sábado, 3 de diciembre de 2011

Script para detener ddos

Instalarlo en nuestro servidor web es sencillo, los desarrolladores nos brindan un script simple para instalar:

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Igualmente tienes el widget para desinstalar si ya no lo deseas:

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos

Una vez instalado DoS-Deflate, podemos editar la configuración que se ubica en /usr/local/ddos/ddos.conf:
* FREQ=1.- Cada cuantos minutos correr el script. Viene programado para correr cada minuto, lo que parece razonable, teniendo en cuenta que de un minuto a otro podrían saturarte mucho el servidor web.
* NO_OF_CONNECTIONS=150.- Indica el límite de conexiones, 150 en este caso. Si una conexión IP hace más conexiones que este límite, se le bloqueará por el tiempo que se especifica en BAN_PERIOD.
* APF_BAN=1 . Si es igual a uno (1) se usará APF, sino lo tienes instalado, cámbialo por cero (0) para usar iptables.
* BAN_PERIOD=600. Cantidad de segundos en que la IP estará bloqueada. Son 10 en la configuración predeterminada, puedes cambiarlo por una hora (3600 segundos).
Teniendo funcionando el script, se nos enviará un mail con el detalle de la ip bloqueada.
Si deseas que alguna IP conocida realice muchas conexiones hacia tu servidor web, y la tienes bién identificada puedes indicarlo en /usr/local/ddos/ignore.ip.list para que no sea bloqueada.

lunes, 3 de octubre de 2011

FAIL2BAN

FAIL2BAN
Fail2ban escanea archivos de logs como [var/log/proftpd/ftp.log] y "banea" las direcciones IP que hacen intentos fallidos de contraseña demasiadas veces (es configurable el numero de veces que cuenta).Para hacer este bloqueo el script usa IPTABLES. Las reglas filtrado o "alarma" pueden ser definidas por nosotros (los adminis) y puede leer varios archivos de log como sshd, Apache, pop3, smnp, Http-auth, etc. Estas reglas no son mas que expresiones regulares, esto quiere decir que si necesitamos algo a medida, lo programamos.

Primer paso: Yo voy a hacerlo de la manera fácil (apt-get install), sin embargo si así lo decaes puedes instalarlo manualmente lo único que tengo para decirte es que este depende de algunas librerías y aplicaciones, podes verlo con mas detalle acá http://packages.debian.org/stable/net/fail2ban.

Tecleamos en terminal: sudo apt-get install fail2ban

Damos que si y veremos que se va a instalar junto a el "whois"

Segundo paso: Ya esta instalado! Ahora hacemos una copia de la configuración para poder configurarla sin temor alguno

Tecleamos: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Tecleamos: nano /etc/fail3ban/jail.local

Y empezamos a configurar...

[DEFAULT]
#Tiempo del ban en segundos
bantime = 600
#Mail a donde queremos que lleguen los "bans" que se producen
destemail = tumail@gmail.com
#Accion que va arealizar (que medidas tomar)
action = %(action_mwl)s

#Servicio que estamos controlando
[Ssh]
#True para habilitar el control al servicio
enabled = true
#Puerto
port = ssh
#Filtro: Nombre de la expresión regular a ser utilizada para detectar coincidencias. Este nombre #corresponde a '/etc/fail2ban/filter.d', sin la extensión del 'conf.. Por ejemplo: 'filter = sshd' se refiere a '/ #etc/fail2ban/filter.d/sshd.conf.
filter = sshd
#Pat del log a escuchar (en donde se generan los mensajes de fallo de autenticacion)
logpath = /var/log/auth.log
#Numero máximo de intentos
maxretry = 5
----------------- 

Bueno así veremos todos los servicios (proftpd, imap, etc) lo único que tenemos que hacer es pasarle el enabled a true para que empiecen a funcionar.
Saludos

jueves, 4 de agosto de 2011

Solución al error "the vspace had to stop because of missing or corrupted files. Please reinstall o Stations Limit Exceeded " de vspace.

