Автор Тема: Skype через Squid  (Прочитано 1093 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн slux

  • Game Developer
  • Администратор
  • Общительный человек
  • ******
  • Сообщений: 1 682
  • Карма: 31
  • Пол: Мужской
  • Ubuntu, Debian, Fedora
    • CSM Wiki
Skype через Squid
« : 13 Октября 2016, 13:40:06 »
CentOS 7
squid-3.3.8

Нарисовалась тут задачка поднять сквид с авторизацией через AD и подменой сертификатов. Всё работает, кроме скайпа - сквид его блокирует с формулировкой TCP_DENIED/407 (метод CONNECT) ещё на этапе логина в учётку скайпа. Гуглил, везде говорят делать скайпу peek and splice, но в версии squid-3.3.8 ssl_bump не поддерживает такие режимы. Обновить сквид похоже не вариант - политика такая, что софт должен быть из репозитория и всегда в актуальном состоянии, никаких сборок из исходников и левых пакетов.

Что с этим можно сделать, чтоб скайп работал?
« Последнее редактирование: 13 Октября 2016, 13:45:17 by slux »

Оффлайн slux

  • Game Developer
  • Администратор
  • Общительный человек
  • ******
  • Сообщений: 1 682
  • Карма: 31
  • Пол: Мужской
  • Ubuntu, Debian, Fedora
    • CSM Wiki
Re: Skype через Squid
« Ответ #1 : 13 Октября 2016, 17:28:23 »
Для проверки сделал так:
http_access allow CONNECT all
ssl_bump none all

Скайп заработал, на при этом и шифрованный трафик теперь не фильтруется. Пробовал исключить только скайп из подмены сертификатов по юзерагенту и адресам его серверов:
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
acl Skype_UA browser ^skype
acl skype_dom dstdomain .skype.com .microsoft.com .live.com .bing.com
ssl_bump none skype_dom
ssl_bump none numeric_IPs
ssl_bump none Skype_UA

Не помогло. В логах видно, что скайп ломится куда-то на безымянные IP, на домен МС и ещё какие-то. Юзер-агент тоже может не соответствовать.  :-(

Оффлайн supernix

  • Новичок
  • *
  • Сообщений: 13
  • Карма: 0
  • Debian,Ubuntu,cyanogenmod
Re: Skype через Squid
« Ответ #2 : 17 Октября 2016, 22:29:53 »
бампить только нужные домены первого уровня, остальное не бампить

Оффлайн slux

  • Game Developer
  • Администратор
  • Общительный человек
  • ******
  • Сообщений: 1 682
  • Карма: 31
  • Пол: Мужской
  • Ubuntu, Debian, Fedora
    • CSM Wiki
Re: Skype через Squid
« Ответ #3 : 18 Октября 2016, 11:25:08 »
supernix, боюсь, что это не вариант. Надо, чтобы фильтровалось всё, что возможно. Сейчас так и сделано, но есть эта проблема со скайпом.