[suse-linux-s] Limitar ancho de banda de los programas
Hola compañeros: He estado mirando formas de limitar o reservar el ancho de banda de algunos programas. Hasta ahora he conseguido hacerlo según los puertos, pero en mi caso personal pretendo que dos navegadores (Opera y Firefox), ambos por el puerto 80, tengan una limitación o reserva de ancho de banda diferente. Gracias y saludos! -- Linux user 403126 # http://counter.li.org SuSE 10.1 - KDE 3.5.1
El Sábado, 3 de Junio de 2006 10:21 AM, Ordectivo Linuxero escribió:
Hola compañeros:
He estado mirando formas de limitar o reservar el ancho de banda de algunos programas. Hasta ahora he conseguido hacerlo según los puertos, pero en mi caso personal pretendo que dos navegadores (Opera y Firefox), ambos por el puerto 80, tengan una limitación o reserva de ancho de banda diferente.
Uno para el opera y otro para el firefox? (disculpa la pregunta como respuesta) -- ************************ Hugo Sandoval Consultor http://www.softwarelibre.com.ve http://www.virtualnet.com.ve http://juegos.virtualnet.com.ve (Juega Lineage II) ************************ <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******>
El objetivo sería limitar el ancho (tanto de subida como bajada) que pueda
usar Opera, y asegurar o reservar a firefox (siempre que el proceso esté en
ejecución) un determinado ancho de banda. Como decía he conseguido limitar
el ancho de banda de los "programas" según los puertos que usasen, el
problema lo encuentro en que estos dos, al ser ambos navegadores web, usan
el puerto 80.
2006/6/3, Hugo Sandoval
El Sábado, 3 de Junio de 2006 10:21 AM, Ordectivo Linuxero escribió:
Hola compañeros:
He estado mirando formas de limitar o reservar el ancho de banda de algunos programas. Hasta ahora he conseguido hacerlo según los puertos, pero en mi caso personal pretendo que dos navegadores (Opera y Firefox), ambos por el puerto 80, tengan una limitación o reserva de ancho de banda diferente.
Uno para el opera y otro para el firefox? (disculpa la pregunta como respuesta) -- ************************ Hugo Sandoval Consultor http://www.softwarelibre.com.ve http://www.virtualnet.com.ve http://juegos.virtualnet.com.ve (Juega Lineage II) ************************ <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******>
-- Linux user 403126 # http://counter.li.org SuSE 9.3 - KDE 3.5.1
El Sábado, 3 de Junio de 2006 10:48 AM, Ordectivo Linuxero escribió:
El objetivo sería limitar el ancho (tanto de subida como bajada) que pueda usar Opera, y asegurar o reservar a firefox (siempre que el proceso esté en ejecución) un determinado ancho de banda. Como decía he conseguido limitar el ancho de banda de los "programas" según los puertos que usasen, el problema lo encuentro en que estos dos, al ser ambos navegadores web, usan el puerto 80.
Te doy una respuesta basada en nada. Prueba con los delay pools de squid, si tienen para determinar el tipo de archivo que estas bajando, la hora, etc, no creo que sea imposible determinar mediante el agente del navegador cuál está accesando la página y así poder lanzarle un ancho de banda aproximado. Pero las sentencias exactas para realizar dicha tarea las desconozco. (cuando puedas explicános para qué darle un ancho de banda a firefox y otro a opera :-S) -- ************************ Hugo Sandoval Consultor http://www.softwarelibre.com.ve http://www.virtualnet.com.ve http://juegos.virtualnet.com.ve (Juega Lineage II) ************************ <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******>
Pues quiero darle un ancho de banda distinto porque últimamente estoy
subiendo bastantes archivos pesados a webs como megaupload.com, que me usan
todo el ancho, de modo que quiero usar un navegador para navegar, y dejar al
otro subiendo, con el ancho restringido para poder navegar de forma cómoda,
eso con respecto a la subida. Con la bajada me pasa igual, me acaba de pasar
bajando, por ejemplo, kde 3.5.3. Poner un proxy no me parece la mejor idea,
y la verdad es que se poco o nada de squid, aún así, si no hay otra solución
me pondré a investigar... alguien da más? :P
Gracias y saludos!!
