iptables y control
Javier Garay
javierzgaray en gmail.com
Mie Dic 22 13:03:45 CLST 2010
Juan, no estamos discutiendo, estamos compartiendo ideas, pero es
cierto que ya se plantearon varias ideas, ahora es cosa de probar y
elegir la opción que mejor se adapte a la necesidad de Fanatico.
Saludos.
Enviado desde mi iPhone
El 22-12-2010, a las 11:22, Juan Andres Ramirez
<jandresaedo en gmail.com> escribió:
> 2010/12/22 Miguel Oyarzo O. <admin en aim.cl>
>
>> El 22-12-2010 10:49, Javier Garay escribió:
>>
>> El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.<admin en aim.cl>
>>> escribió:
>>>
>>>>
>>>> Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos
>>>> para pasar trafico pero esto no le conviene al cliente, pues la mayoria
>>>> de
>>>> los algoritmos peer-to-peer implementados consideran que el trafico debe
>>>> provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos
>>>> Kazaa, Ares, Genutela, EDK2000 son asi)
>>>>
>>>>
>>> El puerto 80 no es el único que se utiliza en una red de computadores,
>>> por lo general no vas a tener menos de 10 ó 20 puertos abiertos para
>>> todos los servicios que requiera tu red y obviamente ese número puede
>>> crecer dependiendo del tipo de uso que se le de a la red.
>>>
>>> Insisto en que no se trata solo de bloquear los puertos, para parar el
>>> p2p hay que subir los filtros a nivel de protocolos, no es tan trivial
>>> como un simple bloqueo de puertos y reglas input - output, de otra
>>> forma empresas que ofrecen productos como netenforcer o packeteer no
>>> tendrían tanto éxito, así como también los módulos layer7 o ipp2p,
>>> nadie los usaría si no fuesen necesarios.
>>>
>>>
>>
>> Si, pero debes enfocarte a la solución que se desea.
>>
>> Yo no implementaria en mi kernel algoritmos de predicción y analisis de
>> paquetes en "profunidad" solo para terminar bloqueando el trafico (fijate lo
>> solicitó el que inicio este thread)
>>
>> La solución de filtros L7 estan enfocados a darle un tratamiento especial
>> a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos
>> velocidad o prioridad (traffic shaping), cambairles el gateway, etc.
>>
>> en el firewall "Cerrar todo" y "Abrir solo lo que se require" no es nada
>> trivial y sigue siendo y será la mejor forma de parar el trafico no deseado.
>>
>>
>>
>>
> No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le
> dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita
> o lo que puede implementar. Deberiamos cerrar el tema acá.
>
> Gracias.
>
>>
>>
>> =====================================
>> Miguel A. Oyarzo O.
>> Ingeniería en Redes y Telecomunicaciones
>> Austro Internet S.A. & INALAMBRICA S.A.
>> Teléfono: [+05661] 710030
>> Punta Arenas - Chile
>> Linux User: # 483188 - counter.li.org
>> =====================================
>>
>>
>>
Más información sobre la lista de distribución Linux