Digo algo: Se supone que L7 distinguira los paquetes segn una cadena que se
emita en ellos habitualmente, que depende del programa. La pregunta es si
hay diferencias entre los paquetes que pueda enviar firefox y
opera, y que posibilidades da L7 (si permite restringir el ancho de
banda y no solo permitir o no el paso de los paquetes,
y si es posible hacerlo con los que se emitan y no solo con los
recibidos), y si fuese
posible, la solucion pasaria por crear un pattern para opera que
restringiese el ancho de banda. Por otra parte... que es L7? un proxy,
o controla toda la red? Otro problema es el tiempo que tarda en
analizar los paquetes http segun su web: "Not
so fast: 30-120 seconds for random data. 500-3000 seconds for real data.".
Gracias por la ayuda que me estais prestando... Gracias y saludos!
El día 5/06/06, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-06-04 a las 22:33 -0400, Victor Hugo dos Santos escribió:
Pero fíjate que no puede hacerlo por protocolos, porque quiere limitar el puerto 80 sólo para el Opera, pero no para el Firefox: en ambos casos es el mismo protocolo.
pero hombre, visitaste la pagina esta ??? primero paragrafo:
"L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on."
o sea, puedes bloquear por aplicacciones ... mmm , mejor, por uno indentificador/string que viene dentro del paquete.
Tener que analizar el contenido del paquete para saber de que programa viene es pesado computacionalmente; en cambio, saber que usuario lo ha emitido, es muy simple, el kernel lo sabe (me refiero al usuario bajo el que corre el proceso). L7 sería en cambio muy util en un cortafuegos centralizado, en cuyo caso el otro método es inutil.
Pero en fin, supongo que le valdría a Ordectivo, que es quien tenía el problema - a ver si dice algo.
mmm.. personalmente encuentro el iptables-howto tutorial (http://iptables-tutorial.frozentux.net/iptables-tutorial.html) bastante interessante y simples (despues de leer y entender las reglas basicas y como funciona)... pero tambien hay en internet unos documentos de Pello Xabier que indica muy bien como funciona y como configurar iptables (me refiro al tutorial y no al curso de iptables de 21 segundos)
Échare un vistazo.
mmm.. se uno desea algo mas serio/complexo debe de complementarlo con el iptables-howto que mencione antes.
No, yo lo que busco es una idea global, desde el principio, para hacerme una idea; no necesariamente para hacerme yo un cortafuegos, sino para entender como funciona.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFEhA8ctTMYHG2NR9URAonmAJ9btbfVRfJTDNUh6uon7+tvDbj+SACffJ8y +z42GTwWZpk8AllvKLcse14= =zDfF -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Linux user 403126 # http://counter.li.org SuSE 10.1 - KDE 3.5.3