Solución al error "the vspace had to stop because of missing or corrupted files. Please reinstall" de vspace.

Si tenes este error seguramente cuando quieras conectar la terminal también da este mensaje  "TS ERROR - Stations Limit Exceeded !"

Antes de hacer todo esto tienen que ir al panel de control, agregar o quitar programas y desinstalen el vspace
--------------
SOLUCIÓN
--------------
1. Haga clic derecho en Mi PC, haga clic en Propiedades
2. Haga clic en la pestaña "Hardware", luego "Administrador de dispositivos"
3. Ampliar UTSA / UTMA dispositivos virtuales, haga clic derecho sobre él y seleccione
desinstalar (este punto puede ser pasado por el proceso de desinstalación
realizados con anterioridad)
4. Vaya a C: \Windows  y elimine: 07110250.bin
5. Vaya a C: \Windows\System32 y elimine el archivo oemebios.bin (*** Sólo eliminar este archivo una, no elimine los archivos de aspecto similar ***)
6. Limpiar el registro de windows con los siguientes pasos:
a. Inicio> Ejecutar => regedit
b. Expanda HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Control
c. Localice  la carpeta "Multiuser", haga clic en ella y elimínela (este
artículo puede ser pasado por el proceso de desinstalar previamente
realizado)


7. Elimine la carpeta "NComputing vSpace" ubicados en los siguientes
directorios: C: \ Archivos de programa (este punto puede haber desaparecido debido al
proceso de desinstalación realizado con anterioridad)

8. Elimine la carpeta "NComputer", ubicado en el directorio siguiente:
C:\Archivos de programa\Common Files (este punto puede haber desaparecido debido al proceso de desinstalación realizado con anterioridad) Igualmente pongan buscar la carpeta NCOMPUTER y si la encuentra bórrela

domingo, 31 de julio de 2011

HAS PENSADO ESTAR EN LA NUBE (CloudComputing)

Una de las formas mejores de sacar adelante una empresa es poner todo el esfuerzo en los aspectos críticos del negocio. Pe. si te dedicas a fabricar zapatos centra todo el esfuerzo y costes en el diseño, la calidad y la comercialización. No malgastes esfuerzo en otras cosas.

Para muchas empresas las tecnologías de la información (TIC) no forman parte del "core central de sus negocios". Son simplemente uninstrumento. Eso sí un instrumento útil para automatizar procesos, para cambiarlos o mejorarlos. Pero las TIC no son la parte central del negocio y no será posiblemente lo que hará fracasar o que tenga éxito el negocio. En cambio dedican esfuerzos (personas, recursos) a montarsus unidades de informática, que muchas veces curiosamente hacen depender de administración o de finanzas.

Esas unidades de informática propias, a veces con poco acierto y con menos seguridad, se dedican a montar el sistema de mensajería, los sistemas ofimáticos y a emprender proyectos en ocasiones poco ambiciosos, con poca fuerza de cambio en la organización. Pero la empresa está contenta, ya que tiene los medios informáticos en el seno de su empresa, son de su propiedad y bajo control.

Para cambiar esta forma de pensar, un tanto trasnochada y hueca, ha venido, posiblemente para quedarse el concepto de NUBE O CLOUDCOMPUTING. Muchas empresas y empleados de las mismas no saben qué demonios es eso. Pero seguramente ya lo están usando. Sí, lo están usando sin saberlo. Posiblemente tengan una cuenta de correo en Google, o en Hotmail o suban fotos a Facebook , Twitter, o intercambien mensajes o participen en debates en Linkedin u otras redes sociales e incluso hacen transferencias bancarias desde su casa o puesto de trabajo. Pues sí, eso el CLOUD COMPUTING. No te tienes que preocupar ni del hardware ni del software, alguien lo hace por ti y además tú tienes accesos a tus recursos (fotos, mensajes, foros.etc) desde cualquier parte del mundo, simplemente con acceder a Internet y poner tus claves.

