iptables y control

Miguel Oyarzo O. admin en aim.cl
Mie Dic 22 11:16:57 CLST 2010 

El 22-12-2010 10:49, Javier Garay escribió:
> El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.<admin en aim.cl>  escribió:
>>
>> Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos
>> para pasar trafico pero esto no le conviene al cliente, pues la mayoria de
>> los algoritmos peer-to-peer implementados consideran que el trafico debe
>> provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos
>> Kazaa, Ares, Genutela, EDK2000 son asi)
>>
>
> El puerto 80 no es el único que se utiliza en una red de computadores,
> por lo general no vas a tener menos de 10 ó 20 puertos abiertos para
> todos los servicios que requiera tu red y obviamente ese número puede
> crecer dependiendo del tipo de uso que se le de a la red.
>
> Insisto en que no se trata solo de bloquear los puertos, para parar el
> p2p hay que subir los filtros a nivel de protocolos, no es tan trivial
> como un simple bloqueo de puertos y reglas input - output, de otra
> forma empresas que ofrecen productos como netenforcer o packeteer no
> tendrían tanto éxito, así como también los módulos layer7 o ipp2p,
> nadie los usaría si no fuesen necesarios.
>


Si, pero debes enfocarte a la solución que se desea.

Yo no implementaria en mi kernel algoritmos de predicción y analisis de 
paquetes en "profunidad" solo para terminar bloqueando el trafico 
(fijate lo solicitó el que inicio este thread)

La solución de filtros L7  estan enfocados a darle un tratamiento 
especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y 
darle menos velocidad o prioridad (traffic shaping), cambairles el 
gateway, etc.

en el firewall "Cerrar todo" y "Abrir solo lo que se require" no es nada 
trivial y sigue siendo y será la mejor forma de parar el trafico no deseado.



=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Telecomunicaciones
Austro Internet S.A.  &  INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
Linux User: # 483188 - counter.li.org
=====================================

Más información sobre la lista de distribución Linux