2006/6/3, Hugo Sandoval
El objetivo sería limitar el ancho (tanto de subida como bajada) que
usar Opera, y asegurar o reservar a firefox (siempre que el proceso esté en ejecución) un determinado ancho de banda. Como decía he conseguido
El Sábado, 3 de Junio de 2006 10:48 AM, Ordectivo Linuxero escribió: pueda limitar
el ancho de banda de los "programas" según los puertos que usasen, el problema lo encuentro en que estos dos, al ser ambos navegadores web, usan el puerto 80.
Te doy una respuesta basada en nada. Prueba con los delay pools de squid, si tienen para determinar el tipo de archivo que estas bajando, la hora, etc, no creo que sea imposible determinar mediante el agente del navegador cuál está accesando la página y así poder lanzarle un ancho de banda aproximado. Pero las sentencias exactas para realizar dicha tarea las desconozco.
(cuando puedas explicános para qué darle un ancho de banda a firefox y otro a opera :-S) -- ************************ Hugo Sandoval Consultor http://www.softwarelibre.com.ve http://www.virtualnet.com.ve http://juegos.virtualnet.com.ve (Juega Lineage II) ************************ <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******>
-- Linux user 403126 # http://counter.li.org SuSE 9.3 - KDE 3.5.1
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-04 a las 01:18 +0200, Ordectivo Linuxero escribió:
bajando, por ejemplo, kde 3.5.3. Poner un proxy no me parece la mejor idea, y la verdad es que se poco o nada de squid, aún así, si no hay otra solución me pondré a investigar... alguien da más? :P
Lo único que conozco es bloquear el acceso a la red a un programa que se ejecute bajo determinado usuario (¿o era un grupo?). Pero no me suena haber oido de controlar el ancho de banda usado. Tendrías que estudiarte las posibilidades de iptables y sus distintos módulos, a ver si alguno lo hace :-? ¿QOS? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEghyHtTMYHG2NR9URAujZAJ9ZeHM+WEaH0rx8LqhTgBGG2D2S6gCfYagP tL1LEASHKmq7+nn3wAsVFlM= =eNq5 -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 3/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE-----
[...]
Lo único que conozco es bloquear el acceso a la red a un programa que se ejecute bajo determinado usuario (¿o era un grupo?). Pero no me suena haber oido de controlar el ancho de banda usado.
Tendrías que estudiarte las posibilidades de iptables y sus distintos módulos, a ver si alguno lo hace :-?
mmm.. si, se puede limitar el ancho de banda por protocolos y tambien filtrarlo, utilizando como por ejemplo L7 (http://l7-filter.sourceforge.net/).
¿QOS?
sii.. esto seria el camino !!! hay aca una interessante articulo sobre el tema en este enlace: http://bulma.net/body.phtml?nIdNoticia=2084 en todo caso yo apoyo la idea de limitar el ancho de banda al inves de bloquearlo por completo... por que ??? se uno bloquea algun programa p2p este va intentar ir por otra puerta o utilizara otro metodo para se conectar, intentando burlar el bloqueo.. pero se uno limita el ancho de banda a unos valores muy bajos (1kb/s, por ejemplo) este continuara intentando se comunicar por los metodos estandares y el usuario simplemente pensara que hay un problema con la red, pues el programa funciona muy lento y logicamente no ira reclamar !!!! ;-) salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-03 a las 22:24 -0400, Victor Hugo dos Santos escribió:
Tendrías que estudiarte las posibilidades de iptables y sus distintos módulos, a ver si alguno lo hace :-?
mmm.. si, se puede limitar el ancho de banda por protocolos y tambien filtrarlo, utilizando como por ejemplo L7 (http://l7-filter.sourceforge.net/).
