Re: iptables y control
El 23 de diciembre de 2010 16:46, Hantar Aguad hantar.ag...@gmail.comescribió: El 21/12/10 21:20, Gino Paolo Peirano Alvarado escribió: Cuando pilles a alguien, notificas y haces correr todo lo que preparaste en tu politica, luego creas una leyenda estilo matanza de san p2p. Eso ultimo era broma ... O no? Jjejej Dentro de mi ignorancia, torrent en considerado P2P? Entonces al aplicar todas estas políticas quedaría bloqueado... Es lamentable, ya que yo siempre bajo (o bajaba) las .iso de Ubuntu de esta forma Entonces mi pregunta es si P2P es bueno o malo, es útil o ya no lo debiéramos usar, porque sirve solo para dejar redes saturadas? Saludos, -- Hantar Aguad Poblete Estudiante de Ingeniería Universidad Santa María F: 09-826 880 76 Hantar, Si, ya que torrent transfiere entre clientes, si es P2P (*peer-to-peer* o red de pares o red entre iguales). El P2P es una tecnología y no es ni buena ni mala por si misma, es mas bien según el uso que se le de, por ejemplo, imagínate caminar en la plaza pues hacer eso es de uso libre, pero si todos lo hacemos al mismo tiempo la plaza colapsa, con el P2P es igual en especial si la gente intenta usar el máximo de ancho de banda y trata de descargar muchas cosas (violando derechos de autor mas encima). Por otro lado si un sitio tiene algo que compartir y quiere ahorrarse ancho de banda puede aprovechar el de los clientes para que compartan entre ellos, así una pequeña institución o agrupación sin poder adquisitivo ni un gran ancho de banda puede publicar su software sin tener que cobrar. Creo que descargar una distro linux debe ser una de las cosas mas buena de las que puedes hacer con una P2P, y puedes tener tu conciencia limpia por ello. Aunque no creo que tu administrador de sistema este de acuerdo y seguro te persiga junto a todos los otros usuarios. Saludos Manuel Cano
Re: iptables y control
El 21/12/10 21:20, Gino Paolo Peirano Alvarado escribió: Cuando pilles a alguien, notificas y haces correr todo lo que preparaste en tu politica, luego creas una leyenda estilo matanza de san p2p. Eso ultimo era broma ... O no? Jjejej Dentro de mi ignorancia, torrent en considerado P2P? Entonces al aplicar todas estas políticas quedaría bloqueado... Es lamentable, ya que yo siempre bajo (o bajaba) las .iso de Ubuntu de esta forma Entonces mi pregunta es si P2P es bueno o malo, es útil o ya no lo debiéramos usar, porque sirve solo para dejar redes saturadas? Saludos, -- Hantar Aguad Poblete Estudiante de Ingeniería Universidad Santa María F: 09-826 880 76
Re: iptables y control
El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O. ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. -- Atte, Javier Garay G. Ingeniero Informático - Administrador ISP Fono: (45) 943 175 - Cel. 6834 4088 Plug Play Net - www.papnet.cl
Re: iptables y control
El 22-12-2010 10:49, Javier Garay escribió: El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. Si, pero debes enfocarte a la solución que se desea. Yo no implementaria en mi kernel algoritmos de predicción y analisis de paquetes en profunidad solo para terminar bloqueando el trafico (fijate lo solicitó el que inicio este thread) La solución de filtros L7 estan enfocados a darle un tratamiento especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos velocidad o prioridad (traffic shaping), cambairles el gateway, etc. en el firewall Cerrar todo y Abrir solo lo que se require no es nada trivial y sigue siendo y será la mejor forma de parar el trafico no deseado. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: iptables y control
2010/12/22 Miguel Oyarzo O. ad...@aim.cl El 22-12-2010 10:49, Javier Garay escribió: El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. Si, pero debes enfocarte a la solución que se desea. Yo no implementaria en mi kernel algoritmos de predicción y analisis de paquetes en profunidad solo para terminar bloqueando el trafico (fijate lo solicitó el que inicio este thread) La solución de filtros L7 estan enfocados a darle un tratamiento especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos velocidad o prioridad (traffic shaping), cambairles el gateway, etc. en el firewall Cerrar todo y Abrir solo lo que se require no es nada trivial y sigue siendo y será la mejor forma de parar el trafico no deseado. No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita o lo que puede implementar. Deberiamos cerrar el tema acá. Gracias. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: iptables y control
