pregunta de iptables +dar accesos directos

Lun Oct 20 11:01:21 CLST 2008

Rodolfo Alcazar Portillo <rodolfo.alcazar en padep.org.bo> wrote:
> Am Mittwoch, den 15.10.2008, 11:32 -0400 schrieb Rodrigo Fuentealba:
> > El dÃa 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo
> > <rodolfo.alcazar en padep.org.bo> escribiÃ³:
> > > iptables -P INPUT DROP
> > > iptables -PF ORWARD DROP
> > Antes de que el doc von Brand alegue: usa REJECT!!!

> Jiji, ya alegamos alguna vez, soy de los que prefieren DROP,

Como ya dije, es un crimen usar DROP en forma indiscriminada.

>                                                              para evitar
> detecciones,

Que se "no detecta" con eso? nmap feliz de la vida te dice que se esta
botando el trafico, con lo que claramente /algo/ hay.

>              trÃ¡fico innecesario,

*Aumenta* el trafico innecesario, por retransmisiones &c.

>                                   paquetes que te joden la vida

Para eso, creo que lo recomendable es un buen psicologo (u orientacion
profesional para ubicar alguna ocupacion menos estresante, en casos
recalcitrantes).

>                                                                 incluso
> haciendo tethereal/tcpdump.

Mira los manuales, hay maneras bastante simples de filtrar el trafico que
no te interesa...

[...]

> > > Eso es normal, en ciertos proveedores: se les satura el router ADSL del
> > > barrio, y empiezan a descartar paquetes.

Como que no les queda otra en tal caso, no?

> > >                                          Algunos optan por  descartar
> > > paquetes de determinada MAC.

Generalmente se le llama "traffic shaping" (si, contrataste un cierto ancho
de banda; si hay disponible capaz que te den la opcion de usar mas, si
no...)

[...]

> Lo que me dijo mi proveedor es que los switches ADSL que usan son los
> que realizan tal operaciÃ³n. La verdad es que si un router tiene que
> empezar a descartar paquetes, habrÃ¡ que tomar una decisiÃ³n: o descartas
> uno de cada usuario, con lo que fundes a todos, o fundes a un solo
> usuario, por unos segundos, para evitar excesivas fuentes. Creo que yo
> optarÃ© por lo Ãºltimo cuando cree mi lÃnea de routers adsl, jaja...

Mejor estudia manejo de congestion en redes, particularmente como lo hace
TCP. Lo que se usa hoy es RED y/o ECN, que /no/ es tu mecanismo simplista
(que solo llevaria a mucho peor desempen~o).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513