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo. El cortafuegos no bloquea la red por procesos, como se hace en el windows, sino por puertos. Sin embargo, existe la posibilidad de bloquear por completo un programa, haciendo su ejecutable SGID "algo", y entonces bloquear todo el tráfico procedente del grupo "algo": iptables -A OUTPUT -m owner --gid-owner algo -j REJECT (sólo en una sóla máquina, no para una red) Si existiera algo parecido (que no tengo ni idea de si sí o si no) para limitar el ancho de banda, estaría resuelto. Arj... tendré que leerme el man iptables un dia de estos. ¿Algún howto sencillito?
¿QOS?
sii.. esto seria el camino !!! hay aca una interessante articulo sobre el tema en este enlace: http://bulma.net/body.phtml?nIdNoticia=2084
tendré que leerme esas cosas. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEg0BatTMYHG2NR9URArG3AJ0WpYvA1uvOhgH4Hb3bC8ylYBAKFwCeJCMK B60eodq9A/zgEl40tazkHDM= =sXkW -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 4/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-06-03 a las 22:24 -0400, Victor Hugo dos Santos escribió:
Tendrías que estudiarte las posibilidades de iptables y sus distintos módulos, a ver si alguno lo hace :-?
mmm.. si, se puede limitar el ancho de banda por protocolos y tambien filtrarlo, utilizando como por ejemplo L7 (http://l7-filter.sourceforge.net/).
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo: "L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on." o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
Sin embargo, existe la posibilidad de bloquear por completo un programa, haciendo su ejecutable SGID "algo", y entonces bloquear todo el tráfico procedente del grupo "algo":
iptables -A OUTPUT -m owner --gid-owner algo -j REJECT
(sólo en una sóla máquina, no para una red)
Si existiera algo parecido (que no tengo ni idea de si sí o si no) para limitar el ancho de banda, estaría resuelto.
Arj... tendré que leerme el man iptables un dia de estos. ¿Algún howto sencillito?
mmm.. personalmente encuentro el iptables-howto tutorial (http://iptables-tutorial.frozentux.net/iptables-tutorial.html) bastante interessante y simples (despues de leer y entender las reglas basicas y como funciona)... pero tambien hay en internet unos documentos de Pello Xabier que indica muy bien como funciona y como configurar iptables (me refiro al tutorial y no al curso de iptables de 21 segundos) http://www.pello.info/?q=node/view/1#iptables mmm.. se uno desea algo mas serio/complexo debe de complementarlo con el iptables-howto que mencione antes.
¿QOS?
sii.. esto seria el camino !!! hay aca una interessante articulo sobre el tema en este enlace: http://bulma.net/body.phtml?nIdNoticia=2084
tendré que leerme esas cosas.
mm.. vale a pena !!! :D -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-04 a las 22:33 -0400, Victor Hugo dos Santos escribió:
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on."
o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
Tener que analizar el contenido del paquete para saber de que programa viene es pesado computacionalmente; en cambio, saber que usuario lo ha emitido, es muy simple, el kernel lo sabe (me refiero al usuario bajo el que corre el proceso). L7 sería en cambio muy util en un cortafuegos centralizado, en cuyo caso el otro método es inutil. Pero en fin, supongo que le valdría a Ordectivo, que es quien tenía el problema - a ver si dice algo.
mmm.. personalmente encuentro el iptables-howto tutorial (http://iptables-tutorial.frozentux.net/iptables-tutorial.html) bastante interessante y simples (despues de leer y entender las reglas basicas y como funciona)... pero tambien hay en internet unos documentos de Pello Xabier que indica muy bien como funciona y como configurar iptables (me refiro al tutorial y no al curso de iptables de 21 segundos)
Échare un vistazo.
mmm.. se uno desea algo mas serio/complexo debe de complementarlo con el iptables-howto que mencione antes.
