Názory k článku Čínský alternativní klient pro Skype
-
Creckx (neregistrovaný)S internetovou telefonií to bude špatný dokud tu bude strašit stařičký IPv4 protokol. Nebýt toho tak nikdo nemusí vymýšlet nějaké supernody a prolejzačky přes NAT. Skype jinak nepoužívám, nebudu a alternativní klient na tom nic nezmění. Supernody jsou hnus, zvlášť, když se k tomu někdo "nutí". Lepší řešení vidím v telefonování v Jabber sítích. Jelikož je Jabber decentralizovaná síť tak by Jabber servery měly být schopné obsloužit svoje usery za natem.
-
i když s tebou souhlasim, tak si nedovedu představit, že bych v naší firmě zrušil NAT a vystavil skoro všechny počítače s windowsama přímo. myslim, že by to celá firma nerozdejchala... až bude jednou IPv6 tak rozhodně routery zůstanou. Jak jinak bych měl kontrolu nad tím co se na síti děje? trochu se děsim doby, kdy každej BFU doma bude ze svýho počítače dělat bůhvíjakej superserver...
Ale co se týče komunikace VoIP, tak to určitě přínos bude. -
J (neregistrovaný)Pokud ten NAT neplni zaroven funkcni FW nebo je blbe nastaven, tak velmi snadno.
Staci na nej dorucit paket, jehoz adresat bude v privatni siti a odesilatel v te verejne. Router ja znamo nerozlisuje => paket vesele doruci. Adresatovi je to take jedno a odpoved doruci zcela zpravne na svoji defaultni GW, tady nastava mensi, ovsem snadno osetritelny problem - puvodnimu odesilateli dorazi odpoved ne od privatniho adresata, ale od verejne IP NATu. Pokud s tim ale pocitam, neni zadny problem v komunikaci vesele pokracovat dale. Respektive prave si mi podarilo navazat pripojeni => je zaznam v NAT tabulce => dalsi komunikaci vedu uz na sdeleny port a verejnou IP.
Podobne muzu vesele zjistovat organizaci vnitrni site a spoustu dalsich uzitecnych informaci. Takze NAT neni co se zabezpeceni tyce vubec knicemu. -
CIJOML (neregistrovaný)Asi nejlepsi reseni je:
#*******************************
#Nastavime default politiku na DROP
#*******************************
"$IPTABLES" -P INPUT DROP
"$IPTABLES" -P FORWARD DROP
"$IPTABLES" -P OUTPUT DROP
########################
#povolena odpoved na vse, co se na server dostalo
"$IPTABLES" -A OUTPUT -j ACCEPT
########################
#**************************
#GLOBALNI
#**************************
#Jsou vsechny nove pakety syn?
"$IPTABLES" -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
#Nemam rad fragmenty paketu
"$IPTABLES" -A FORWARD -f -j REJECT
#CLIENT
CLNTMAC="00:60:B3:xx:xx:xx"
CLNTIP="45.3"
"$IPTABLES" -A FORWARD -m mac --mac-source "$CLNTMAC" -s "$CELANET"."$CLNTIP" -m state --state NEW -j ACCEPT
"$IPTABLES" -A FORWARD -m state --state ESTABLISHED,RELATED -s "$CELANET"."$CLNTIP" -j ACCEPT
"$IPTABLES" -A FORWARD -m state --state ESTABLISHED,RELATED -d "$CELANET"."$CLNTIP" -j ACCEPT
"$IPTABLES" -t nat -A POSTROUTING -o "$ADAPTER" -s "$CELANET"."$CLNTIP" -j SNAT --to "$VENKIPSERVER" -
abyssal (neregistrovaný)Z principu potrebujete urcitu spolupracu oboch stran, ale zavisi ktora vam vyhovuje najlepsie, moznosti:
1. mate ssh ucet na unixovom stroji s verejnou IP
Z pocitacu vo vnutri siete, ku ktoremu sa chcete pripojit, pustite
ssh -R 1234:localhost:22 username_na_verejnom_stroji@stroj_s_verejnou_ip
(predpokladam, ze vam bezi ssh na porte 22)
Ked sa potom zvonka prihlasite na ten stroj s verejnou IP zvonka, date
ssh -p 1234 username_na_privatnom_stroji@localhost
(ono je dost mozne, ze to zarve, ze sa zmenil ssh kluc ak je kluc localhostu v ~/.ssh/known_keys[2], v tom pripade ho treba zmazat)
Ak sa chcete pripojit k pocitacu v privatnej sieti bez nutnosti najprv sa prihlasit k pocitacu s verejnou IP, pridajte do toho command-line -N, tak bude port forwardovany pre vsetkych, co sa k nemu pripoja, na pripojenie zvonka ku stroju vnutri date z lubovolneho stroja:
ssh -p 1234 username_na_privatnom_stroji@stroj_s_verejnou_ip
(tu to urcite zarve, ze sa zmenil kluc)
Este sa moze stat, ze tunel po case vyhnije (spadne), takze na tom stroji s privatnou IP je dobre si dat do cronu test, ci existuje PID toho ssh procesu vytvarajuceho tunel, ak neexistuje, treba ho znova spustit (v mojom pripade nepomohlo ani ked som pouzival keep-alive pakety, so znovaotvaranim tunela to islo super).
