昨天发生的事情，已经过去一天了，现在已经平静了，道行还是不够，小小一件事就搞得心寸大乱，真得学一学《功夫熊猫》上面的小老鼠师傅，练习一下“内心的平静”，只当是以后多自主一些吧，不要太感情用事，人说，能够把握住不要感情用事，就又成熟了又大截，性情比较丰富的人，理智处事，是要难度大一些，单纯而又重感情，在这个社会，真的未必是一件好事。

提到这一点，又提一下公司里面的事，今天到公司上班，就听研发总监说，又有一个老程序员要辞职了，虽然这是一件很平常不过的，双方自愿的事，但在心里面，还是有着深深的失落；唉，怎么说呢，这个程序员的成长是有着我们太多的辛苦栽培的，当时初出校门，时至今日已经算是一个业界高手，现在要走，不管为何原因，虽然于情于理，都应该井然接受，不管如何，还是觉得突然之间，这样的境况，出现得还是难以接受；这里不提太多，仅作记载，言归正文，SKYPE！！这里讲一个案例：上网环境，ccproxy，局域网内上网用户，只有少部分是不限制的，其余的，要么是没有上网权限，要么是限制部分网站，要么是限制部分资源，或者是综合起来限制，但对于skype的限制，却是一个比较麻烦的事情。

这里讲了一个ISA限制和允许skype的例子：skype使用非公开的私用协议，并采用P2P模式，这使得允许与限制都相当麻烦。

它登录时首先使用UDP，不行再使用TCP随机端口，还不行就使用HTTP和HTTPS（即TCP80和443端口）。

有人称之为“网管杀手”，的确如此。

一、测试其使用的端口1、只开放HTTP协议到外部结果：有时可以正常登录，通话音质不太好，但大多时候都不能正常工作。

2、只开放HTTPS协议到外部结果：可以正常登录，也可以正常拨打普通电话，通话音质不太好3、新建一个协议，暂命名为skype，端口为UDP925发送接收，只开放此协议到外部，skype中指定使用端口925结果：刚开始无法登录，且显示所在区域为美国。

后来有时能登录，有时则不能。

不稳定二、测试其登录时使用的服务器IP因为其使用随机的TCP端口，且还可以使用TCP80和443，所以在无法限制内网用户只浏览指定网站的情况下，尝试通过限制其登录服务器IP来限制其使用。

在网上搜得其登录服务器的7个IP：66.235.180.9:33033 sls-cb10p6.dca2.superb.net66.235.181.9:33033 ip9.181.susc.suscom.net80.161.91.25:33033 0x50a15b19.boanxx15.adsl-dhcp.tele.dk80.160.91.12:33033 0x50a15b0c.albnxx9.adsl-dhcp.tele.dk64.246.49.60:33033 rs-64-246-49-60.ev1.net64.246.49.61:33033 rs-64-246-49-61.ev1.net64.246.48.23:33033 ns2.ev1.net在ISA中新建一个计算机集，将这些IP加进去，暂命名为“skype服务器集”。

开放所有出站到“skype服务器集”结果：无法登录，且显示所在区域为美国。

这说明这些服务器IP不对后通过ISA的日志，找到如下IP：130.111.151.56130.13.162.207145.94.38.175147.156.30.202163.26.224.60190.78.215.222201.192.84.58203.175.26.165210.159.184.155213.103.205.231222.188.139.23224.208.192.5141.201.182.641.243.119.5660.56.66.20460.56.66.20467.184.82.13268.225.209.1368.34.121.8569.217.50.19270.135.126.5974.195.28.9175.18.113.6075.37.131.14676.110.250.4076.111.84.22982.131.80.4884.101.139.5684.102.164.19284.223.160.11185.139.185.9385.224.56.23986.136.102.16586.7.66.7087.3.88.10198.226.114.199太多了！可能还有许多，看来想通过限制登录服务器IP的方法太麻烦，不现实。

三、结论估计skype是使用HTTPS协议进行登录验证通话时skype尝试使用随机的UDP1024以上端口与外界通信，不行就尝试随机的TCP1024以上端口，还不行就使用TCP443端口，较后使用TCP80端口。

当然这样会导致音质下降。

四、解决方法要求：只允许访问某些指定网站，禁skype方法：只允许HTTP、HTTPS协议，目标为指定的域名集。

自然skype也无法访问，这实际上还是通过限制服务器IP来限制skype的登录，从而使其无法使用。

要求：允许访问所有网站，但要禁skype方法：这个比较难，可以这样试：（1）较早种方法：允许HTTP、HTTPS协议，目标为外部，但对用户进行限制，即删掉所有用户，添加允许的内网用户（需域支持），同时内网客户端不要安装firewall客户端软件，并在ISA上关闭WEB代理和socks4代理。

这是利用skype无法提供用户验证的特性。

（2）第二种方法：使用sniffer，找到skype的签名，使用HTTP过滤进行阻止这两种方法只是思路，未实际验证过。

要求：只允许skype方法：在ISA中新建一个协议，命名为skype，端口为UDP925发送接收。

只允许此协议和HTTPS协议到外部，skype中指定使用端口925。

这样就要开放HTTPS协议，有点遗憾，但只使用HTTPS协议的网站毕竟少；上述所说的那些，在ISA中可以操作的，在ccproxy中，基本也可以操作，只不过今天限于时间，没有及时测试，暂时收藏记录；上述内容源自：http://hi.baidu.com/goldant518/blog/item/f3190c951ce5650c7bf480a6.html另外，在搜索过程中，发现了一些电信运营商在封skype的一些言论，我用的是网通线路，一般也很少用skype，因此，倒是没有遇到过这类现象；