No, yo lo que busco es una idea global, desde el principio, para hacerme una idea; no necesariamente para hacerme yo un cortafuegos, sino para entender como funciona. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEhA8ctTMYHG2NR9URAonmAJ9btbfVRfJTDNUh6uon7+tvDbj+SACffJ8y +z42GTwWZpk8AllvKLcse14= =zDfF -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 2006-06-04 a las 22:33 -0400, Victor Hugo dos Santos escribió:
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as
Creo que "application layer" no significa programa, mas bien, como indicas a continuación, "protocolo" HTTP, FTP, ....
Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on."
o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-05 a las 14:33 +0200, Javier Alvarez escribió:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as
Creo que "application layer" no significa programa, mas bien, como indicas a continuación, "protocolo" HTTP, FTP, ....
No, dice que «identifica los paquetes basándose en datos de la capa de aplicaciones», es decir, los datos que añaden los programas. Dicho de otra forma, que identifica el tráfico analizando el contenido. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEhDcrtTMYHG2NR9URAn/gAJ9ZkMiWCf0GQICbEWeUub91iVbohACfRxJS X400KFzzrJlUWO/8X2Pa6Hs= =uRsc -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Digo algo: Se supone que L7 distinguira los paquetes segn una cadena que se
emita en ellos habitualmente, que depende del programa. La pregunta es si
hay diferencias entre los paquetes que pueda enviar firefox y
opera, y que posibilidades da L7 (si permite restringir el ancho de
banda y no solo permitir o no el paso de los paquetes,
y si es posible hacerlo con los que se emitan y no solo con los
recibidos), y si fuese
posible, la solucion pasaria por crear un pattern para opera que
restringiese el ancho de banda. Por otra parte... que es L7? un proxy,
o controla toda la red? Otro problema es el tiempo que tarda en
analizar los paquetes http segun su web: "Not
so fast: 30-120 seconds for random data. 500-3000 seconds for real data.".
Gracias por la ayuda que me estais prestando... Gracias y saludos!
El día 5/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-06-04 a las 22:33 -0400, Victor Hugo dos Santos escribió:
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on."
o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
Tener que analizar el contenido del paquete para saber de que programa viene es pesado computacionalmente; en cambio, saber que usuario lo ha emitido, es muy simple, el kernel lo sabe (me refiero al usuario bajo el que corre el proceso). L7 sería en cambio muy util en un cortafuegos centralizado, en cuyo caso el otro método es inutil.
Pero en fin, supongo que le valdría a Ordectivo, que es quien tenía el problema - a ver si dice algo.
mmm.. personalmente encuentro el iptables-howto tutorial (http://iptables-tutorial.frozentux.net/iptables-tutorial.html) bastante interessante y simples (despues de leer y entender las reglas basicas y como funciona)... pero tambien hay en internet unos documentos de Pello Xabier que indica muy bien como funciona y como configurar iptables (me refiro al tutorial y no al curso de iptables de 21 segundos)
Échare un vistazo.
mmm.. se uno desea algo mas serio/complexo debe de complementarlo con el iptables-howto que mencione antes.
No, yo lo que busco es una idea global, desde el principio, para hacerme una idea; no necesariamente para hacerme yo un cortafuegos, sino para entender como funciona.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFEhA8ctTMYHG2NR9URAonmAJ9btbfVRfJTDNUh6uon7+tvDbj+SACffJ8y +z42GTwWZpk8AllvKLcse14= =zDfF -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Linux user 403126 # http://counter.li.org SuSE 10.1 - KDE 3.5.3
2006/6/5, Ordectivo Linuxero
Digo algo: Se supone que L7 distinguira los paquetes segn una cadena que se emita en ellos habitualmente, que depende del programa. La pregunta es si hay diferencias entre los paquetes que pueda enviar firefox y opera,
sii.. hay diferencias entre los paquetes enviados por opera y firefox y mozilla!!!!
y que posibilidades da L7 (si permite restringir el ancho de banda y no solo permitir o no el paso de los paquetes, y si es posible hacerlo con los que se emitan y no solo con los recibidos),
si.. se puede, pero se debe de aplicar un parche al kernel para que IMQ trabaje como lo mencionas (controlando el ancho de banda de entrada y salida).
