pregunta de iptables +dar accesos directos
Rodolfo Alcazar Portillo [EMAIL PROTECTED] wrote: Am Mittwoch, den 15.10.2008, 11:32 -0400 schrieb Rodrigo Fuentealba: El dÃa 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo [EMAIL PROTECTED] escribió: iptables -P INPUT DROP iptables -PF ORWARD DROP Antes de que el doc von Brand alegue: usa REJECT!!! Jiji, ya alegamos alguna vez, soy de los que prefieren DROP, Como ya dije, es un crimen usar DROP en forma indiscriminada. para evitar detecciones, Que se no detecta con eso? nmap feliz de la vida te dice que se esta botando el trafico, con lo que claramente /algo/ hay. tráfico innecesario, *Aumenta* el trafico innecesario, por retransmisiones c. paquetes que te joden la vida Para eso, creo que lo recomendable es un buen psicologo (u orientacion profesional para ubicar alguna ocupacion menos estresante, en casos recalcitrantes). incluso haciendo tethereal/tcpdump. Mira los manuales, hay maneras bastante simples de filtrar el trafico que no te interesa... [...] Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Como que no les queda otra en tal caso, no? Algunos optan por descartar paquetes de determinada MAC. Generalmente se le llama traffic shaping (si, contrataste un cierto ancho de banda; si hay disponible capaz que te den la opcion de usar mas, si no...) [...] Lo que me dijo mi proveedor es que los switches ADSL que usan son los que realizan tal operación. La verdad es que si un router tiene que empezar a descartar paquetes, habrá que tomar una decisión: o descartas uno de cada usuario, con lo que fundes a todos, o fundes a un solo usuario, por unos segundos, para evitar excesivas fuentes. Creo que yo optaré por lo último cuando cree mi lÃnea de routers adsl, jaja... Mejor estudia manejo de congestion en redes, particularmente como lo hace TCP. Lo que se usa hoy es RED y/o ECN, que /no/ es tu mecanismo simplista (que solo llevaria a mucho peor desempen~o). -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile 234 Fax: +56 32 2797513 From [EMAIL PROTECTED] Mon Oct 20 11:06:09 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Mon Oct 20 11:06:11 2008 Subject: como bloquear palabras ofensivas + spamassassin In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] yrojas [EMAIL PROTECTED] wrote: estimados he logrado bloquear una palabra mediante spamassassin, No. Te garantizo que si escribo p a l a b r o t a, o pa1abrota, pala-brota, o una infinidad de otras variantes, o si uso alguna expresion alternativa (como el tipico huge rod que usan para evitar caer en filtros simplistas de los que ofrecen aumentarte el miembro viril) pasa sin hacerle cosquillas. O simplemente le mandan un GIF con el texto. Etc. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de InformaticaFono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile 234 Fax: +56 32 2797513 From [EMAIL PROTECTED] Mon Oct 20 11:39:38 2008 From: [EMAIL PROTECTED] (Jens Hardings Perl) Date: Mon Oct 20 11:39:52 2008 Subject: como bloquear palabras ofensivas + spamassassin In-Reply-To: [EMAIL PROTECTED] References: [EMAIL PROTECTED] [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] On Mon, 2008-10-20 at 11:06 -0300, Horst H. von Brand wrote: yrojas [EMAIL PROTECTED] wrote: estimados he logrado bloquear una palabra mediante spamassassin, No. Te garantizo que si escribo p a l a b r o t a, o pa1abrota, pala-brota, o una infinidad de otras variantes, o si uso alguna expresion alternativa (como el tipico huge rod que usan para evitar caer en filtros simplistas de los que ofrecen aumentarte el miembro viril) pasa sin hacerle cosquillas. O simplemente le mandan un GIF con el texto. Etc. Me recuerda que cuando nos llegaban los comentarios de cursos (via encuesta docente) en que hablaban de la comcion en lugar de computacion nos hicieron caso de dejar de usar filtros, claro que solamente para nosotros... Saludos, -- Jens.
pregunta de iptables +dar accesos directos
Am Montag, den 20.10.2008, 11:01 -0300 schrieb Horst H. von Brand: Rodolfo Alcazar Portillo [EMAIL PROTECTED] wrote: Am Mittwoch, den 15.10.2008, 11:32 -0400 schrieb Rodrigo Fuentealba: Lo que me dijo mi proveedor es que los switches ADSL que usan son los que realizan tal operación. La verdad es que si un router tiene que empezar a descartar paquetes, habrá que tomar una decisión: o descartas uno de cada usuario, con lo que fundes a todos, o fundes a un solo usuario, por unos segundos, para evitar excesivas fuentes. Creo que yo optaré por lo último cuando cree mi línea de routers adsl, jaja... Mejor estudia manejo de congestion en redes, particularmente como lo hace TCP. Lo que se usa hoy es RED y/o ECN, que /no/ es tu mecanismo simplista (que solo llevaria a mucho peor desempen~o). Te perdiste el thread, la consulta era porqué Rodrigo percibe interrupciones en el servicio de su ISP. Si respondes objetivamente a la consulta concreta en vez de dar palo y crear ruido en la lista, te lo agradeceremos todos. Saludos :) -- Rodolfo Alcazar - [EMAIL PROTECTED] otbits.blogspot.com / counter.li.org: #367962 -- Fedora -- All my bits are free, are yours?
