On Thursday 28 June 2007 16:34:25 redondos wrote: > On Thu 28.Jun.07 10:43, xWin2 wrote: > >Alejandro Vargas wrote: > >> Bueno, un firewall "por hardware" es más bien un firewall al que no le > >> podés cambiar el software. Actualmente todo se hace por software, > >> incluso las cosas que deberían hacerse por hardware (como un modem). > >> Así que si ese firewall "por hardware" tiene "el secreto" para filtrar > >> los paquetes de bit torrent encriptados, eventualmente alguien hará lo > >> mismo con software libre. > > > >Exacto!, pero hasta el momento no he visto nada por layer7 u open > >source... :( > > Para netfilter/iptables, l7 filter: > > [1] http://l7-filter.sourceforge.net/
Tambien dentro de netfilter esta ipp2p[2], si bien el autor se canso un poco (la ultima release fue hace 10 meses), lo tengo en producción en un par de servers y funciona muy bien: es efectivo y performante. Falla en los protocolos encryptados al igual que l7. ipp2p lo he usado en empresas donde quieren directamente _bloquear_ p2p(obviamente con algunas gerenciales excepciones) y los empleados que pueden llegar a usar p2p encriptados son infimos o nulos. Si lo que se busca es _controlar_ p2p por experiencia(hago sysadmin en 2 small/medium isps) es imposible estar al día en saber lo que efectivamente _es_ p2p. El enfoque que mejor me funcionó es mucho más simple como efectivo: -determinar que cosas _no_ son p2p y darles prioridad -darle menor prioridad(y opcionalmente menor ancho de banda) al resto del trafico, p2p cae aca adentro. Es muy facil ir agregando nuevos protocolos a la lista de prioritarios y se obtienen muy buenos resultados, lo que tiene que andar bien funciona bien(htb-gen funciona así). Por ultimo, si se convinan los 2 esquemas: defino prio y junk y le sumo al junk ipp2p/l7, tengo algo que es casi infalible. [2]http://www.ipp2p.org/ -- Luciano