¿Qué pasa entonces? Pues eso que los servidores, el software, las comunicaciones los sistemas de almacenamiento y operativos están a tu disposición en Internet (en la nube) sin necesidad de que los tengas en modo propiedad en tu empresa.

¿Podemos trasladar esto a la empresa a su diferentes servicios y operativas? Por supuesto que sí. Ya estamos usando la nube para unmontón de cosas, tal como se ha mencionado antes. Pues porque no usarla para alojar allí documentos de la empresa, el sistema de operaciones, las informaciones de gestión y cuantas otras operativas a través de las TIC esté realizando la empresa.

Actuando mediante el CLOUD COMPUTING la empresa tiene su sistema informático, su operatividad, alojado en INTERNET. Ya no tiene las aplicaciones residiendo en sus servidores propietarios. Residen en INTERNET. Le basta para acceder a ellas, con conectarse a la página Web que su proveedor la ha facilitado, incorporar sus claves y listo, ya puede trabajar de la misma forma que lo haría si tuviera sus aplicaciones residiendo en sus servidores locales propietarios.

Las ventajas del CLOUD COMPUTING son bastantes, entre ellas podemos citar:
No hay que pagar licencias de uso
Se sustituyen las inversiones en equipamiento y software por pagos mensuales en régimen de alquiler
No hay que preocuparse de instalar infraestructuras tecnológicas en la oficina ni desarrollar programas. Todo ello lo facilita el proveedor del servicio. Se tiene el servicio listo para usarse desde Internet
No hay la limitación de uso vinculada a un puesto determinado. Las aplicaciones al no estar residentes en servidores propietarios de la empresa, están alojadas en Internet, son accesibles desde cualquier espacio físico
Ante ampliaciones de puestos de trabajo en la empresa o modificaciones en su organización que requieran nuevos puestos con equipamiento informático no hay que esperar a instalaciones. Basta con hacer una petición al proveedor de servicio y este en muy poco tiempo (uno o días) tendrá dispuestos los nuevos accesos para el nuevo personal.
Los ahorros energéticos. Al no tener equipamiento tecnológico en la oficina se ahorra todo el consumo eléctrico de los servidores y demás equipamiento que da soporte a los empleados.
Aumento en la seguridad. Es habitual que las empresas no se preocupen mucho de la seguridad de sus sistemas informáticos y de la información. El proveedor de Cloud Computing sí que lo hará

Si son tantas las ventajas ¿dónde están los inconvenientes? Básicamente los mismos se encuentran en el temor de las empresas a hacer "descansar" la custodia de la información fuera de su empresa. Hay un temor enorme a poner nuestra información en manos de terceros. Todo ello tiene que ver con los temas de confidencialidad, robo, pérdida etc. En cambio lo hacemos continuamente. Que datos más sensibles que los bancarios y en cambio estos descansan en servidores sobre los que no tenemos ningún dominio ni propiedad.

Puede tomar la decisión de ir caminando de forma progresiva hacia elCloud Computing poniendo en la nube aplicaciones poco sensibles tales como: la mensajería, la reserva de salas, la gestión de reuniones, la liquidación de gastos, la gestión de las vacaciones. Y aprender, para luego pasar a que estén en la nube informaciones más valiosas tales como aquella que conllevan las aplicaciones contables, las de facturación o las de la propia de gestión (Business Intelligence)

Lo que deberá hacer si su empresa se decide a ir por la vía del CloudComputing:
Ir paso a paso. De las aplicaciones e información menos sensible a las aplicaciones e información más sensible
Contratar con un proveedor de garantías
Establecer un clausulado acorde con los riesgos que se corren
Garantizarse que en todo momento el servicio tiene marcha atrás. Es decir que la empresa puede recuperar su información y contratar con un nuevo proveedor de cloud computing.

Por último y no menos importante deberá asegurarse un buen proveedor de ADSL, toda vez que si se queda sin ADSL no podrá trabajar. Pero esa situación es parecida a la actual cuando se queda sin suministro eléctrico. Tampoco puede trabajar aún cuando tenga los servidores al lado

domingo, 26 de junio de 2011

BARCAMPNEA

EXITOSA JORNADA EN BARCAMPNEA


Un saludo a toda la gente que participo en el evento y agradecimientos a la UNIVERSIDAD NACIONAL DEL CHACO AUASTRAL por haber financiado nuestro viaje. En unos días voy a subir el powerpoint de ROUTEROS (tema de la charla que di) , los archivos y configuraciones que prometí a los oyentes.
Nos vemos en la JOINEA...
Skype: sadamssh
Mail/Msn: sadamssh@esdebian.org

jueves, 26 de mayo de 2011

domingo, 22 de mayo de 2011

CALIDAD DE SERVICIO (QOS) SOBRE ROUTER’OS

QoS o Calidad de Servicio (Quality of Service, en inglés) son las tecnologías que garantizan la transmisión de cierta cantidad de información en un tiempo dado (throughput). Calidad de servicio es la capacidad de dar un buen servicio. Es especialmente importante para ciertas aplicaciones tales como la transmisión de vídeo o voz. 

En este artículo veremos cómo discriminar el trafico por tipo de servicio (HTTP, FTP, SSH, HTTPs, etc) y por proceso de transferencia de información (DOWNLOAD y UPLOAD), esto es de mucha ayuda a la hora dar prioridad a los servicios críticos.


Puerto
Servicio
Prioridad
Protocolo
80
HTTP
1
tcp
443
HTTPs (HTTP SEGURO)
1
tcp
53
DNS
1
tcp/udp
21
FTP
6
tcp
22
SSH
5
tcp
23
TELNET
6
tcp
25
SMTP
1
tcp
110
POP3
6
tcp
143
IMAP
1
tcp
993
IMAPs (SEGURO)
1
tcp
995
POP3s (SEGURO)
6
tcp
L7Skype
Skype Layer 7
6
tcp
L7Sphone
Skype Phone Layer7
6
tcp
3389
Windows Remote Desktop Protocol (RDP)
1
tcp
0000
Puertos no reconocidos
8
tcp/udp



















Antes que nada, en la organización deben existir políticas de red en donde se deben detallar que servicios (o aplicaciones) están permitidos. Luego hay que definir la prioridad que van a tener cada uno de ellos. A continuación vera una tabla con las columnas (Puerto, Servicio, Prioridad y protocolo), en ella vemos que el trafico http, https, dns, SMTP, IMAP, IMAPs y RDP tienen prioridad 1 (la más alta)

Ahora veremos cómo definir todo esto en un ROUTER OS de mikrotik, por cuestiones de recursos decidí identificar la mayoría de los servicios por puerto ya que ocupan menos recursos en el router y son más fáciles de procesar, solo ocupo LAYER7 con skype recuerden que por puerto el router desarma el paquete solo hasta la capa de transporte. Si ustedes están interesados en el LAYER 7 (capa 7) aquí les dejo una dirección en donde tienen expresiones regulares que ayuda a su router a identificar aplicaciones http://l7-filter.sourceforge.net/protocols

La transferencia de información (si es download o upload) en este caso lo identifico por puerto de origen y destino, si el paquete tiene en SRC-PORT (Puerto de origen) el puerto de la aplicación el paquete es DOWNLOAD, porque el servidor externo te lo está enviando. Análogamente si el paquete tiene en DST-PORT (Puerto de destino) el puerto de la aplicación el paquete es de UPLOAD, porque el cliente está mandando la petición a un servidor externo.

En el mangle de ROUTER OS marcamos los paquetes:

7 ;;; Marco todos los paquetes estos se leen en las colas padre Download y Upload

chain=prerouting action=mark-packet new-packet-mark=all passthrough=no

8 ;;; HTTP DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=http_download passthrough=no protocol=tcp src-port=80

9 ;;; HTTP UPLOAD

chain=prerouting action=mark-packet new-packet-mark=http_upload passthrough=no protocol=tcp dst-port=80 connection-mark=users-con

10 ;;; HTTPs DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=https_download passthrough=no protocol=tcp src-port=443

11 ;;; HTTPs UPLOAD

chain=prerouting action=mark-packet new-packet-mark=https_upload passthrough=no protocol=tcp dst-port=443

12 ;;; MSN: Conexi n al Servidor de MSN y Mensajes de Texto /DOWNLOAD/

chain=prerouting action=mark-packet new-packet-mark=msn_texto_download passthrough=no protocol=tcp src-port=1863

13 ;;; MSN: Conexi n al Servidor de MSN y Mensajes de Texto /UPLOAD/

chain=prerouting action=mark-packet new-packet-mark=msn_texto_upload passthrough=no protocol=tcp dst-port=1863

14 ;;; MSN: Transferencia de archivos /DOWNLOAD/

chain=prerouting action=mark-packet new-packet-mark=msn_archivos_download passthrough=no protocol=tcp

src-port=6891-6900

15 ;;; MSN: Transferencia de archivos /UPLOAD/

chain=prerouting action=mark-packet new-packet-mark=msn_archivos_upload passthrough=no protocol=tcp

dst-port=6891-6900

16 ;;; Skype To Phone - Usando L7

chain=prerouting action=mark-packet new-packet-mark=skype_phone passthrough=no layer7-protocol=skypeout

17 ;;; Skype To Skype - Usando L7

chain=prerouting action=mark-packet new-packet-mark=skype_to_skype passthrough=no layer7-protocol=skypetoskype



18 ;;; SMTP DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=smtp_download passthrough=no protocol=tcp src-port=25

19 ;;; SMTP UPLOAD

chain=prerouting action=mark-packet new-packet-mark=smtp_upload passthrough=no protocol=tcp dst-port=25

20 ;;; FTP DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=ftp_download passthrough=no protocol=tcp src-port=21,20

21 ;;; FTP - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=ftp_upload passthrough=no protocol=tcp dst-port=21,20

22 ;;; SSH - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=ssh_download passthrough=no protocol=tcp src-port=22

23 ;;; SSH - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=ssh_upload passthrough=no protocol=tcp dst-port=22

24 ;;; TELNET - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=telnet_download passthrough=no protocol=tcp src-port=23

25 ;;; TELNET - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=telnet_upload passthrough=no protocol=tcp dst-port=23

26 ;;; DNS TCP - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=dns_tcp_download passthrough=no protocol=tcp src-port=53
27 ;;; DNS TCP - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=dns_tcp_upload passthrough=no protocol=tcp dst-port=53

28 ;;; DNS UDP DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=dns_udp_download passthrough=no protocol=udp src-port=53

29 ;;; DNS UDP UPLOAD

chain=prerouting action=mark-packet new-packet-mark=dns_udp_upload passthrough=no protocol=udp dst-port=53

30 ;;; POP3 - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=pop3_download passthrough=no protocol=tcp src-port=110

31 ;;; POP3 - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=pop3_upload passthrough=no protocol=tcp dst-port=110

32 ;;; IMAP - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=imap_download passthrough=no protocol=tcp src-port=143

33 ;;; IMAP - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=imap_upload passthrough=no protocol=tcp dst-port=143

34 ;;; IMAP SSL - DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=imap_ssl_download passthrough=no protocol=tcp src-port=993

35 ;;; IMAP SSL - UPLOAD

chain=prerouting action=mark-packet new-packet-mark=imap_ssl_upload passthrough=no protocol=tcp dst-port=993

36 ;;; PUERTOS TCP DISTINTOS DE LOS ACORDADOS DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=puertos_tcp_download_redundantes passthrough=no protocol=tcp

src-port=!80,443,1863,25,21,22,23,53,110,143,993,3389,20

37 ;;; PUERTOS TCP DISTINTOS DE LOS  ACORDADOS UPLOAD

chain=prerouting action=mark-packet new-packet-mark=puertos_tcp_upload_redundantes passthrough=no protocol=tcp

dst-port=!80,443,1863,25,21,22,23,53,110,143,993,3389,20

38 ;;; Windows Remote Desktop Protocol (RDP) download

chain=prerouting action=mark-packet new-packet-mark=windows_remote_download passthrough=no protocol=tcp