pregunta de iptables +dar accesos directos
Am Mittwoch, den 15.10.2008, 11:32 -0400 schrieb Rodrigo Fuentealba: El día 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo [EMAIL PROTECTED] escribió: iptables -P INPUT DROP iptables -PF ORWARD DROP Antes de que el doc von Brand alegue: usa REJECT!!! Jiji, ya alegamos alguna vez, soy de los que prefieren DROP, para evitar detecciones, tráfico innecesario, paquetes que te joden la vida incluso haciendo tethereal/tcpdump. alguna vez vi corriendo esto en iptables y el unico problema que habían como 10 equipos de que salían a internet sin restricciones de proxy Puedes hacer proxy transparente, diciéndole al firewall: todo lo que venga desde mi red interna por el puerto 80, que se vaya al puerto 3128 de mi equipo. Exacto. Y cuando lo configures, googlea porqué puedes entrar a la página principal de hotmail, pero no a ver tu correo. No recomiendo usar proxy transparente. Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Algunos optan por descartar paquetes de determinada MAC. Eso no debería ser. Generalmente timofónica tiene esa clase de políticas. Lo que me dijo mi proveedor es que los switches ADSL que usan son los que realizan tal operación. La verdad es que si un router tiene que empezar a descartar paquetes, habrá que tomar una decisión: o descartas uno de cada usuario, con lo que fundes a todos, o fundes a un solo usuario, por unos segundos, para evitar excesivas fuentes. Creo que yo optaré por lo último cuando cree mi línea de routers adsl, jaja... Saludos! -- Rodolfo Alcazar Responsable red y datos Deutsche Gesellschaft für Technische Zusammenarbeit (GTZ) GmbH Programa de Apoyo a la Gestión Pública Descentralizada y Lucha Contra La Pobreza - PADEP Av. Sánchez Lima 2226 La Paz, Bolivia Tel: +591 22417628 (121) Fax: +591 22417628 (126) Web: www.padep.org.bo Email: [EMAIL PROTECTED]
pregunta de iptables +dar accesos directos
Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas: como se pude dar acceso directo a intenet mediante iptables a ciertos equipos de la red Ejemplo para el equipo 192.168.11.15, sin proxy: Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y todo paquete que sale, se acepta: iptables -P INPUT DROP iptables -PF ORWARD DROP iptables -P OUTPUT ACCEPT Siempre aceptas, al principio de las reglas FORWARD, las conexiones que ya están establecidas: iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Luego, si quieres dar acceso por todos los puertos: iptables -A FORWARD -s 192.168.11.15 -j ACCEPT O si quieres dar acceso solo por los puertos HTTP, HTTPs, pop3 y SMTP: iptables -A FORWARD -s 192.168.11.15 -j PUERTOS y antes creas la cadena PUERTOS: # esta regla debe estar arriba, yo la pongo aquí para que la entiendas. # si no la pones arriba, la anterior instruccion te dará error. iptables -n PUERTOS iptables -A PUERTOS -p tcp --dport 25 -j ACCEPT iptables -A PUERTOS -p tcp --dport 80 -j ACCEPT iptables -A PUERTOS -p tcp --dport 110 -j ACCEPT iptables -A PUERTOS -p tcp --dport 443 -j ACCEPT alguna vez vi corriendo esto en iptables y el unico problema que habían como 10 equipos de que salían a internet sin restricciones de proxy ... con proxy, es otra historia, el subject dice accesos directos. Yo pondría las reglas POP3, POP3s, IMAP y SMTP con forward, en el mismo firewall pongo el proxy, de preferencia SQUID, y las reglas ahora son de INPUT... u otro asunto a través de iptables y habían momentos o lapsus (1 min aprox) en que no había señal para estos equipos lo extraño era que no se producían siempre a la misma hora sino que a horas distintas para cada equipo. Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Algunos optan por descartar paquetes de determinada MAC. :) -- Rodolfo Alcazar Responsable red y datos Deutsche Gesellschaft für Technische Zusammenarbeit (GTZ) GmbH Programa de Apoyo a la Gestión Pública Descentralizada y Lucha Contra La Pobreza - PADEP Av. Sánchez Lima 2226 La Paz, Bolivia Tel: +591 22417628 (121) Fax: +591 22417628 (126) Web: www.padep.org.bo Email: [EMAIL PROTECTED]
pregunta de iptables +dar accesos directos
El día 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo [EMAIL PROTECTED] escribió: Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas: como se pude dar acceso directo a intenet mediante iptables a ciertos equipos de la red Ejemplo para el equipo 192.168.11.15, sin proxy: Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y todo paquete que sale, se acepta: iptables -P INPUT DROP iptables -PF ORWARD DROP iptables -P OUTPUT ACCEPT Antes de que el doc von Brand alegue: usa REJECT!!! alguna vez vi corriendo esto en iptables y el unico problema que habían como 10 equipos de que salían a internet sin restricciones de proxy Puedes hacer proxy transparente, diciéndole al firewall: todo lo que venga desde mi red interna por el puerto 80, que se vaya al puerto 3128 de mi equipo. u otro asunto a través de iptables y habían momentos o lapsus (1 min aprox) en que no había señal para estos equipos lo extraño era que no se producían siempre a la misma hora sino que a horas distintas para cada equipo. Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Algunos optan por descartar paquetes de determinada MAC. Eso no debería ser. Generalmente timofónica tiene esa clase de políticas. Saludos, -- Rodrigo Fuentealba http://www.thecodekeeper.net/