<div class="gmail_quote">2010/10/18 Nicolás Reynolds <span dir="ltr"><<a href="mailto:fauno@kiwwwi.com.ar">fauno@kiwwwi.com.ar</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
El 18/10/10 10:50, Pablo Manuel Rizzo dijo:<br>
<div><div></div><div class="h5">> 2010/10/18 Diego Saravia <<a href="mailto:dsa@unsa.edu.ar">dsa@unsa.edu.ar</a>>:<br>
> >>> Con el siguiente comando se reducen bastante estos cortes:<br>
> >>><br>
> >>> iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state ESTABLISHED<br>
> >>> --source-port 80 -j DROP<br>
> >>><br>
> >><br>
> >> aja<br>
> >><br>
> >> ¿pero qué hace ese comando exactamente?<br>
> >><br>
> >> o sea ¿qué modificación nueva introduce en tu conexión?<br>
> >><br>
> >>> Por lo que me han comentado, Telefónica está cambiando un software de QoS<br>
> >>> (Quality of Service) por uno de Microsoft y prioriza los dispositivos con<br>
> >>> Windows.<br>
> >><br>
> ><br>
> ><br>
> > como sabe que son dispositivos windows?<br>
><br>
> hmmm... mas que saber, debe estar más probado con los parametros de<br>
> tcp/ip que usa windows por defecto, y no tanto con los que usa<br>
> gnulinux.<br>
><br>
><br>
> Esa instrucción creo que<br>
><br>
> iptables -A INPUT // para los paqutes entrantes<br>
><br>
> -p tcp // del protocolo tcp (no udp)<br>
><br>
> --tcp-flags RST RST // marcados con estos flags (que los desconosco,<br>
> supongo estarán por ahí documentados)<br>
><br>
> -m state --state ESTABLISHED // que correspondan a conexiones<br>
> previamente establecidas (no nuevas ni cerrandose etc)<br>
><br>
> --source-port 80 // que provengan del puerto http de la maquina remota<br>
><br>
> -j DROP // eliminarlos inmediatamente<br>
><br>
><br>
> Y supongo que al ser eliminados y no llegar la información esa para la<br>
> conexión establecida, se intentará retrasmitir el paqute, y cuando<br>
> venga sin el flag RST RST pasará bien.<br>
><br>
> Bueno, no recuerdo de memoria los parametros de iptables, muy<br>
> acostumbrado a usar herramientas graficas como fwbuilder o webmin, si<br>
> alguien sabe más, por favor corrija.<br>
<br>
</div></div>Creo que es la misma que recomendaban para evitar el bloqueo de P2P que<br>
hacía Comcast, puede ser? El tema es que vos pedías conectarte a un par<br>
y el sistema de ellos te reconocía el tipo de paquete y te respondía con<br>
un RST (reset?).<br>
<br>
Entonces configurabas tu firewall para que no los acepte y listo :P<br>
<br></blockquote><div><br><br>Ahí uno decía esto en otra lista:<br><br>"Los que analizaron un poco las conexiones, comprobaron que cuando el
proxy transparente empieza a fallar (¿cuando está sobrecargado?)
responde al SYN con RST (reset) en lugar de un SYN,ACK. ¿Porqué no pasa
esto con Windows? Un verdadero misterio, y no creo en conspiraciones:
calculo que por casualidad tienen implementado algo distinto en su stack
TCP/IP que hace menos evidente el problema, porque un poco les pasa,
pero muy poco."</div></div><br><br>Yo tengo todas mis maquinas conectadas a un openvpn en un datacenter, ahora puse allí un squid y estoy navegando por allí, como va todo por vpn es a penas un poquito mas lento pero casi ni se nota y anda bien.<br clear="all">
<br>-- <br>Pablo Manuel Rizzo<br>-------------------------------<br><a href="http://pablorizzo.com" target="_blank">http://pablorizzo.com</a><br>-------------------------------<br><br>