Por otra parte... que es L7? un proxy, o controla toda la red?
es un parche a netfilter.. o sea, un filtro de paquetes.. mmm.. "creo" que se podria agregarlo a la categorias de "cortafuegos" pero no de proxy.
Otro problema es el tiempo que tarda en analizar los paquetes http segun su web: "Not so fast: 30-120 seconds for random data. 500-3000 seconds for real data.".
mmm.. es cierto, no tenia observado esto !!! ya que en la pagina sobre performance (http://l7-filter.sourceforge.net/performance) indica que : "AMD Atlhon XP 3200+ 1GB RAM (DDR-400), using edonkey, fasttrack, gnutella, and bittorrent patterns and about 100 iptables rules for firewalling, 700-1000 simultaneous users. With 20Mbits of traffic CPU usage about 35%. With 27Mbits of traffic CPU usage about 53%. The load average is usually 0.02, with a few spikes of 0.2 in the worst case." o sea...deberia de funcionar bien... mmm. en todo caso, ahora me explico el porque en un firewall que revise el filtro para bloquear el IE en una empresa lo tenian en el squid y los filtros para redes P2P estaban bajo iptables+L7. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 5/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-06-04 a las 22:33 -0400, Victor Hugo dos Santos escribió:
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on."
o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
Tener que analizar el contenido del paquete para saber de que programa viene es pesado computacionalmente;
nooo.. para nada ... basicamente es lo mismo que hace los IDS por ejemplo. y te garantizo que tengo snort funcionando en una red de aproximadamente unos 140 usuarios y funciona en un P3 de 650MHz sin problemas.
en cambio, saber que usuario lo ha emitido, es muy simple, el kernel lo sabe (me refiero al usuario bajo el que corre el proceso). L7 sería en cambio muy util en un cortafuegos centralizado, en cuyo caso el otro método es inutil.
mmm.. si, esto es cierto. pero cual seria la idea de instalar un corta fuegos de este estilo en una maquina de un usuario comun y corriente ??? impedir que utilize determinados programas ??? para esto lo desintalas y no le pase la contrasena de admin para que lo vuelva a instalar y listo. [...]
mmm.. se uno desea algo mas serio/complexo debe de complementarlo con el iptables-howto que mencione antes.
No, yo lo que busco es una idea global, desde el principio, para hacerme una idea; no necesariamente para hacerme yo un cortafuegos, sino para entender como funciona.
entonces, si te servira el documento de arriba.. es muy bueno !!! salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-05 a las 12:48 -0400, Victor Hugo dos Santos escribió:
en cambio, saber que usuario lo ha emitido, es muy simple, el kernel lo sabe (me refiero al usuario bajo el que corre el proceso). L7 sería en cambio muy util en un cortafuegos centralizado, en cuyo caso el otro método es inutil.
mmm.. si, esto es cierto. pero cual seria la idea de instalar un corta fuegos de este estilo en una maquina de un usuario comun y corriente ??? impedir que utilize determinados programas ??? para esto lo desintalas y no le pase la contrasena de admin para que lo vuelva a instalar y listo.
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEhILstTMYHG2NR9URAs74AJ0Qr6QNWkepGTiMDEEVIxGPBhZ1SACfVcoz M4hncfVcRVZ57v/6rfXQuzk= =Xggo -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 5/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE-----
[...]
mmm.. si, esto es cierto. pero cual seria la idea de instalar un corta fuegos de este estilo en una maquina de un usuario comun y corriente ??? impedir que utilize determinados programas ??? para esto lo desintalas y no le pase la contrasena de admin para que lo vuelva a instalar y listo.