Juan, no estamos discutiendo, estamos compartiendo ideas, pero es cierto que ya se plantearon varias ideas, ahora es cosa de probar y elegir la opción que mejor se adapte a la necesidad de Fanatico. Saludos. Enviado desde mi iPhone El 22-12-2010, a las 11:22, Juan Andres Ramirez jandresa...@gmail.com escribió: 2010/12/22 Miguel Oyarzo O. ad...@aim.cl El 22-12-2010 10:49, Javier Garay escribió: El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. Si, pero debes enfocarte a la solución que se desea. Yo no implementaria en mi kernel algoritmos de predicción y analisis de paquetes en profunidad solo para terminar bloqueando el trafico (fijate lo solicitó el que inicio este thread) La solución de filtros L7 estan enfocados a darle un tratamiento especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos velocidad o prioridad (traffic shaping), cambairles el gateway, etc. en el firewall Cerrar todo y Abrir solo lo que se require no es nada trivial y sigue siendo y será la mejor forma de parar el trafico no deseado. No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita o lo que puede implementar. Deberiamos cerrar el tema acá. Gracias. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: iptables y control GRACIAS
Señores. Muchas gracias a todos por compartir sus conocimientos. me voy por la de bloquear todos los puertos y abrir solo los necesarios. ademas bloqueare en el squid los sitios como megaupload, rapidshare, etc. lo que me tiene loco es que se la pasan descargando peliculas (algunas muy buenas), y se consumen el ancho de banda, y otros usuarios reclaman por la lentitud. muchas gracias nuevamente a todos. saludos y feliz navidad Orlando Juan, no estamos discutiendo, estamos compartiendo ideas, pero es cierto que ya se plantearon varias ideas, ahora es cosa de probar y elegir la opción que mejor se adapte a la necesidad de Fanatico. Saludos. Enviado desde mi iPhone El 22-12-2010, a las 11:22, Juan Andres Ramirez jandresa...@gmail.com escribió: 2010/12/22 Miguel Oyarzo O. ad...@aim.cl El 22-12-2010 10:49, Javier Garay escribió: El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. Si, pero debes enfocarte a la solución que se desea. Yo no implementaria en mi kernel algoritmos de predicción y analisis de paquetes en profunidad solo para terminar bloqueando el trafico (fijate lo solicitó el que inicio este thread) La solución de filtros L7 estan enfocados a darle un tratamiento especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos velocidad o prioridad (traffic shaping), cambairles el gateway, etc. en el firewall Cerrar todo y Abrir solo lo que se require no es nada trivial y sigue siendo y será la mejor forma de parar el trafico no deseado. No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita o lo que puede implementar. Deberiamos cerrar el tema acá. Gracias. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: iptables y control GRACIAS
Estimado, te recomiendo que utilices con squid el plugin squidguard (http://www.squidguard.org), te permitirá realizar una gestión mas eficaz y simple, no solo de las listas negras, si no que también redireccionamiento y control de acceso. Atentamente, Felipe Aranda G. Linux User #314735 http://counter.li.org El día 22 de diciembre de 2010 13:49, Fanatico Linux listali...@tecnocreativo.cl escribió: Señores. Muchas gracias a todos por compartir sus conocimientos. me voy por la de bloquear todos los puertos y abrir solo los necesarios. ademas bloqueare en el squid los sitios como megaupload, rapidshare, etc. lo que me tiene loco es que se la pasan descargando peliculas (algunas muy buenas), y se consumen el ancho de banda, y otros usuarios reclaman por la lentitud. muchas gracias nuevamente a todos. saludos y feliz navidad Orlando Juan, no estamos discutiendo, estamos compartiendo ideas, pero es cierto que ya se plantearon varias ideas, ahora es cosa de probar y elegir la opción que mejor se adapte a la necesidad de Fanatico. Saludos. Enviado desde mi iPhone El 22-12-2010, a las 11:22, Juan Andres Ramirez jandresa...@gmail.com escribió: 2010/12/22 Miguel Oyarzo O. ad...@aim.cl El 22-12-2010 10:49, Javier Garay escribió: El día 21 de diciembre de 2010 19:29, Miguel Oyarzo O.ad...