Firewall-Problem mit Skype?

[matman]

Hallo,

ich habe mir vor etwa 2 Wochen Skype-Beta installiert. Was mir gleich von Anfang an komisch vorkam, war die sehr lange Zeit, die ich zum einloggen benötige. Ansonsten schien aber alles zu funktionieren. Ich habe allerdings noch kaum Skype-Kontakte um mal nachzufragen, ob ich in bei denen in der Skype-Anzeige tagsüber immer online bin. Gestern erzählte mir dann meine Frau, das ich angeblich offline gewesen sein soll und mich gerade on gemeldet hatte, dabei war ich schon seit Stunden online. Nun sitzt allerdings meine Frau hinter mir und ihr Rechner hängt am selben Router wie meiner. Ich weiss jetzt gar nicht, wie die Skype-Programme kommunizieren, also ob in so einem Fall eine Verbindung über den Router läuft, oder geht es immer über den Skype-Server? Aber wenn es immer über den Skype-Server läuft, dann müssten mich andere Leute ja auch als offline gesehen haben, obwohl ich online war. Hoffe mal, das war soweit verständlich.

Nun zur eigentlichen Frage: Ich habe in der Firewall (iptables) auf meinem PC die Ports für http und https geöffnet. Aber trotzdem finde ich in der Logdatei direkt nach der Einwahl zu Skype etliche OUTPUT DROP Einträge mit verschiedenen IP-Adressen für DST und diversen Ports für DPT. Kann man da irgendwas machen, damit die Sache flüssig und ohne DROP`s abläuft?

Ich könnte mir wohl die Mühe machen und eine Whitelist für alle Ports machen, die Skype so durchtestet. Aber wer weiss wie lange das dauert. Kennt jemand vielleicht eine effektivere Lösung?

[Blackbox]

Vielleicht hilft dir dieser Artikel weiter ?

[Ellison]

http://forum.skype.com/index.php?showtopic=568571
und so weiter, und so fort.

Die aktuelle .81 Version hat extrem viele Macken, ich kenne dein Problem ebenfalls, geholfen hat mir nur ein Downgrade auf die Vorgängerversion. Solltest du einen x86 nutzen, hier wirst du fündig:
http://download.skype.com/linux/skype-d ... 1_i386.deb

[feldmaus]

Dies ist zwar ein relativ alter Thread, doch will ich meine Idee/Lösung hier präsentieren. Eventuell geht es auch nicht.

A) Also wie in diesem Link Artikel (gepostet von Blackbox) zu sehen ist, baut Client1 mit skype eine Verbindung zu einem Skype Server im Internet auf. Genau das gleiche tut Client2 auch. Nun muss per iptables Regel festgestellt werden das eine ESTABLISHED,RELATED Verbindung zwischen Client1 über einen Skype-Server mit Client2 besteht. Denn eigentlich besteht beim normalen Text-Chat ja nur eine Verbindung zum Skype-Server. Nur bei Telefonaten wird eine direkte Verbindung aufgebaut. Eventuell muss in den Paketen nach dem String "skype" gesucht werden. Und dann irgendwie weiter untersucht werden, auf die endgültige Empfänger-IP-Adresse. Diese wird dann in eine Whitelist geschrieben, die Daten für eine gewisse Zeit vorhält.

B) Eine weitere iptables Regel sorgt dafür, dass der Rechner mit der IP-Adresse die in der Whitelist steht eine direkte Verbindung über FORWARD oder INPUT aufbauen darf.

So viel zur Theorie. Vielleicht fällt dem einen oder anderen eine praktische Umsetzung ein, mir zur Zeit zumindest nicht.

Grüße Markus

[feldmaus]

So ich weiß nicht ob ich die Zeit und Lust habe hierfür eine Lösung auszuarbeiten, doch ich schaue mir gerade die RFC 791 an und habe mit wireshark zwei Datenstreams von einem Test-Anruf beim skype Server aufgenommen.
skype-dump-1.dat
skype-dump-2.dat

RFC 791

Schön wäre wenn der eine oder ander mit mir diese Kommunikation aufschlüsseln könnte, damit man einen Weg findet diese Kommunikation Ding fest zu machen.

Die oben genannten Daten werden wahrscheinlich zur Analyse nicht ausreichen. Hier noch ein paar gute Links:
Salman A. Baset, Henning Schulzrinne: An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol
Skype in wikipedia

Grüße Markus