iptables y control
Victor Hernandez M.
vhernandez en munistgo.cl
Mar Dic 21 16:30:38 CLST 2010
Untangle igual deja pasar el trafico p2p, probado con uTorrent, si bien es
capaz de
detectarlo (LOGS) no lo bloquea en su totalidad.
Saludos.
----- Original Message -----
From: "Javier Garay" <javierzgaray en gmail.com>
To: "Discusion de Linux en Castellano" <linux en listas.inf.utfsm.cl>
Sent: Tuesday, December 21, 2010 3:26 PM
Subject: Re: iptables y control
Te recomiendo usar debian 5.0.6 y compilar el núcleo 2.6.30 con los
siguientes modulos:
netfilter-layer7
l7-protocols
iptables-1.4.5
Hay muchas guías de como compilar el nucleo de linux e incluir los
módulos que gustes y con layer7 bloqueas todo. Por otro lado si
quieres dar prioridades al tráfico, puedes utilizar disciplinas de
colas para manejar tu tráfico (lartc.org). Es una manera muy compleja
de hacerlo, pero funciona de lujo.
Otra manera mucho más fácil es que pruebes con distribuciones hechas
para ese tipo de tareas como pfsense, untangle o ipcop, entre otras.
Saludos.
El día 21 de diciembre de 2010 14:40, Andrew Latham
<lathama en gmail.com> escribió:
> 2010/12/21 Victor Hernandez M. <vhernandez en munistgo.cl>:
>>> Estimados señores.
>>> junto con desearles una proxima feliz navidad, quisiera preguntarles
>>> quien me puede orientar porfis, con un tema que me esta matando
>>>
>>> Tengo un servidor (Centos 5), que controla el internet por medio de
>>> iptables y squid (transparente).
>>> puedo bloquear el msn, y algunos sitios que escriba en la lista.txt,
>>> pero
>>> ¿como se puede bloquear jdownloader, ares, etc?
>>> alguien me hablo de bloquear MIME. por el tipo de archivo.
>>> pero ¿si estan comprimidos, y esa compresion va con clave, igual los
>>> bloquea?
>>> les pido su orientacion porfa
>>> gracias
>>> saludos
>>> Orlando
>>>
>>>
>>
>> Tuve que montar una máquina para bloquear P2P y ares, configuré Layer7 y
>> despues de varias
>> pruebas igual pasaba el tráfico torrent (Utorrent encriptado ) y no hubo
>> caso ...
>>
>> Con lo unico que pude solicionar el tema fue una politica de denegación
>> con
>> IPTABLES y habilitar solo
>> lo que necesitaba ( 25 - 110 - 443 - 80 - 20-21 ).
>>
>> Lo otro que se hizo fue bloquear por extension en el SQUID, si alguien
>> intentaba descargar .torrent .avi .mp3, etc
>> bloqueaba la descarga.
>>
>> Saludos.
>> Victor Hernandez M.
>
> Deep Packet Inspection is what you are looking for.
>
> Example solution: http://code.google.com/p/opendpi/
>
> ~~~ Andrew "lathama" Latham lathama en gmail.com ~~~
>
--
Atte,
Javier Garay G.
Ingeniero Informático - Administrador ISP
Fono: (45) 943 175 - Cel. 6834 4088
Plug & Play Net - www.papnet.cl
Más información sobre la lista de distribución Linux