@aim.cl escribió: Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) El puerto 80 no es el único que se utiliza en una red de computadores, por lo general no vas a tener menos de 10 ó 20 puertos abiertos para todos los servicios que requiera tu red y obviamente ese número puede crecer dependiendo del tipo de uso que se le de a la red. Insisto en que no se trata solo de bloquear los puertos, para parar el p2p hay que subir los filtros a nivel de protocolos, no es tan trivial como un simple bloqueo de puertos y reglas input - output, de otra forma empresas que ofrecen productos como netenforcer o packeteer no tendrían tanto éxito, así como también los módulos layer7 o ipp2p, nadie los usaría si no fuesen necesarios. Si, pero debes enfocarte a la solución que se desea. Yo no implementaria en mi kernel algoritmos de predicción y analisis de paquetes en profunidad solo para terminar bloqueando el trafico (fijate lo solicitó el que inicio este thread) La solución de filtros L7 estan enfocados a darle un tratamiento especial a ese trafico, como por ejemplo cambiarlos de bandas QDISC y darle menos velocidad o prioridad (traffic shaping), cambairles el gateway, etc. en el firewall Cerrar todo y Abrir solo lo que se require no es nada trivial y sigue siendo y será la mejor forma de parar el trafico no deseado. No sacamos nada con seguir discutiendo que es mejor y que es peor, ya se le dijo a nuestro amigo las opciones que existen, ahora él verá lo que necesita o lo que puede implementar. Deberiamos cerrar el tema acá. Gracias. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A. INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
iptables y control
Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando
Re: iptables y control
Y denegar todo y solo habilitar puertos conocidos y que se necesiten?. Asi lo hice yo y me funciona perfecto. En el tiempo que tuve este drama, por todo lo que lei, fue la unica forma de solucionarlo. Hay otro metodo que es por string, pero se necesita soporte en el kernel. Yo no pude resolverlo en centos 5.3en esa época. 2010/12/21 Fanatico Linux listali...@tecnocreativo.cl Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando
Re: iptables y control
El 21 de diciembre de 2010 14:23, Juan Andres Ramirez jandresa...@gmail.com escribió: Y denegar todo y solo habilitar puertos conocidos y que se necesiten?. Asi lo hice yo y me funciona perfecto. En el tiempo que tuve este drama, por todo lo que lei, fue la unica forma de solucionarlo. Hay otro metodo que es por string, pero se necesita soporte en el kernel. Yo no pude resolverlo en centos 5.3en esa época. 2010/12/21 Fanatico Linux listali...@tecnocreativo.cl Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando layer7 puede ser tu amigo para ese tema :) -- Andrés Esteban. Ovalle Gahona (kill-9) Staff DebianChile.cl www.debianchile.cl SysAdmin Acepta.com S.A. www.acepta.com Movil: 09-5795880 Usuario Linux #456290 (counter.li.org)
Re: iptables y control
Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando Tuve que montar una máquina para bloquear P2P y ares, configuré Layer7 y despues de varias pruebas igual pasaba el tráfico torrent (Utorrent encriptado ) y no hubo caso ... Con lo unico que pude solicionar el tema fue una politica de denegación con IPTABLES y habilitar solo lo que necesitaba ( 25 - 110 - 443 - 80 - 20-21 ). Lo otro que se hizo fue bloquear por extension en el SQUID, si alguien intentaba descargar .torrent .avi .mp3, etc bloqueaba la descarga. Saludos. Victor Hernandez M.
Re: iptables y control
2010/12/21 Victor Hernandez M. vhernan...@munistgo.cl: Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando Tuve que montar una máquina para bloquear P2P y ares, configuré Layer7 y despues de varias pruebas igual pasaba el tráfico torrent (Utorrent encriptado ) y no hubo caso ... Con lo unico que pude solicionar el tema fue una politica de denegación con IPTABLES y habilitar solo lo que necesitaba ( 25 - 110 - 443 - 80 - 20-21 ). Lo otro que se hizo fue bloquear por extension en el SQUID, si alguien intentaba descargar .torrent .avi .mp3, etc bloqueaba la descarga. Saludos. Victor Hernandez M. Deep Packet Inspection is what you are looking for. Example solution: http://code.google.com/p/opendpi/ ~~~ Andrew lathama Latham lath...@gmail.com ~~~
Re: iptables y control