2. UDP hole punching
Pred par tyzdnami tu vysiel clanok "Prelez, preskoc a podlez NAT", pozrite sa tam, ale je to IMHO pracnejsie ako najst si shell na stroji s verejnou IP (ak zagooglite, najdete sluzby, co to ponukaju zadarmo). -
abyssal (neregistrovaný)Naposledy som to skusal hladat asi pred rokom. Pamatam si, ze to dalo celkom zabrat, bolo treba vyskusat viacero sluzieb (problemy s preplnenostou, nefunkcnostou, atd), skuste nejak nahodne vyberat z tohoto zoznamu (http://www.ductape.net/~mitja/freeunix.shtml), tusim tak som to robil ja. Inak tento vyzera celkom dobre: http://www.rootshell.be/. Bohuzial si uz nepamatam, ktory som si vybral, jedine mam vo fotografickej pamati jak vyzerala stranka ;-)
-
M (neregistrovaný)Prozatim nevim o tom ze by nejaky operator v siti Jabber tuto sluzbu nabizel, ale jde to samozdrejme. Fungovalo by to uplne stejne jako v jabberu funguji dnesni transporty do siti ICQ, MSN, YahooIM, atd... Obrovskou, ba primo kolosalni, vyhodou vsak je to, ze v jabberu tento transport takovy transport do "normalnich" telefonnich siti muze provozovat vice subjektu a vzajemne si konkurovat ... stejne tak je mozne mit jabber ucet spolecny s email uctem treba na gmail.com (doufam ze casem to zavede i seznam.cz, ktery se googlem rad nechava inspirovat :-) ... v tomto pripade bych to jen uvital) a s timto uctem si muzete zaregistrovat transporty mimo tento server, tudiz neexsituji snad zadna omezeni konkurencniho prostredi ... skoda, velka skoda je, ze si tyto vyhody neuvedomuji sami spotrebitele, a nevyzaduji je - to ma za nasledek bohuzel to, ze do otevrenych siti se firmy nehrnou, radeji zbastli uzavreny konkurencivzdorny protokol a budoucnost svych prijmu si pojisti skutecnosti ze konkurenci nebudou muset ve "sve siti" nikdy resit.
-
VS (neregistrovaný)Můžete použít JabPhone (https://www.jabphone.com/), funguje pro Google Talk a kompatibilní. Je to z USA, takže ceny do USA, Kanady a pod. jsou výborné, ČR je proti místním službám na SIP dražší. Po registraci Vám dají 30 usc na testy. SMS jsem zkoušel jen do ČR, fungovala, jen cena je na ČR moc drahá (20 centů), zřejmě proto, že SMS vůbec jsou v USA málo používané a dost drahé. Když jsem po spuštění služby zkoušel telefonovat, kvalita byla dobrá.
-
vhor (neregistrovaný)Stanice si většinou svou IPv6 adresu složí z prefixu (sítě) a z MAC adresy své ethernetové karty. MAC adresa pak tvoří součást IPv6 adresy např. mého notebooku bez ohledu na to, do které sítě na světě se připojím. Takže by mě teoreticky mohlo být možné podle toho identifikovat a zaznamenávat, jak se pohybuji, to máte pravdu.
