с билайном. Ребята монтажники сказали, что вариантов настроить роутер нет, и надо покупать или любой другой и тоже его перенастраивать мучиться или взять их какашку роутер в рассрочку и всё будет сразу работать. Но мы ведь без боя не сдадимся, да и тем более судя по тех. данным подобный роутер стоит около 1500р, а это неплохой повод не тратить их. Если поможет хоть кому то, это уже хорошо, я убил пол дня чтоб всё подключить.
И так имеем ростелеком интернет и ТВ в проводе, и коробку в наличии.
Первым делом сбрасываем настройки коробки до заводских при помощи кнопки на задней панели и заходим в настройки коробки адрес 192.168.1.1
Затем нужны логин и пароль для входа. Под обычным доступом с правами админа — admin/admin — вам доступно только DHCP+L2TP. А вот чтобы настроить роутер как вам нравится, Вам нужно зайти под суперюзером — логин SuperUser, пароль Beeline$martB0x.
Вторым по счету заходим в «Расширенные настройки» а затем выбираем «Другие»
В открывшемся окне мы видим таблицу с подключениями WAN. Галочками выбраны подключения интеренет и ТВ собственно их мы и будем менять. Сначала нам нужен интернет поэтому ставим галку напротив подключения где написано internet и выбираем «ИЗМЕНИТЬ».
Далее выбираем: Список серверов — DATA. Тип подключения — routing. «Режим IP» выбираем PPPoE. Вводим данные для подключения которые нам предоставил провайдер. И ставим галку в строке «Использовать NAT». Сохраняем изменения, выбираем настройки Wi-Fi (пароль и имя сети) и применяем. Интернет есть.
Далее повторяем пункт 2 и выбираем для изменения строку с настройками ТВ, у меня была записана как intranet. Выбираем тип подключения bridge, и режим Ip меняем на статический IP. Сохраняем и применяем. ТВ есть )
Вот так собственно без каких либо серьезных заморочек можно заставить эту коробку работать с любым провайдером.