"celtita" <[EMAIL PROTECTED]> dijo:
> Iptables no tiene optimización automatica en Kernel de reglas in the
> fly.
Es mas eficiente hacer eso off-line.
> O sea los *BSD te optimizan las reglas in the fly.
Costo extra (en procesamiento y complejidad). Mala decision de disen~o.
> Iptables no tiene QoS ni ToS in the Kernel.
Porque no es parte de Netfilter, sino de la infraestructura TCP/IP.
> No tiene sincronizacion de estados completos por interfaz de multicast
> para balanceo de carga y/o alta disponibilidad.
Que diablos se supone signifique eso?
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Thu Jan 6 09:29:26 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Thu Jan 6 09:29:32 2005
Subject: Optimizacion de firewall en iptables
In-Reply-To: Your message of "Wed, 05 Jan 2005 14:39:52 -0300."
<!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAA99MlpbCyWkaouFkx2elV4sKAAAAQAAAAU6shqIJBqEqQZ/[EMAIL
PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
"celtita" <[EMAIL PROTECTED]> dijo:
> >> Es como responde el snack del SO, no el netfilter, si deseas que
> >> responde con secuencia 99999 instala FreeBSD :-)
> >Realmente esa secuencia es importante?
Se refiere a que tan dificil es adivinar el numero de secuencia que usa al
inicio una conexion TCP (si puedes adivinarla, es facil hacerse pasar por
el interlocutor de una conexion cualquiera). Es _muy_ importante.
Y el sistema que usa Linux se basa en verdaderos numeros aleatorios, con lo
que en la practica no tiene caso intentarlo siquiera.
> > que otras opciones puedo
> >optimizar (ya que como me dices la secuencia no se puede mejorar) desde
> >linux?
> En realidad si podrías modificando el Kernel la parte de IP y ahí
> decirle como responder, en Darpa hay varios paper sobre eso.
Si, claro. Tipica sugerencia de completo ignorante.
> >realmente deseo optimizar lo que mas pueda mi firewall.
> Optimiza tus reglas.
Buena sugerencia. Ahora, como lo haces?
- Primero que nada, _mide_ para ver si eso te hace problemas. Es un uso
mucho mas eficiente de tu tiempo el tener reglas claramente estructuradas
y ordenadas para comprension humana que sacarle un 5 o 10% mas de
rendimiento al cortafuegos (salvo que estes hablando de multiples
100basetT saturadas, hasta la CPU mas ordinaria da de sobra). Considera
tambien cambiar las tarjetas de red por tarjetas mas inteligentes
(mayores buffers, manejo interno de checksums, etc). Placa madre con
_buen_ manejo de PCI es importante para throughput de tarjeta a CPU.
Nuevamente, eso es mas barato que tu tiempo (Cuanto cuesta un PC decente
hoy? Cuanto un mes de ingeniero?).
- Recuerda que las reglas se revisan secuencialmente. Fallar/tener exito lo
antes posible es importante
- Refierete a los contadores de calces de las reglas, donde la logica lo
permita ordenalas en orden decreciente.
- Crear cadenas especiales que se llaman como rutinas cuando se requiera
disminuye el numero de reglas consideradas secuencialmente
> >Ya me ha quedado una duda: realmente tambien deberia comenzar a evaluar
> >otras opciones a iptables como packetfilter (creo que asi se llama el de
> >openbsd) o ipfw (o sea freeBSD)?
> Te recomiendo el PF que esta super estable y maduro y trae muchisimas
> funcionalidades y ocupa super poca RAM, alrededor de 30 MB ara 40 reglas
> y una LAN de 30 PC.
30MiB de RAM para 40 reglas?! Nuestro cortafuegos aca tiene 519... eso
significarian unos 390MiB RAM aca. El tarrito (P2/300) tiene 128MiB, con
unos 58 de ellos en uso (ademas hace de DHCP para las redes conectadas, y
un par de cosillas mas). Es el cruce de 6 redes que suman unas 300
maquinas. Y solo en caso de usuarios _demasiado_ creativos con la
configuracion de red de los PCs (ponerle la direccion de red o de
broadcast, ...) nos ha dado problemas.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Thu Jan 6 09:33:22 2005
From: [EMAIL PROTECTED] (Horst von Brand)
Date: Thu Jan 6 09:33:27 2005
Subject: iptables
In-Reply-To: Your message of "Wed, 05 Jan 2005 14:33:30 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Luis Vega <[EMAIL PROTECTED]> dijo:
> tengo un pc con debian sarge kernel 2.4.26 con tarjeta de red
> integrada la ual me la reconoce muy bien, lo que pasa es q este pc
> esta haciendo de firewall y gateway a la vez, lo malo es q con una
> tarjeta de red no se si sera conveniente.
Con _una_ tarjeta de red no puedes realmente filtrar nada.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
From [EMAIL PROTECTED] Thu Jan 6 09:37:40 2005
From: [EMAIL PROTECTED] (Carlos Manuel Duclos Vergara)
Date: Thu Jan 6 09:37:50 2005
Subject: kdm, debian y nueva =?iso-8859-15?q?sesi=F3n?=
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
> creo que lo expresé mal, quiero que x se inicie automatica mente en tty 7,
> 8 y 9
> eso
>
no se si en debian se mantenga la misma estructura de archivos que en SUSE
para KDE, pero al menos en SUSE tendrias que:
- modificar /etc/X11/xdm/Xstartup y agregar otras consolas
- modificar /etc/X11/xdm/GiveDevices y agregar las otras consolas
notese que no lo he probado por mi mismo, pero segun lo que sale en el
README.SuSE de /etc/X11/xdm debiera ser asi
--
Carlos Manuel Duclos Vergara
[EMAIL PROTECTED]
http://www.embedded.cl
