pregunta de iptables +dar accesos directos

Horst H. von Brand vonbrand en inf.utfsm.cl
Lun Oct 20 11:01:21 CLST 2008


Rodolfo Alcazar Portillo <rodolfo.alcazar en padep.org.bo> wrote:
> Am Mittwoch, den 15.10.2008, 11:32 -0400 schrieb Rodrigo Fuentealba:
> > El día 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo
> > <rodolfo.alcazar en padep.org.bo> escribió:
> > > iptables -P INPUT DROP
> > > iptables -PF ORWARD DROP
> > Antes de que el doc von Brand alegue: usa REJECT!!!

> Jiji, ya alegamos alguna vez, soy de los que prefieren DROP,

Como ya dije, es un crimen usar DROP en forma indiscriminada.

>                                                              para evitar
> detecciones,

Que se "no detecta" con eso? nmap feliz de la vida te dice que se esta
botando el trafico, con lo que claramente /algo/ hay.

>              tráfico innecesario,

*Aumenta* el trafico innecesario, por retransmisiones &c.

>                                   paquetes que te joden la vida

Para eso, creo que lo recomendable es un buen psicologo (u orientacion
profesional para ubicar alguna ocupacion menos estresante, en casos
recalcitrantes).

>                                                                 incluso
> haciendo tethereal/tcpdump.

Mira los manuales, hay maneras bastante simples de filtrar el trafico que
no te interesa...

[...]

> > > Eso es normal, en ciertos proveedores: se les satura el router ADSL del
> > > barrio, y empiezan a descartar paquetes.

Como que no les queda otra en tal caso, no?

> > >                                          Algunos optan por  descartar
> > > paquetes de determinada MAC.

Generalmente se le llama "traffic shaping" (si, contrataste un cierto ancho
de banda; si hay disponible capaz que te den la opcion de usar mas, si
no...)

[...]

> Lo que me dijo mi proveedor es que los switches ADSL que usan son los
> que realizan tal operación. La verdad es que si un router tiene que
> empezar a descartar paquetes, habrá que tomar una decisión: o descartas
> uno de cada usuario, con lo que fundes a todos, o fundes a un solo
> usuario, por unos segundos, para evitar excesivas fuentes. Creo que yo
> optaré por lo último cuando cree mi línea de routers adsl, jaja...

Mejor estudia manejo de congestion en redes, particularmente como lo hace
TCP. Lo que se usa hoy es RED y/o ECN, que /no/ es tu mecanismo simplista
(que solo llevaria a mucho peor desempen~o).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux