iptables y control

Juan Andres Ramirez jandresaedo en gmail.com
Mie Dic 22 11:22:02 CLST 2010


2010/12/22 Miguel Oyarzo O. <admin en aim.cl>

> El 22-12-2010 10:49, Javier Garay escribió:
>
> El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.<admin en aim.cl>
>>  escribió:
>>
>>>
>>> Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos
>>> para pasar trafico pero esto no le conviene al cliente, pues la mayoria
>>> de
>>> los algoritmos peer-to-peer implementados consideran que el trafico debe
>>> provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos
>>> Kazaa, Ares, Genutela, EDK2000 son asi)
>>>
>>>
>> El puerto 80 no es el único que se utiliza en una red de computadores,
>> por lo general no vas a tener menos de 10 ó 20 puertos abiertos para
>> todos los servicios que requiera tu red y obviamente ese número puede
>> crecer dependiendo del tipo de uso que se le de a la red.
>>
>> Insisto en que no se trata solo de bloquear los puertos, para parar el
>> p2p hay que subir los filtros a nivel de protocolos, no es tan trivial
>> como un simple bloqueo de puertos y reglas input - output, de otra
>> forma empresas que ofrecen productos como netenforcer o packeteer no
>> tendrían tanto éxito, así como también los módulos layer7 o ipp2p,
>> nadie los usaría si no fuesen necesarios.
>>
>>
>
> Si, pero debes enfocarte a la solución que se desea.
>
> Yo no implementaria en mi kernel algoritmos de predicción y analisis de
> paquetes en "profunidad" solo para terminar bloqueando el trafico (fijate lo
> solicitó el que inicio este thread)
>
> La solución de filtros L7  estan enfocados a darle un tratamiento especial
> a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos
> velocidad o prioridad (traffic shaping), cambairles el gateway, etc.
>
> en el firewall "Cerrar todo" y "Abrir solo lo que se require" no es nada
> trivial y sigue siendo y será la mejor forma de parar el trafico no deseado.
>
>
>
>
No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le
dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita
o lo que puede implementar. Deberiamos cerrar el tema acá.

Gracias.

>
>
> =====================================
> Miguel A. Oyarzo O.
> Ingeniería en Redes y Telecomunicaciones
> Austro Internet S.A.  &  INALAMBRICA S.A.
> Teléfono: [+05661] 710030
> Punta Arenas - Chile
> Linux User: # 483188 - counter.li.org
> =====================================
>
>
>


Más información sobre la lista de distribución Linux