Te recomiendo usar debian 5.0.6 y compilar el núcleo 2.6.30 con los siguientes modulos: netfilter-layer7 l7-protocols iptables-1.4.5 Hay muchas guías de como compilar el nucleo de linux e incluir los módulos que gustes y con layer7 bloqueas todo. Por otro lado si quieres dar prioridades al tráfico, puedes utilizar disciplinas de colas para manejar tu tráfico (lartc.org). Es una manera muy compleja de hacerlo, pero funciona de lujo. Otra manera mucho más fácil es que pruebes con distribuciones hechas para ese tipo de tareas como pfsense, untangle o ipcop, entre otras. Saludos. El día 21 de diciembre de 2010 14:40, Andrew Latham lath...@gmail.com escribió: 2010/12/21 Victor Hernandez M. vhernan...@munistgo.cl: Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando Tuve que montar una máquina para bloquear P2P y ares, configuré Layer7 y despues de varias pruebas igual pasaba el tráfico torrent (Utorrent encriptado ) y no hubo caso ... Con lo unico que pude solicionar el tema fue una politica de denegación con IPTABLES y habilitar solo lo que necesitaba ( 25 - 110 - 443 - 80 - 20-21 ). Lo otro que se hizo fue bloquear por extension en el SQUID, si alguien intentaba descargar .torrent .avi .mp3, etc bloqueaba la descarga. Saludos. Victor Hernandez M. Deep Packet Inspection is what you are looking for. Example solution: http://code.google.com/p/opendpi/ ~~~ Andrew lathama Latham lath...@gmail.com ~~~ -- Atte, Javier Garay G. Ingeniero Informático - Administrador ISP Fono: (45) 943 175 - Cel. 6834 4088 Plug Play Net - www.papnet.cl
Re: iptables y control
On Tue, 2010-12-21 at 15:26 -0300, Javier Garay wrote: Te recomiendo usar debian 5.0.6 y compilar el núcleo 2.6.30 Yo no recomendaría utilizar un núcleo tan antiguo y sin soporte a largo plazo, el que podría tener fallos de seguridad importantes. 2.6.27.x, 2.6.32.x, 2.6.35.x tienen soporte actualmente (y obviamente el ultimo estable). Además hay que considerar que al usar un kernel ajeno al de la distribución, es uno el que se debe hacer cargo de mantenerlo al día. con los siguientes modulos: netfilter-layer7 l7-protocols iptables-1.4.5 [...] saludos -- Yonathan H. Dossow Acun~a Unidad de Servicios de Computacion e Internet Fono: +56 32 2654367 Universidad Tecnica Federico Santa Maria Valparaiso, Chile
Re: iptables y control
Untangle igual deja pasar el trafico p2p, probado con uTorrent, si bien es capaz de detectarlo (LOGS) no lo bloquea en su totalidad. Saludos. - Original Message - From: Javier Garay javierzga...@gmail.com To: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Sent: Tuesday, December 21, 2010 3:26 PM Subject: Re: iptables y control Te recomiendo usar debian 5.0.6 y compilar el núcleo 2.6.30 con los siguientes modulos: netfilter-layer7 l7-protocols iptables-1.4.5 Hay muchas guías de como compilar el nucleo de linux e incluir los módulos que gustes y con layer7 bloqueas todo. Por otro lado si quieres dar prioridades al tráfico, puedes utilizar disciplinas de colas para manejar tu tráfico (lartc.org). Es una manera muy compleja de hacerlo, pero funciona de lujo. Otra manera mucho más fácil es que pruebes con distribuciones hechas para ese tipo de tareas como pfsense, untangle o ipcop, entre otras. Saludos. El día 21 de diciembre de 2010 14:40, Andrew Latham lath...@gmail.com escribió: 2010/12/21 Victor Hernandez M. vhernan...@munistgo.cl: Estimados señores. junto con desearles una proxima feliz navidad, quisiera preguntarles quien me puede orientar porfis, con un tema que me esta matando Tengo un servidor (Centos 5), que controla el internet por medio de iptables y squid (transparente). puedo bloquear el msn, y algunos sitios que escriba en la lista.txt, pero ¿como se puede bloquear jdownloader, ares, etc? alguien me hablo de bloquear MIME. por el tipo de archivo. pero ¿si estan comprimidos, y esa compresion va con clave, igual los bloquea? les pido su orientacion porfa gracias saludos Orlando Tuve que montar una máquina para bloquear P2P y ares, configuré Layer7 y despues de varias pruebas igual pasaba el tráfico torrent (Utorrent encriptado ) y no hubo caso ... Con lo unico que pude solicionar el tema fue una politica de denegación con IPTABLES y habilitar solo lo que necesitaba ( 25 - 110 - 443 - 80 - 20-21 ). Lo otro que se hizo fue bloquear por extension en el SQUID, si alguien intentaba descargar .torrent .avi .mp3, etc bloqueaba la descarga. Saludos. Victor Hernandez M. Deep Packet Inspection is what you are looking for. Example solution: http://code.google.com/p/opendpi/ ~~~ Andrew lathama Latham lath...@gmail.com ~~~ -- Atte, Javier Garay G. Ingeniero Informático - Administrador ISP Fono: (45) 943 175 - Cel. 6834 4088 Plug Play Net - www.papnet.cl
