Primero, sorry por el top-posting y por enviar el correo desde esta cosa. El tema de p2p es complejo,cada dia tratan de camuflar el trafico, por lo que sera una caceria eterna.
Lo recomendable es aplicar politicas de seguridad potentes y sanciones de algun tipo para dar ejemplo. Con eso y una cuota de snortio y/o tcpdump, wireshark. Esas cosas tienen un patron definido, hay que pillarlo, segun recuerdo hace poco muto ares. Cuando pilles a alguien, notificas y haces correr todo lo que preparaste en tu politica, luego creas una leyenda estilo matanza de san p2p. Eso ultimo era broma ... O no? Jjejej Saludos! Gino Enviado desde el servicio Blackberry del Ministerio del Interior, Chile. ----- Mensaje original ----- De: linux-boun...@listas.inf.utfsm.cl <linux-boun...@listas.inf.utfsm.cl> Para: Discusion de Linux en Castellano <linux@listas.inf.utfsm.cl> Enviado: Tue Dec 21 19:29:44 2010 Asunto: Re: iptables y control El 21-12-2010 18:22, Javier Garay escribió: > El día 21 de diciembre de 2010 18:14, Miguel Oyarzo O.<ad...@aim.cl> > escribió: >> . >> >> >> Suena como matar mosquitos a cañonazos. >> >> Mas eficiente es seguir las recomendaciones previas: >> Cerrar todo y abrir solo los protocolos y puertos autorizados. >> > > P2P pasa fácilmente por el puerto 80 o cualquiera que tengas abierto, > para frenar el envío de paquetes de ese tipo hay que marcar el trafico > y luego decidir si lo desechas o lo tratas de una forma especial, eso > lo haces con l7, ipp2p o tc, entre otros. Con cerrar puertos no logras > nada. > Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) Además, estos nodos aun requieren de puertos "altos" y fijos para conectarse a los supernodos. Si el nodo no se pueden conectar a estos supernodos/indices y recibir el listado de IP/Puertos con los peers y files disponibles no trabajaran adecuadamente y terminará abortando sus intentos quedar totalmente desconectados. Sigo pensando que la solución Cerrar todo y abrir lo permitido es la mejor herramienta contra el P2P. ===================================== Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A. & INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =====================================