Archivo por meses: Junio 2014

Priorizar voip

priorizar voipHace algún tiempo hablé sobre cómo detectar y priorizar voip en entornos Mikrotik. En aquella ocasión hablamos del TOS de los paquetes voip y de cómo valernos de este tipo de marcado para diferenciarlo del resto.

Sin embargo, las redes suelen ser más complejas y a menudo aparecen multitud de protocolos o excepciones que, si bien no deben tener la misma prioridad que la voip si que deben ser tenidos en cuenta para que todo funcione correctamente.

Por ello, una forma de priorizar voip y otros protocolos a la vez que “penalizamos” aquellos que son menos importantes, es utilizar las queues. Estas “colas” nos sirven para limitar la cantidad de tráfico que cedemos a otros protocolos, garantizar el tráfico que vamos a asignar a nuestra voip por ejemplo, así como establecer prioridades entre los diferentes tipos de tráfico.

De esta forma, si nuestra conexión es de 10/1 Mbits podemos decidir qué cantidad de tráfico reservamos para determinados protocolos así como la cantidad máxima de tráfico que podrán cursar otros.

Lo primero que debemos hacer antes de poder establecer límites, garantías y prioridades es marcar el tráfico a través de las siguientes reglas del mangle.

/ip firewall mangle
add action=mark-packet chain=prerouting comment=”SIP and RTP” disabled=no dscp=46 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting disabled=no dscp=26 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting comment=”Trafico entre sedes” disabled=no dst-address=192.168.0.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.10.0/24
add action=mark-packet chain=prerouting disabled=no dst-address=192.168.10.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.0.0/24
add action=mark-packet chain=prerouting disabled=no new-packet-mark=GENERAL passthrough=no

Acto seguido establecemos nuestra queue tree:

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=MAIN parent=global-out priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=160K max-limit=256K name=voip packet-mark=VOIP parent=MAIN priority=1 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=1M max-limit=5M name=TRAFICO_SEDES packet-mark=SEDES parent=MAIN priority=2 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=10M name=TRAFICO_GENERAL packet-mark=GENERAL parent=MAIN priority=8 queue=wireless-default

De esta forma establecemos una cola principal donde garantizamos el tráfico que sale de nuestro router Mikrotik. Hemos otorgado una prioridad de 1 y un ancho de banda garantizado de 160kbits hasta 256 kbits a la voip. Luego  hemos asignado una prioridad 2 y un mínimo de 1Mbit al tráfico entre las sedes. El resto del tráfico está marcado por una prioridad mínima de 8 y un límite máximo de 10 Mbits.

Todas estas medidas junto con unas correctas políticas de firewall pueden conseguir optimizar las comunicaciones entre sedes remotas. No obstante, hay que recordar que no es recomendable utilizar líneas domésticas para fines profesionales.
¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

PowerMac G4 Cube y SSD

Installing a ssd on a PowerMac G4 Cube

La aparición de los discos duros SSD ha conseguido incrementar hasta límites insospechados el rendimiento de equipos que, de otra forma, hubieran sido jubilados antes. Por ello quería comprobar con mis propios ojos que tal se comportaba el binomio PowerMac G4 Cube y SSD.

Esta es una de esas modificaciones que llevaba tiempo queriendo hacer. Se trata de incrementar el rendimiento de mi PowerMac G4 Cube instalando un SSD. En estos últimos años hemos presenciado la evolución de memorias, slots, procesadores, etc. Sin embargo, uno de los elementos que apenas ha sufrido evolución es el disco duro. Nuestro equipo en cuestión montaba de fábrica un disco duro ide UDMA 66 IBM a 5.400 rpm de 20GB. Esto significa que el nivel máximo teórico que podría alcanzar el bus serían 66MBytes/s.

Un problema a la hora de combinar un PowerMac G4 Cube y SSD es el tipo de bus. Tal y como hemos comentado, el bus de nuestro Cube es ide UDMA66 mientras que los discos SSD son habitualmente SATA. Por ello he necesitado un adaptador ide to sata. En mi caso me he decantado por un adaptador de la marca Startech por el buen rendimiento que he visto que proporcionaba en diversos foros.

Adaptador ide to SATA en un PowerMac G4 Cube

Finalmente aquí podéis observar la mejora en el rendimiento con el benchmark del antes y el después. Además debo resaltar que, si bien antes el PowerMac G4 Cube era un equipo bastante silencioso, ahora lo es totalmente.

Antes

Antes

Después

Después

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik filtrado capa 7

Mikrotik filtrado capa 7En anteriores entradas hemos comentado la manera de restringir el tráfico tanto de entrada como de salida así cómo el tráfico dirigido a nuestro equipo Mikrotik. La utilización de reglas de filtrado en capa 3 tiene una doble función, por un lado optimizar el uso del ancho de banda de nuestra conexión a Internet mientras que por el otro aumentamos la seguridad de nuestra red no permitiendo la entrada o salida de protocolos no autorizados.