Re: iptables y control
El día 21 de diciembre de 2010 16:06, Yonathan Dossow ydos...@inf.utfsm.cl escribió: Yo no recomendaría utilizar un núcleo tan antiguo y sin soporte a largo plazo, el que podría tener fallos de seguridad importantes. Eso depende netamente de quien lo administre. En la práctica los mejores resultados los he obtenido con los núcleos 2.6.28 y 2.6.30. -- Atte, Javier Garay G. Ingeniero Informático - Administrador ISP Fono: (45) 943 175 - Cel. 6834 4088 Plug Play Net - www.papnet.cl
Re: iptables y control
On Tue, 2010-12-21 at 16:41 -0300, Javier Garay wrote: El día 21 de diciembre de 2010 16:06, Yonathan Dossow ydos...@inf.utfsm.cl escribió: Yo no recomendaría utilizar un núcleo tan antiguo y sin soporte a largo plazo, el que podría tener fallos de seguridad importantes. Eso depende netamente de quien lo administre. En la práctica los mejores resultados los he obtenido con los núcleos 2.6.28 y 2.6.30. Si tienes la capacidad de hacer backporting de parches a fallos de seguridad, usa el kernel que quieras. Pero si no, mejor no usar kernels sin soporte. El ultimo 2.6.30(.10) salio en diciembre de 2009, todos los problemas corregidos desde esa fecha no están presentes en esa version (y durante este año se han corregido problemas bien feos en el kernel). -- Yonathan H. Dossow Acun~a Unidad de Servicios de Computacion e Internet Fono: +56 32 2654367 Universidad Tecnica Federico Santa Maria Valparaiso, Chile
Re: iptables y control
El 21-12-2010 15:26, Javier Garay escribió: Te recomiendo usar debian 5.0.6 y compilar el núcleo 2.6.30 con los siguientes modulos: netfilter-layer7 l7-protocols iptables-1.4.5 Hay muchas guías de como compilar el nucleo de linux e incluir los módulos que gustes y con layer7 bloqueas todo. Por otro lado si quieres dar prioridades al tráfico, puedes utilizar disciplinas de colas para manejar tu tráfico (lartc.org). Es una manera muy compleja de hacerlo, pero funciona de lujo. Suena como matar mosquitos a cañonazos. Mas eficiente es seguir las recomendaciones previas: Cerrar todo y abrir solo los protocolos y puertos autorizados. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: iptables y control
Primero, sorry por el top-posting y por enviar el correo desde esta cosa. El tema de p2p es complejo,cada dia tratan de camuflar el trafico, por lo que sera una caceria eterna. Lo recomendable es aplicar politicas de seguridad potentes y sanciones de algun tipo para dar ejemplo. Con eso y una cuota de snortio y/o tcpdump, wireshark. Esas cosas tienen un patron definido, hay que pillarlo, segun recuerdo hace poco muto ares. Cuando pilles a alguien, notificas y haces correr todo lo que preparaste en tu politica, luego creas una leyenda estilo matanza de san p2p. Eso ultimo era broma ... O no? Jjejej Saludos! Gino Enviado desde el servicio Blackberry del Ministerio del Interior, Chile. - Mensaje original - De: linux-boun...@listas.inf.utfsm.cl linux-boun...@listas.inf.utfsm.cl Para: Discusion de Linux en Castellano linux@listas.inf.utfsm.cl Enviado: Tue Dec 21 19:29:44 2010 Asunto: Re: iptables y control El 21-12-2010 18:22, Javier Garay escribió: El día 21 de diciembre de 2010 18:14, Miguel Oyarzo O.ad...@aim.cl escribió: . Suena como matar mosquitos a cañonazos. Mas eficiente es seguir las recomendaciones previas: Cerrar todo y abrir solo los protocolos y puertos autorizados. P2P pasa fácilmente por el puerto 80 o cualquiera que tengas abierto, para frenar el envío de paquetes de ese tipo hay que marcar el trafico y luego decidir si lo desechas o lo tratas de una forma especial, eso lo haces con l7, ipp2p o tc, entre otros. Con cerrar puertos no logras nada. Tienes razón en que clientes P2P pueden usar puertos 80 y otros conocidos para pasar trafico pero esto no le conviene al cliente, pues la mayoria de los algoritmos peer-to-peer implementados consideran que el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto 1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi) Además, estos nodos aun requieren de puertos altos y fijos para conectarse a los supernodos. Si el nodo no se pueden conectar a estos supernodos/indices y recibir el listado de IP/Puertos con los peers y files disponibles no trabajaran adecuadamente y terminará abortando sus intentos quedar totalmente desconectados. Sigo pensando que la solución Cerrar todo y abrir lo permitido es la mejor herramienta contra el P2P. = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