Na druhou stranu autoři s tímhle počítali a každá stanice má možnost si ke své "hlavní" ipv6 adrese odvozené od MAC adresy vygenerovat ještě jednu, ve které MAC uvedená není. A tuhle adresu může používat pro spojení, které iniciuje sama (např. http, smtp, pop...). Druhá strana pak může zjistit síť, ale už ne který počítač v síti to je a nevidí ani jeho MAC adresu. To mi přijde jako ekvivalent toho, když je ipv4 počítač schovaný za adresou NATu.
Třeba i WinXP tohle implementované mají a myslím, že tu anonymní adresu navíc ještě po 24 hodinách mění.
Kromě toho stanice samozřejmě přijímá spojení zvenčí na svou hlavní ipv6 adresu (ať odvozenou od MAC nebo nastavenou adminem), např. ty voip hovory = jasná výhoda vůči ipv4 NATu. -
CIJOML (neregistrovaný)Autor asi nehledal, protoze cela dosud probadana cast protokolu i s popisem cracknuti zabezpeceni binarky je uz davno zverejnena:
http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-biondi/bh-eu-06-biondi-up.pdf -
Teda nevim jak vy, ale pokud bude cinsky klient taky binarka (a ne opensource), tak bych ho rozhodne neinstaloval. Spolehlive v nem bude nejaka funkce pro odposlouchavani. Ne ze by v tom oficialnim byt nemohla, ale prece jen se radsi necham odposlouchavat eBay nez Cinou - hlavne proto, ze eBay IMHO nema kapacity odposlouchavat opravdu vsechno :-).
-
Ony existuji nejake hardwarove Skype-telefony? Podivejte se jeste jednou a poradne - vsechny komunikuji se Skype, bezicim na pripojenem pocitaci. O autonomnich Skype-telefonech nevim.
Nicmene i kdyby byly, neni problem licencovat technologii Skype jen za podminek, kdyz se zavazou prevzit jakykoliv update... -
j (neregistrovaný)Problem je, ze ty telefony s implementovanym Skype vazne existuji. A necekam ze jejich aktualizace bude trivialni. => pokud jich bylo prodano mnoztvi vetsi nez male, je jakakoli zmena protokolu nemozna. Zkratka konecne je nekdo donuti zaplatit za to, ze vyuzivaji HW a linky ucastniku site ke svemu zisku. Za nejaky obulus(trebas ve forme provolatelneho kreditu) jim to zajiste necha pusteno dost lidi.
-
JD (neregistrovaný)Tak jednoduchy to neni. Pokud je to placeny hovor, tak to jde pres branu skype s verejnou IP a zadny upernode nepotrebuje. Obecne je supernode zapotrebi ve 2 pripadech.
1) NAT <-> NAT bezplatny hovor (nejcastejsi pripad)
2) IP adresa brany zakazana nekde cestou na firewalu (ridke) -
Ctirad (neregistrovaný)Můžete uvést nějaký link na ty HW telefony pro skype? Všechno, co jsem zatím viděl já bylo:
a) USB/bluetooth zvukovka ve tvaru telefonu, která potřebuje být připojená k windows s nainstalovaným skype
b) PDA s windows CE s nainstalovaným skype ve tvaru telefonu (a to jsem ještě navíc neviděl ani prodávat, jenom jako zajímavost na nějakém webu). -
Peter Golis (neregistrovaný)ATS Interphone 707-i
http://itnews.sk/buxus_dev/generate_page.php?page_id=39765
ale na co to komu bude? -
Peter Golis (neregistrovaný)_Oficialne_ dostupny skype klient je ponukany pre Mac OS X, GNU/Linux a OS Windows (x86 a ce).
Silne pochybujem ze vyrobca danych hardware nezasponzoroval portovanie skype, ved tym sposobom sa daju usetrit nemale prostriedky za hardware co v konecnom dosledku znamena nizsiu cenu (a vecsi obrat) i ked za cenu rizika nedostatocnej skalovatelnosti. Ae mozne to je, ked berieme co vsetko zvladnu windows (mobile/ce) a ake maju naroky. Staci ked sa zoberieme smartphone s WIFI modulom (bez GSM modulu), samozrejme s dostatocnym vypoctovym vykonom a zakazeme uzivatelsku instalaciu software. Tym sa z smartphone stane jednoucelovy telefon. Akurat si neviem predstavit obchodny model zalozeny na takto sprostej filozofii.
