iptables y control GRACIAS
Fanatico Linux
listalinux en tecnocreativo.cl
Mie Dic 22 13:49:28 CLST 2010
Señores.
Muchas gracias a todos por compartir sus conocimientos.
me voy por la de bloquear todos los puertos y abrir solo los necesarios.
ademas bloqueare en el squid los sitios como megaupload, rapidshare, etc.
lo que me tiene loco es que se la pasan descargando peliculas (algunas muy
buenas), y se consumen el ancho de banda, y otros usuarios reclaman por la
lentitud.
muchas gracias nuevamente a todos.
saludos y feliz navidad
Orlando
> Juan, no estamos discutiendo, estamos compartiendo ideas, pero es
> cierto que ya se plantearon varias ideas, ahora es cosa de probar y
> elegir la opción que mejor se adapte a la necesidad de Fanatico.
>
> Saludos.
>
> Enviado desde mi iPhone
>
> El 22-12-2010, a las 11:22, Juan Andres Ramirez
> <jandresaedo en gmail.com> escribió:
>
>> 2010/12/22 Miguel Oyarzo O. <admin en aim.cl>
>>
>>> El 22-12-2010 10:49, Javier Garay escribió:
>>>
>>> El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.<admin en aim.cl>
>>>> escribió:
>>>>
>>>>>
>>>>> Tienes razón en que clientes P2P pueden usar puertos 80 y otros
>>>>> conocidos
>>>>> para pasar trafico pero esto no le conviene al cliente, pues la
>>>>> mayoria
>>>>> de
>>>>> los algoritmos peer-to-peer implementados consideran que el trafico
>>>>> debe
>>>>> provenir desde puertos fijos o dinamicos sobre el puerto 1536
>>>>> (almenos
>>>>> Kazaa, Ares, Genutela, EDK2000 son asi)
>>>>>
>>>>>
>>>> El puerto 80 no es el único que se utiliza en una red de computadores,
>>>> por lo general no vas a tener menos de 10 ó 20 puertos abiertos para
>>>> todos los servicios que requiera tu red y obviamente ese número puede
>>>> crecer dependiendo del tipo de uso que se le de a la red.
>>>>
>>>> Insisto en que no se trata solo de bloquear los puertos, para parar el
>>>> p2p hay que subir los filtros a nivel de protocolos, no es tan trivial
>>>> como un simple bloqueo de puertos y reglas input - output, de otra
>>>> forma empresas que ofrecen productos como netenforcer o packeteer no
>>>> tendrían tanto éxito, así como también los módulos layer7 o ipp2p,
>>>> nadie los usaría si no fuesen necesarios.
>>>>
>>>>
>>>
>>> Si, pero debes enfocarte a la solución que se desea.
>>>
>>> Yo no implementaria en mi kernel algoritmos de predicción y analisis de
>>> paquetes en "profunidad" solo para terminar bloqueando el trafico
>>> (fijate lo
>>> solicitó el que inicio este thread)
>>>
>>> La solución de filtros L7 estan enfocados a darle un tratamiento
>>> especial
>>> a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle
>>> menos
>>> velocidad o prioridad (traffic shaping), cambairles el gateway, etc.
>>>
>>> en el firewall "Cerrar todo" y "Abrir solo lo que se require" no es
>>> nada
>>> trivial y sigue siendo y será la mejor forma de parar el trafico no
>>> deseado.
>>>
>>>
>>>
>>>
>> No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se
>> le
>> dijo a nuestro amigo las opciones que existen, ahora él verá lo que
>> necesita
>> o lo que puede implementar. Deberiamos cerrar el tema acá.
>>
>> Gracias.
>>
>>>
>>>
>>> =====================================
>>> Miguel A. Oyarzo O.
>>> Ingeniería en Redes y Telecomunicaciones
>>> Austro Internet S.A. & INALAMBRICA S.A.
>>> Teléfono: [+05661] 710030
>>> Punta Arenas - Chile
>>> Linux User: # 483188 - counter.li.org
>>> =====================================
>>>
>>>
>>>
>
Más información sobre la lista de distribución Linux