Traffic shaping y bloqueo de puertos
Traffic shaping y bloquo de puertos
Load balancing
Tracear el uso de la red
- Visualizing Network Traffic with Netflow and FlowScan (NetFlow y FlowScan son parte de la misma suite, parece)
Traffic shaping
- Traffic shaper (en castellano)
- Linux Advanced Routing and Traffic Control
- Traffic Shaping tutorial
- HTB home
- ADSL bandwidth management howto (kernel 2.4.18+HTB patch, imq device, iptables 1.2.6a)
- Linux Bandwidth Arbitrator
- Trickle Un traffic shaper para controlar los p2p. Es de userspace y consigue controlar el tráfico a base de un LD_PRELOAD y modificar los read/write.
- Artículo describiendo el state-of-the-art en p2p shaping (11/11/2005). Aconseja:
- IPP2P Usa greps para localizar el tráfico
- P2pWall and rope Controla gnutella/bt y algunos cuantos protocolos más.
En principio habría que seguir el ADSL management howto. Hay parche de HTB para el kernel 2.2.18 (que es el que tienen guagua y los demás). Pero para IMP (InterMediate Queueing) no lo he visto (y es el que se usaría para controlar el ratio de download... :-/
Quizás lo más sencillo sería migrar al kernel de woody-xfs... (ahora que ya no dependo del kernel 2.2 por el cipe, y en 2.4 está bien soportado en el vtun).
NOTA: internetti esta actualizado a woody, pero ni guagua ni portalico lo están (creo que portalico no merece la pena actualizarlo, al ser un 486, pero guagua es un P4).
Aprender iptables para poder usar kernel 2.4
Bloqueo de puertos
La idea es limitar el uso que se hace de P2P; la mejor manera sería seguir los consejos de este mensaje (how to block p2p) y en esta página sobre bloqueo de p2p
Resumiendo, las posibilidades son:
- Usar p2pwall (en sorceforge) para bloquear Kazaa/WinMX.
- Usar iptables-p2p, basado en analizar la capa de aplicación de los mensajes salientes (aunque eso seguramente requierirá bastante capacidad de procesamiento).
- Detectar (p2p-grab) los clientes con muchas conexiones "a puertos raros" (es decir, diferente de los clásicos 80, 23,21,110...) y bajarle el ancho de banda a esas conexiones (esto funcionaría incluso con eMule/eDonkey).
Bloquear las conexiones del messenger
(Obtenido de La Cofradía)
Esto es solamente para los que usamos linux para compartir el internet de una red mediante iptables.
El truco esta en no bloquearlo directamente, se logra mediante un redireccionamiento de puertos.
Con una instrucción parecida a esta :
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.53 --dport 1863 -j DNAT --to-destination 192.168.0.5:1863
En donde 192.168.0.53 es la ip de la computadora a la que le quieres bloquear el messenger y 192.168.0.5 es una computadora inexistente en tu red. Esta IP puede ser cualquiera que no se este usando.
Si bloqueo el puerto messenger (1863) automaticamente se brinca el puerto y lo intenta mediante el puerto 80. Gran error :S
Pero si lo redirecciono a una computadora que no existe, messenger cree que esta caido el servicio y no puede hacer un inicio de sesión. :D