Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. Prezado catvbrasil

    Justamente eh isso que está sendo feito, bloquear tudo e deixar passar só o que interessa!

    Nenhum p2p conecta fora do horário determinado.

  2. Amigão, dsclpe a minha pergunta pois sou leigo ainda, mas estas regras se aplicam onde dentro do MK? na Nat, no Mangle onde eu as ponho.


    Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.



  3. Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.

    Bom, quero dar a minha opinião, se for de encontro a alguns que me perdoem,mas, acho que não é bem assim:

    O que seria considerado portas altas em TCP? Seriam portas acima da 10000, então o colega ainda bloqueou portas baixas (na minha opinião).

    Ao fazer esse tipo de bloqueio ele diminuirá sim drasticamente o consumo de banda da rede dele, mas, também em contra partida, vários serviços pararão de funcionar com essas regras, vou comentar...

    As poprtas UDP acima da 1024 são consideradas portas altas, e na maioria das vezes são usadas por vírus, e softwares que usam o protocolo P2P, bloquear as portas é válido, mas dessa forma quando o cliente for usar VOIP'S como (skype, lig, e outros) com certeza não irão funcionar, pois os mesmos precisam de portas altas UDP para fazer a sua conexão, alguns jogos on-line (e seriam muitos) também parariam de funcionar, por que também precisam de portas altas, então fazer o bloqueio assim para toda a rede eu não acho justo com as pessoas que navegam normalmente sem usar a conexão para downloads cada vez maiores.

    Quanto ao bloqueio da porta ( 0 ) TCU e UDP isso sim é válido para todos por que assim evitamos que a conexão criptografada do WAREZ e seus semelhantes se estabeleçam causando assim um furo no controle de banda da rede.

    Esse bloqueio de portas altas TCP e UDP deve sim ser feito mas para cada ip que começe a estrapolar a conexão, não é justo aplicar isso a toda a rede.

    Uma das principais coisas que deve ser feita em uma rede é o bloqueio de todo o trafego desnecessário NO CLIENTE, vou comentar...

    Um pouco sobre NAT e controle de banda:
    Normalmente o controle de banda em um provedor de acesso Wireless é feito no servidor que usa regras estáticas para descartar os pacotes até que se atinja a velocidade pretendida. Isso acarreta um sério problema já que os pacotes saem do cliente, via equipamento de rádio, passam pelo POP principal (AP) e chegam ao provedor para só então fazer o controle de banda com descarte de pacotes. Note que os pacotes continuam a passar pelo POP principal, fazendo com ele trabalhe mais, e sem necessidade, já que os pacotes serão descartados somente no Servidor. Se a máquina do cliente estiver contaminada com certos vírus ou softwares P2P (Emule, Edonkey, Kazaa, Torrent, etc), que enviam grandes requisições de pacotes UDP ou TCP, o problema será maior ainda, chegando ao ponto de um só cliente derrubar o POP como um todo. Sniffers de rede, como o Iptraf e o tdpdump, também não serão de grande valia, já que o POP estará tão congestionado que as informações chegarão (se chegarem) totalmente truncadas dificultando a descoberta do problema.
    Com isso os ''técnicos'' tentarão trocar equipamentos, cabos, conectores, antenas, gastarão muito dinheiro, sendo o problema ocasionado, muitas vezes, por um só cliente. Assim é IMPRESCINDÍVEL que o controle seja feito no cliente, antes que os pacotes subam para o POP, fazendo com que o AP principal trabalhe muito mais solto, já que ele repassará somente o tráfego necessário. Controlando, também, a banda de upload evita que grandes requisições de pacotes, comprometam o desempenho do POP.
    Fazendo NAT também no cliente, (sempre que possível) teremos a certeza que eles não se enxergarão e possibilitando fazer regras de firewall protegendo a sua rede e tornando o serviço mais profissional.

    ESPERO QUE COMPREENDAM A MENSAGEM, muitas vezes o problema é de como a sua rede está configurada, desde a placa de rede instalada no PC do seu cliente até o modem de sua conexão.

    Aproveitem que hoje estou bomzinho para repassar essas dicas, e a quem conseguir assimilar o que está dito aqui, conseguirá colocar a sua rede e a conexão dos seus clientes em um nível muito superior ao que é, e a dos seus concorrentes.
    Última edição por Roberto21; 01-04-2008 às 21:28.

  4. Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.
    Amigo de nada adinata somente travar as portas em forward...

    Saiba que são 3 canais nativos:

    Forward - Pacotes que passam pelo roteador (exemplo: trafego entre pcs na rede, tráfego direcionado a serviços como web-proxy, etc)
    Input - Pacotes que chegam da internet para o roteador (estes são os piores)
    Output - Pacotes que saem para internet (estes não representam pouco/nenhum perigo)

    Suas regras são excelentes, porém ao meu ponto de vista incompletas... Ainda não usaria elas no meu provedor....



  5. Citação Postado originalmente por catvbrasil Ver Post
    Amigo de nada adinata somente travar as portas em forward...

    Saiba que são 3 canais nativos:

    Forward - Pacotes que passam pelo roteador (exemplo: trafego entre pcs na rede, tráfego direcionado a serviços como web-proxy, etc)
    Input - Pacotes que chegam da internet para o roteador (estes são os piores)
    Output - Pacotes que saem para internet (estes não representam pouco/nenhum perigo)

    Suas regras são excelentes, porém ao meu ponto de vista incompletas... Ainda não usaria elas no meu provedor....
    ----------------------------------------------------------------

    Tenho mais algumas regras para adicionar, porém apenas com estas grande parte do problema ja foi solucionado.






Tópicos Similares

  1. Não Limitar numero de conexões que vem do proxy
    Por wnascimento no fórum Redes
    Respostas: 3
    Último Post: 20-04-2010, 09:21
  2. Controle do p2p
    Por Good_speed no fórum Redes
    Respostas: 1
    Último Post: 05-02-2007, 09:23
  3. P2p o que fazer com eles ?
    Por patrickcanton no fórum Servidores de Rede
    Respostas: 2
    Último Post: 13-12-2006, 00:22
  4. Relato de uso do Controle de Conexões Simultâneas (CONNLIMIT)
    Por roneyeduardo no fórum Servidores de Rede
    Respostas: 18
    Último Post: 13-11-2006, 09:38
  5. Revista que venha com cd do freeBsd???
    Por no fórum Sistemas Operacionais
    Respostas: 6
    Último Post: 09-05-2004, 15:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L