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco?
xpdf no te espia !!! :D mmm..pero si, te capto la idea !!!:-D salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-05 a las 16:15 -0400, Victor Hugo dos Santos escribió:
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco?
xpdf no te espia !!! :D
Cierto, pero tiene varias gaitas. El diálogo buscador de ficheros me muestra todos los ficheros y directorios ocultos, que en el directorio home son docenas. La rueda del ratón no funciona. Una vez abierto el documento (uno que estoy viendo ahora mismo) me tarda 6 segundos en cambiar de página. El acrobat no presenta esos problemas y el cambio de página es instantáneo. También he probado el "gpdf", que tiene mejor presentación, pero es también muy lento cambiando de página - claro, que el acrobat me usa 158 Megas (virt), y el gpdf sólo 25. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEh18NtTMYHG2NR9URArXwAJ95ye/AwSYlvLKx3YS+F0ubzJNU2ACeJDjS +bG3O/ByJoKOnIEgvrExFN4= =r1b5 -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
QoS para lo del firefox , el explorer, konqueror y otras hierbas. XDDDD...........
* limitar anchos de banda a segun que navegador es una autentica estupidez, obviando la posibilidad de que se siente en otra maquina y arranque el incorrecto....... dixit.
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco?
* Esto se hace, cinco minutos con un snifer, y notificandolo a los proxy's, que para eso estan, por origen, destino, expresion regular, dominio, ip, etc, etc y si + dansguardian, pues mucho mas, contenido, etc.... * IMQ, lo unico que hace es "tratar de enmascarar" el trafico de bajada como si fuera de subida, esto es ipv4 y mientras tanto, las ñapas son solo eso ñapas incluidos los modulos para iptables que pretenden meterse en el terreo de los proxy's.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-06 a las 22:47 +0200, jose maria escribió:
* limitar anchos de banda a segun que navegador es una autentica estupidez, obviando la posibilidad de que se siente en otra maquina y arranque el incorrecto....... dixit.
Para la persona que puso la pregunta original tiene su utilidad.
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco?
* Esto se hace, cinco minutos con un snifer, y notificandolo a los proxy's, que para eso estan, por origen, destino, expresion regular, dominio, ip, etc, etc y si + dansguardian, pues mucho mas, contenido, etc....
Vale, ¿me dices como hago eso en mi ordenador de casa? Sale a través de un router de tesa, un comtrend, en el que no puedo tocar el software. No hay proxys ni falta que me hacen. En cambio, bloquear el acrobat - o cualquier otro programa - en mi máquina mediante iptables es una chorrada de cinco minutos, tirando por lo alto. Además, no es tan sencillo: te recuerdo que ese acrobat soporta scripts cargados desde el documento leído, y es ese script de ese documento el que decide a donde llama, diciendo qué, y usando que protocolo y que puerto. No es tan obvio de bloquear en el cortafuegos de una intranet. Se trata de evitar que los autores de esos documentos se enteren, por ejemplo, de que yo estoy leyendo su documento porque yo no quiero que me espíen. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEhuCFtTMYHG2NR9URAhd3AJsGCegvt/rc9rfLRg2Y71x6+lMVUgCeNfB3 GgpEQfwxb/UpxCppEbcrpH4= =890v -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Miércoles, 7 de Junio de 2006 16:19, Carlos E. R. escribió:
Para la persona que puso la pregunta original tiene su utilidad.
* Pero es que es una utilidad erronea, el comportamiento normal de la implementacion de la pila, es el reparto equitativo de ancho de banda entre solicitudes, a expensas logicamente del receptor, latencia , etc, dado que al parecer esas subidas las hace con un navegador ademas de ser esporadicas, puede usar delay pools activando y desactivando contra el sitio/dominio/ip que al parecer es conocido, si fuera un tema permanente le recomendaria otra cosa, en este caso concreto creo que simplemente con usar una aplicacion donde se pueda configurar ancho utilizado, curl por ejemplo o trikle o ambos. trickle -u 10 curl http://www.pueseso.com/enredando.tar.bz2 \ -o enredando.tar.bz2
Vale, ¿me dices como hago eso en mi ordenador de casa? Sale a través de un router de tesa, un comtrend, en el que no puedo tocar el software. No hay proxys ni falta que me hacen.
