Re: cortafuegos
- To: Jaume Sabater <jaume@argus.es>, Lista Debian Castellano <debian-user-spanish@lists.debian.org>
- Subject: Re: cortafuegos
- From: Manel Marin <manel3@apdo.com>
- Date: Thu, 28 Dec 2000 22:36:51 +0100
- Message-id: <[🔎] 20001228223651.B883@sirius.local>
- Mail-followup-to: Jaume Sabater <jaume@argus.es>, Lista Debian Castellano <debian-user-spanish@lists.debian.org>
- In-reply-to: <3.0.2.32.20001227154235.00e2b900@sugra.com>; from jaume@argus.es on Wed, Dec 27, 2000 at 03:42:35PM +0100
- References: <3.0.2.32.20001221120956.006e460c@sugra.com> <Pine.BSF.4.21.0011171109550.13272-100000@iteso.mx> <Pine.BSF.4.21.0011171109550.13272-100000@iteso.mx> <20001118112904.A998@sirius.local> <3.0.2.32.20001221120956.006e460c@sugra.com> <20001225100503.A1073@sirius.local> <3.0.2.32.20001227154235.00e2b900@sugra.com>
Hola Jaume,
Te contesto en la lista de debian ya que puede interesar a mas gente, y puede
haber gente que sepa mas que yo ;-)
On Wed, Dec 27, 2000 at 03:42:35PM +0100, Jaume Sabater wrote:
> ...
> Una dudecilla: He visto que aplicas TOS tanto para el input como para el
> output. ¿No es redundante? Uséase, un paquete que haga forwarding entra, le
> haces TOS, hace forward y luego sale, por lo que le vuelves a hacer TOS. El
> hecho de hacerle dos veces TOS a un paquete no lo ralentica mucho? Digo yo,
> si en un paquete le das la minima prioridad de entrada y la minima
> prioridad de salida, se estará esperando el doble de rato, no?
>
No, que restes prioridad a los paquetes no quiere decir que no pasen, al menos
yo no lo he notado
Lo que si se nota es que puedes bajar ftp a lo bestia y navegar casi normal
> Otra cosita: No se en que howto vi un listado de puertos habitualmente
> usados por troyanos. Yo, en mis ipchains, le meto el DENY en el input y
> santas pascuas. Si quieres te puedo pasar la lista de puertos, pero mañana,
> que los tengo en casita. Pero de memoria, ahí van algunos: 31 1001 1011
> 1234 1999 20001 20034
>
Como solo aceptamos conexiones iniciadas por nosotros (tcp) y solo permitimos
acceso udp a nuestros servidores DNS no creo necesario prohibir expresamente
ese monton de puertos, ademas tienes varios problemas:
1) Debes de estar siempre al loro y actualizar la lista a nuevos puertos con
frecuencia
2) Muchos troyanos parece que pueden usarse en puertos "no estandar"
3) Si una de tus maquinas usa uno de esos puertos prohibidos al hacer una
salida no recibirá los datos que pide, y deberá esperar un timeout, resultado
posible: una pagina web con un dibujo en blanco
Otra cosa seria restringir los puertos que permitimos utilizar a nuestra red
a unos cuantos, en Linux se puede especificar el rango de puertos a traves del
/proc (pero no recuerdo como), y los Win probablemente siempre empleen el mismo
rango de puertos de salida
Ahora bien estoy casi seguro que habrá troyanos que habiten en esos rangos...
Saludos,
--
-------------------------------------------------
Manel Marin e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato) kernel 2.2.17
GnuPG keyID: F9BC34B5 en certserver.pgp.com
fingerprint: 2F60 43D5 A297 5458 9067 5A50 0029 9C8D F9BC 34B5
Mira mis chuletas de Linux en http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
(Pasate por http://www.libranet.com/petition.html ;-)
Reply to: