[Berlin-wireless] Skype...

Sven-Ola Tücke sven-ola
Sa Feb 13 23:06:35 CET 2010 

Hey,

so - jetzt hab' ich es soweit hin. Das ist ja ein hartnaeckiges Programm :( 
Zur Erinnerung: Skype ist ein Filesharing-Programm mit dem man Telefonieren 
kann. Dazu macht es jede Menge Verbindungen auf und wird (wenn der Benutzer 
Pech hat) durch mein "Zapp" Skript gestoppt. BogoPoints > 150 in der Start- 
und Telefonierphase sind jedenfalls nicht selten. 

Das Programm erinnert eher an eine AdWare oder SpyWare. Es macht z.B. den 
(Windows) Firewall auf wenn es kann. Es kuemmert sich nur marginal um die 
Netzwerk-Einstellung "Proxy". Kein Wunder, dass Normalbenutzer damit prima 
klarkommen: sie koennen ja praktisch nix verfummeln. 

Dennis hat recht: mit einem Proxy waere es besser. Das Experiment mit der 
Skype-API fuehrte auch zu nix. Leider tut die Skype-Proxy-Einstellung gar 
nichts (oder jedenfalls fast nichts), da Skype wohl zu der Auffassung gelangt 
"direkt ist besser" und -glaube ich- in jedem Fall noch prueft ob die aktuelle 
Instanz nicht vielleicht doch als "SuperNode" zu gebrauchen ist.

*** Und so geht es (Windows Skype4+ Client only):

1) "srelay" auf dem Gateway einrichten (fuer Kamikaze/Ubuntu muss man es 
im "make menuconfig" einschalten, fuer die Freifunk-FW liefer ich noch eins 
nach). Das ist ein SOCKS4/5 Proxy. Dabei in /etc/srelay.conf zulaessige Quell-
IP-Adressen hinzufuegen.

2) Unter Windows dann die beigefuegte Registry-Datei anpassen (IP des Socks-
Proxy) und als Admin importieren. Das sind ein paar Keys fuer die Windows-
Benutzer-Gaengelei (aka "Policies"). Eigentlich gedacht fuer Firmen-Rechner.

*** Linux Notbehelf fuer Skype2Beta

Es gibt offenbar fuer Linux keinen ordentlichen Firewall fuer einzelne 
Applikationen. Man koennte iptables-rules basierend auf der "strace"-Ausgabe 
machen. Brr. Aber es gibt "apparmor" (unter Ubuntu) mit dem man Skype zaehmen 
kann:

1) Die angehaengte Datei "usr.bin.skype" nach /etc/apparmor.d/ kopieren.

2) "sudo aa-enforce skype" aufrufen. Jetzt kann Skype kein UDP mehr. Besser 
geht es nicht, da apparmor nur nach Protokolltyp filtern kann.

3) Das Linux-Skype als normaler Benutzer starten. Da keine UDP-Verbindungen 
mehr moeglich sind, faellt Skype auf TCP-only zurueck. Und das sind ~ max 10 
connections bzw. ~2 in Standby. Leider funktioniert der SOCKS-Proxy damit gar 
nicht mehr. Keine Ahnung warum, SOCKS ist TCP.

Wenn irgendwas in Skype jetzt nicht mehr funktioniert (z.B. kein Sound) dann 
fehlt irgend ein Datei-Zugriffsrecht. In dem Fall dann "sudo aa-complain skype" 
aufrufen. Nun skype einmal ausfuehren. Dann "sudo aa-logprof skype" um 
verbotene Systemaufrufe zu erlauben (Taste A druecken) oder zu verbieten 
(Taste D). Die Regel wird allgemeiner (Wildcards hinzufuegen) mit Taste G. Zum 
Schluss Taste S zum speichern. "aa-enforce skype" um das Gefaengnis wieder 
einzuschalten.

Das ganze muss jetzt noch in eine allgemeinverstaendliche Programmlogik 
natuerlich. Irgend eine Webseite mit Erlaeuterungen und Downloads, ein ipk zum 
Installieren. Das dauert noch...

Und hier noch ein paar Jammerzeilen:

* Das Linux-Skype aus dem Mediubuntu laeuft nicht. Bei Anruf Absturz 
(Ubuntu/Karmic). Es muss schon die (neuere) Staticlink-Version sein.

* Die Windowsversion stuerzt unter Virtualbox ab (jedenfalls ab+zu). Wird 
einer dieser wuesten "Anti-Dekompilier-Tricks" sein. Kenn' ich schon von 
diversen Hardware-Dongle-Treibern...

* Habe kein Windows-auf-Hardware: Also VMWare. Da VMWare>3 auf meinem 
Centrino-Laptop nicht laeuft muss es VmWare2.5 sein. Die wiederum installiert 
sich nicht korrekt, sondern man muss das Treiberkompilieren mit parallel 
laufenden "while true; do killall -9 vmware-modconfig-console; sleep 1" 
verhindern und das dann manuell nachholen (vmware-modconfig --console --
install-all). Zur Belonung laeuft Skype-4 dann unter VmWare wenigstens.

Mein naechstes Notebook wird ein 4-Kern-ARM. Dann kann mir keiner so einen 
Bloedsinn andrehen: Skype, VMWare, Acrobat, Flash. Alles Mist und macht *nur 
Aerger*.

// Sven-Ola
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : Skype-via-Proxy.reg
Dateityp    : text/x-ms-regedit
Dateigröße  : 662 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20100213/2c7cce7e/attachment.bin>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : usr.bin.skype
Dateityp    : application/x-skype
Dateigröße  : 1137 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20100213/2c7cce7e/attachment-0001.bin>

Mehr Informationen über die Mailingliste Berlin