* Entonces para que quieres que te lo diga.
En cambio, bloquear el acrobat - o cualquier otro programa - en mi máquina mediante iptables es una chorrada de cinco minutos, tirando por lo alto.
* Nones, lo dejo que esto es muy largo y no tengo ganas ..........
Además, no es tan sencillo: te recuerdo que ese acrobat soporta scripts cargados desde el documento leído,
* No tengo el acrobat, pero esto no significa nada.
y es ese script de ese documento el que decide a donde llama, diciendo qué, y usando que protocolo y que puerto. No es tan obvio de bloquear en el cortafuegos de una intranet.
* Un proxy no transparente se ha de configurar en el cliente y a menos que explicitamente lo incluyas como variable de entorno en el cliente y la aplicacion la tome o se le permita tomarla y soporte esta caracteristica, NO hay que hacer nada para bloquear a esa aplicacion que hace llamadas http, hay media docena mas de posibilidades. * Obviamente los proxys se usan (aparte de otras razones) para utilizar politicas por defecto drop con enmascaramiento y reenvio desactivados, si no para este viaje no hacian falta estas las alforjas.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-06-07 a las 20:09 +0200, jose maria escribió:
En cambio, bloquear el acrobat - o cualquier otro programa - en mi máquina mediante iptables es una chorrada de cinco minutos, tirando por lo alto.
* Nones, lo dejo que esto es muy largo y no tengo ganas ..........
Es una chorrada. Se publicó en la lista de seguridad de suse hace ya tiempo.
Además, no es tan sencillo: te recuerdo que ese acrobat soporta scripts cargados desde el documento leído,
* No tengo el acrobat, pero esto no significa nada.
O sea, ¿a tí te da igual que leas un documento en el acrobat, y el puñetero documento ejecute un programa que trae dentro del documento para decirle al autor que _tu_ estás leyendo su documento, desde tal IP? Eso no es ficción, es un hecho conocido, se hace con el acrobat 7. Las soluciones existentes son eliminar ciertos plugins del acrobat, o bloquearle el acceso a la red. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD4DBQFEhyUitTMYHG2NR9URAhQQAKCEyks0VT//0YC+QcePyIWiDKv8ZQCUDQWc xf5FnZbt3uZjEYxDY4UNVg== =pprc -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Miércoles, 7 de Junio de 2006 21:12, Carlos E. R. escribió:
El 2006-06-07 a las 20:09 +0200, jose maria escribió:
En cambio, bloquear el acrobat - o cualquier otro programa - en mi máquina mediante iptables es una chorrada de cinco minutos, tirando por lo alto.
* Nones, lo dejo que esto es muy largo y no tengo ganas ..........
Es una chorrada. Se publicó en la lista de seguridad de suse hace ya tiempo.
* A ver que no me estoy refiriendo a tal o cual regla, harto conocidas y pensadas en origen para trafico p2p, de ciertos parches, me estoy refiriendo al concepto para el que se idean estos modulos/parches (casi siempre por erronea peticion popular) al no querer usar autentificacion y otros metodos y programas apropiados existentes desde antes de iptables, estos parches son para cosas limitadas y en ocasiones muy especificas, que un usuario avezado se saltara, iptables no es un cortafuegos a nivel de aplicacion, el uso de iptables para lo suyo y los proxys para lo suyo es lo apropiado.
Además, no es tan sencillo: te recuerdo que ese acrobat soporta scripts cargados desde el documento leído,
* No tengo el acrobat, pero esto no significa nada.
O sea, ¿a tí te da igual que leas un documento en el acrobat, y el puñetero documento ejecute un programa que trae dentro del documento para decirle al autor que _tu_ estás leyendo su documento, desde tal IP? Eso no es ficción, es un hecho conocido, se hace con el acrobat 7.
* Vamos a ver, que el tal acrobat soporte scripts, haga llamadas o lo que sea, "no significa nada" a mayores en cuanto a que pueda saltarte un proxy , salir a internet y hacer lo que le de la gana, no sale y ya esta.