Sin embargo, a la hora de filtrar el tráfico de salida muchas veces nos encontramos con que las reglas en capa 3 son muy sencillas pero quizás no son todo lo potentes que nosotros quisiéramos. Por ejemplo, si permitimos el tráfico desde nuestra LAN con una regla forward a cualquier destino con puerto 80 estamos permitiendo cualquier conexión con destino puerto 80. ¿Qué pasa entonces si queremos restringir el acceso a Youtube, Dropbox o webs de redes sociales? En ese caso debemos utilizar el filtrado en capa 7, es decir, filtrar en la capa de aplicación.

Nuestro Mikrotik tiene capacidad para aplicar filtrado capa 7. Esto significa que podemos ir más allá de un puerto y filtrar el acceso a determinadas webs.

Imaginemos que queremos restringir el acceso a Youtube.com. Para ello podríamos usar la siguiente configuración:

ip firewall layer7-protocol

add name=Youtube regexp=^.+(youtube).*$

ip firewall filter

add chain=forward action=drop src-address=192.168.88.0/24 layer7-protocol=Youtube

Si os parece una medida un poco drástica siempre podemos utilizar las queues para, si bien no filtrar, al menos limitar el ancho de banda consumido por este tipo de aplicaciones. En un próximo post hablaremos de ello.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Retr0bright, la prueba de fuego.

Retr0bright la prueba definitivaA menudo me preguntan sobre la efectividad del Retr0bright por este motivo creo que lo que estás a punto de leer a continuación puede despejar todas tus dudas. Hace tiempo que tenía pensado llevar a cabo un proceso de restauración de un monitor Apple A2M4090. Se trata de un monitor monocromo de 9″ fabricado en 1984 y que acompañaba como opción al Apple //c. Este pequeño monitor de fósforo verde había estado almacenado durante mucho tiempo en algún lugar donde recibía la luz directa del sol por lo que presentaba un color anaranjado.

Desde el primer momento me pregunté si el Retr0bright sería capaz de devolverle su color original. Para aquellos que no conozcan el Retr0bright recordaré que se trata de un producto para blanquear ordenadores antiguos que se prepara se forma casera y cuyos ingredientes son: Peróxido de Hidrógeno (agua oxigenada), Goma xantana (como espesante), Glicerina y un detergente blanqueante basado en oxígeno activo.

Justo antes del retr0brightEn esta imagen se puede apreciar  perfectamente la diferencia entre el interior del monitor y el exterior así como el tono anaranjado que había adquirido.

Proceso Retr0bright

En esta imagen se pueden apreciar los componentes al sol. Gracias a la glicerina la solución tarda bastante en secarse, no obstante, yo suelo volver a impregnar los plásticos cada 20 minutos. Hay que recordar que el Retr0bright no se puede conservar por lo tanto hay que utilizarlo en pocas horas. Este equipo estuvo aproximadamente dos horas bajo el sol de Junio en Andalucía.

Resultado finalFinalmente podéis apreciar el resultado final. Si bien es cierto que no se ha conseguido el color original no descarto que en una segunda sesión vuelva a lucir como hace 30 años. En cualquier caso el resultado es más que positivo.

Queda por tanto demostrada la efectividad de Retr0bright.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik address list

Mikrotik priorizar tráficoUna forma de ahorrar tiempo a la hora de configurar reglas de filtrado en nuestro equipo mikrotik es usar las address list. Una address list no es más que un conjunto de direcciones ip que posteriormente vamos a utilizar en una regla de filtrado.

Un buen ejemplo para explicar la utilidad de las Mikrotik address list sería por ejemplo utilizarlas para restringir el acceso a servidores de correo. Imaginemos el caso de una empresa que tiene sus cuentas de correo con el proveedor ISP. Podríamos decir que el 100% del tráfico de correo, SMTP, POP3, IMAP, etc. debe de tener como dirección de destino los servidores MX que dicho ISP tenga asignados a nuestro dominio. Es posible por tanto crear una address list que contenga todas las direcciones ip de los servidores de correo de nuestro ISP.

¿Qué ganamos con esto? por un lado, evitamos que cualquier usuario pueda configurarse una cuenta de correo ajena a la empresa y por el otro, si uno de los equipos de la empresa se infectara con un malware podríamos estar seguros de que no podría seguir extendiéndose a través del correo electrónico fuera de la empresa.

A continuación tenéis un ejemplo de filtro usando una address list.

ip firewall address-list

add address=56.67.78.9 disable=no list=”Servidores Correo”

add address=56.67.78.10 disable=no list=”Servidores Correo”

ip firewall filter

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=25 protocol=tcp

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=110 protocol=tcp

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento