Inici » blogs » blog de l'usuari rroca

Tallant el P2P d'un proxy públic amb RouterOS

Als proxys públics federats normalment els padrins no ens hi deixen fer P2P. De fet, és bastant lògic: la seva funció no es dirigeix cap a suportar aquest tipus de trànsit, i en canvi sí que s'orienta a suportar la màxima concurrència d'altres coses, fonamentalment navegar per la Internet. A més, amb una xarxa com la de guifi.net, qui vulgui fer aquestes coses té altres opcions molt millors: des d'altres llocs i, sobretot, maximitzant els avantatges que tenim de disfrutar d'una gran xarxa interna simètrica, abans que no pas intentar esprémer uns cabdals assimètrics amb una amplada de banda inferior com són les ADSL (recordeu que la pujada en una ADSL sol anar només entre 128 i 640KBps....).

El sol fet de posar-hi proxys ja complica fer aquesta mena de trànsit, però tot i així, de tant en tant, hi ha algun usuari, -despistat o no- que troba la manera de fer-ho a través del proxy.

Per a millorar aquesta gestió, allí on hi ha un proxy on s'hi arriba des d'una ràdio que funciona amb RouterOS, és ben fàcil afegir-hi restriccions, de manera que ens protegeixi el proxy però no impedeixi aquest tipus de trànsit a dins de la xarxa. Per fer-ho haurem de conèixer la IP del proxy i executar-hi un parell d'instruccions al tallafocs que porta incorporat:

Per exemple, si el proxy el tenim a la 10.138.120.66, les instruccions són aquestes:

/ ip firewall filter
add chain=forward dst-address=10.138.120.66 p2p=all-p2p action=drop comment="" \
    disabled=no
add chain=forward src-address=10.138.120.66 p2p=all-p2p action=drop comment="" \
    disabled=no

Substituïu aquesta IP per la del proxy que vulgueu protegir, i a través d'aquest trasto ja serà molt més difícil que hi traspassi trànsit d'aquest tipus amb origen o destí al proxy.

Evidentment es poden fer actuacions similars fent servir l'iptables sobre trastos basats amb Linux.

per rroca el 09/09/2007 - 07:49, actualitzat el 12/09/2007 - 19:22 | notícies guifi.net | blog de l'usuari rroca | entreu o registreu-vos per a enviar comentaris

Opcions de visualització de comentaris

Escull com vols veure els comentaris i clica 'Desa configuració' per activar els canvis.

ip?

les ips són correctes?

en el text hi poses .65 i a les ordres pel mikrotik hi ha .66

per gil_forcada el dl, 10/09/2007 - 14:18 | entreu o registreu-vos per a enviar comentaris

corregit.

la ip que s'ha de posar és la del proxy (dst.-address/src-address), no pas la del mikrotik.

Merci.

per rroca el dl, 10/09/2007 - 14:59 | entreu o registreu-vos per a enviar comentaris

Ausa

Aquesta nit ho he aplicat a l'ausa, quan pugui ho passo als altres st on hi ha proxys.

per lluis.dalmau el dl, 10/09/2007 - 15:08 | entreu o registreu-vos per a enviar comentaris

com es podria fer amb un wrt54g

Com es faria amb un wrt54g de linksys o un trasto basat amb dd-wrt?
no tinc ni idea de iptables Smiling

per knoppix el dl, 10/09/2007 - 16:49 | entreu o registreu-vos per a enviar comentaris

Crec que no es pot; el

Crec que no es pot; el routeros crec que fa servir layer7 (aplicacio) per detectar de quin tipus de protocol es tracta, els firmwares del linksys no tenen inspecions de paquets a capa 7; ni tans sols les implementacions de qos amb tc, crec que no va gaire fines.

per SGaleano@badalo... el dl, 10/09/2007 - 17:59 | entreu o registreu-vos per a enviar comentaris
pàgina generada en: 0.536 segons.