Mas arriba puedes ver la utilidad que pretendo darle: "Pues quiero darle un
ancho de banda distinto porque últimamente estoy subiendo bastantes archivos
pesados a webs como megaupload.com, que me usan todo el ancho, de modo que
quiero usar un navegador para navegar, y dejar al otro subiendo, con el
ancho restringido para poder navegar de forma cómoda, eso con respecto a la
subida. Con la bajada me pasa igual, me acaba de pasar bajando, por ejemplo,
kde 3.5.3."
En cualquier caso deberia ser posible limitar de alguna manera el ancho de
banda por procesos. Siento si mis preguntas no tienen para ti utilidad, pero
pregunto precisamente porque no se como hacerlo, y porque tengo un problema
que pretendo de alguna manera solventar...
Gracias por la ayuda a todos!
2006/6/6, jose maria
QoS para lo del firefox , el explorer, konqueror y otras hierbas. XDDDD...........
* limitar anchos de banda a segun que navegador es una autentica estupidez, obviando la posibilidad de que se siente en otra maquina y arranque el incorrecto....... dixit.
Pues por ejemplo, sirve para instalar el acrobat 7 y evitar que llame a casa y me espíe. ¿Te parece poco?
* Esto se hace, cinco minutos con un snifer, y notificandolo a los proxy's, que para eso estan, por origen, destino, expresion regular, dominio, ip, etc, etc y si + dansguardian, pues mucho mas, contenido, etc....
* IMQ, lo unico que hace es "tratar de enmascarar" el trafico de bajada como si fuera de subida, esto es ipv4 y mientras tanto, las ñapas son solo eso ñapas incluidos los modulos para iptables que pretenden meterse en el terreo de los proxy's.
-- Linux user 403126 # http://counter.li.org SuSE 10.1 - KDE 3.5.3
El Miércoles, 7 de Junio de 2006 18:22, Ordectivo Linuxero escribió:
Mas arriba puedes ver la utilidad que pretendo darle: "Pues quiero darle un ancho de banda distinto porque últimamente estoy subiendo bastantes archivos pesados a webs como megaupload.com, que me usan todo el ancho, de modo que quiero usar un navegador para navegar, y dejar al otro subiendo, con el ancho restringido para poder navegar de forma cómoda, eso con respecto a la subida.
* ¿Cuanto caudal nominal de subida tiene tu conexion? * Usa aplicaciones que permitan limitar el ancho utilizado, tirando de curl por ejemplo, pero hay otras incluso graficas, o mira alguna de las opciones que te apunto en el otro mail, siempre que sea para una cuestion permanente, entonces htb.
Con la bajada me pasa igual, me acaba de pasar bajando, por ejemplo, kde 3.5.3."
* No, este es un problema de concepto, el ancho de download se reparte por defecto mas o menos, el problema de respuesta en una u otra bajada, es mas complejo tambien tiene que ver con el canal subida, * Ejemplo, el canal de subida esta trabajando con otra aplicacion subiendo a megaupload, uno de los dos que esta bajando (navegando) tiene pequeña latencia con quien le sirve de tal manera que sus paquetes de confirmacion de llegada son rapidos y como consecuencia recibe del servidor mas madera, el otro tiene una latencia mas pobre, sus paquetes de confirmacion de llegada de tramas, llegan lentos incluso pueden morir por timeout si a esto le sumas que ya hay dos disfrutando con cierta holgura, la tercera puede estar recibiendo nada mas que paquetes repetidos, dando la impresion de no recibir nada.
En cualquier caso deberia ser posible limitar de alguna manera el ancho de banda por procesos.
* Proceso, me temo que es un termino demasiado amplio por estos lares y si eso lo mezclas tal cual con ipv4, sera ipv4 quien te dara cumplida respuesta.
participants (6)
-
Carlos E. R.
-
Hugo Sandoval
-
Javier Alvarez
-
jose maria
-
Ordectivo Linuxero
-
Victor Hugo dos Santos