no, mozno sa vsak mylim. -
Ctirad (neregistrovaný)Ona je otázka, jestli skype vůbec stojí o to, někomu dávat (i když třeba pod NDA) dokumentci od protokolů a kodeku, aby si mohl udělat implementaci pro svůj HW. Kdyby tomu tak bylo, tak už by takových zařízení byly na trhu mraky jako u SIPu. Namísto toho je tu nějaké PDA s CE ve tvaru telefonu (a popravdě nečekám, že tam bude něco jiného, než standardní Skype pro WinCE/ARM) a mraky "utržených sluchátek" na USB. Je dost možné, že se to chystají vyrábět sami a nestojí o to, aby to v číně dělali taky a za zlomek ceny.
-
Peter Golis (neregistrovaný)ono je otazne ci vobec stoji za to si dat portovat (aj ked s plnou dokumentaciou pouziteho hardware interface) program od dodavatela ktory dokazatelne plytva prenosovym pasmom. keby tomu tak bolo, tak je ovela menej vytazeny internet a uvolnene pasmo sa moze pouzit na distribuciu cialisu. namiesto toho je tu nejaky telefon o ktorom sa nevie co v nom bezi (popravde necakam ze by bol vyrobca debyl a degradoval smartphone na uroven obycajneho telefonu) a napriklad aj skype to pbx gateway a ine pc-less produkty. je urcite ze sa to uz davno predava a okrem ineho aj ine modely, napriklad BCM WLAN800 WiFi Skype Phone. ci to bude vyrabat cina alebo severne irsko zavisi od cenovej politiky a samozrejme objednavatela.
-
Ale mozna, mozna... Tato diskuse ale zacala uvahou, zda v techto "Skype zarizenich" bezi HW , nebo HW-specificka implementace protokolu Skype, nebo nejaka verze oficialniho Skype. A ze vseho co vim to vypada, ze je to b) - tedy nejaka forma pocitace s prislusnou verzi Skype.
Skype opravdu zaklada velkou cast uspechu sve site na ne zcela dobrovolnem sdileni pasma vsemi uzivateli - a jak se z one analyzy tech prasaren, co dela jejich binarka - vcetne mateni na urovni prenosu - zda, nema SKype zrovna zajem na nejakych jinych nez jejich vlastnich implementacich. -
Peter Golis (neregistrovaný)otazne je naco to komu bude, ale to uz je flame :-)
inac zaujimalo by ma kde sa daju zohnat informacie o danom hw telefone z ktorych sa da dedukovat ze tam bezi win (ce/x86), google mlci.
inac ked sme pri tom, ak cinania prelomili protokol a maju kapacity, tak nech to kludne vyrabaju. aspon si uvedomime preco je cenovy rozdiel medzi smartphone a mobilnym telefonom.
ps: ten druhy model co som uviedol trpi toto (ce) uchylkou. -
anonymníOn v tom PDF linkovanem nahore je postup, jak blokovat Skype traffic (str. 93)
Ale priznam se, ze bych ho potreboval prelozit do lidstejsi reci :-)
tedy te UDP - iptables casti rozumim, ale dal netusim, jak toto konkretne provest:
from ipqueue import *; from struct import pack, unpack
atd... -
Hodza (neregistrovaný)Mel jsem za to, ze Skype umi blokovat i "hloupe" l7-filtry... (netestovano)
http://l7-filter.sourceforge.net/ -
misch (neregistrovaný)Já tomu nějak nerozumím. To, že přestanou fungovat supernodes, má přece vliv jen na ty klienty, kteří spolu nemohou komunikovat přímo, ne? Takže jakýpak "kolaps celého Skype", jak stojí v článku?
Nebo jsou supernody nutné i k něčemu jinému než ke směrování hovorů které neprojdou přes NAT nebo firewall?
-
BobTheBuilder (neregistrovaný)To sice jo, ale zase - když mám domácí síť, tak si obvykle můžu nastavit fixní vnitřní IP adresu (v routerech to DHCP servery umožňují) a tamtéž si nastavit mapování nějakého poortu (po instalaci Skype dokonce nějaký vybere), pak žádný supernode nepotřebuju. Ale tohle neplatí samozřejmě u větších nebo firemních sítí, pro ředu lidí je to zase nereálně složité - jsou zkrátka jen uživatelé.
ČLÁNKY DO MAILU