src-port=3389

39 ;;; Windows Remote Desktop Protocol (RDP) UPLOAD

chain=prerouting action=mark-packet new-packet-mark=windows_remote_upload passthrough=no protocol=tcp

dst-port=3389

40 ;;; PUERTOS UDP DISTINTOS DE LOS  ACORDADOS DOWNLOAD

chain=prerouting action=mark-packet new-packet-mark=puertos_udp_download_redundantes passthrough=no protocol=udp

src-port=!80,443,1863,25,21,22,23,53,110,143,993,3389

41 ;;; PUERTOS UDP DISTINTOS DE LOS  ACORDADOS UPLOAD

chain=prerouting action=mark-packet new-packet-mark=puertos_udp_upload_redundantes passthrough=no protocol=udp

dst-port=!80,443,1863,25,21,22,23,53,110,143,993,3389
Ya tenemos los paquetes marcados, ahora tenemos que agregar un tipo de cola pcq. Es el tipo de cola sin clases que sólo se puede hacer limitación. Es una versión mejorada de SFQ sin su naturaleza stohastic. PCQ también crea subcolas, en relación con el parámetro-clasificador PCQ. Cada subcola tiene un límite de velocidad de datos de PCQ-tasa y el tamaño del límite de los paquetes-PCQ. El tamaño total de una cola PCQ no puede ser mayor que PCQ-límite total de los paquetes.

El siguiente ejemplo muestra el uso de PCQ con los paquetes, clasificados por su dirección de origen.

Vamos a tipos de cola y agregamos la cola subida con identificador dst-port y descarga con el identificador src-port

[sadam@OMEGA] /queue type>

 name="subida" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-port pcq-total-limit=2000
 name="descarga" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-port pcq-total-limit=2000

total-limit y limit lo dejamos por defecto.

Una vez que tenemos los tipos de colas creados vamos a arbol de cola y agregamos lo siguiente:
Presten atencion que para download tengo definida la interface local y para upload la publica (la de salida a internet)

[sadam@OMEGA] /queue tree>

 0   name="Download" parent=LOCAL packet-mark=all limit-at=0 priority=8 max-limit=1500k burst-limit=0 burst-threshold=0 
     burst-time=0s 
 4   name="http_download" parent=Download packet-mark=http_download limit-at=0 queue=pcq-download priority=1 max-limit=0
     burst-limit=0 burst-threshold=0 burst-time=0s

 5   name="skype_to_skype_download" parent=Download packet-mark=skype_to_skype limit-at=0 queue=descarga priority=7
     max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

 6   name="skype_phone_download" parent=Download packet-mark=skype_phone limit-at=0 queue=descarga priority=7 max-limit=0
     burst-limit=0 burst-threshold=0 burst-time=0s

 8   name="https_download" parent=Download packet-mark=https_download limit-at=0 queue=descarga priority=1 max-limit=0
     burst-limit=0 burst-threshold=0 burst-time=0s

12   name="smtp_download" parent=Download packet-mark=smtp_download limit-at=0 queue=descarga priority=1 max-limit=0
     burst-limit=0 burst-threshold=0 burst-time=0s

14   name="ftp_download" parent=Download packet-mark=ftp_download limit-at=0 queue=descarga priority=8 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

16   name="ssh_download" parent=Download packet-mark=ssh_download limit-at=0 queue=descarga priority=6 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

18   name="telnet_download" parent=Download packet-mark=telnet_download limit-at=0 queue=descarga priority=6 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s

20   name="dns_tcp_download" parent=Download packet-mark=dns_tcp_download limit-at=0 queue=descarga priority=1 max-limit=>
     burst-limit=0 burst-threshold=0 burst-time=0s 


 22   name="dns_udp_download" parent=Download packet-mark=dns_udp_download limit-at=0 queue=descarga priority=1 max-limit=>
     burst-limit=0 burst-threshold=0 burst-time=0s

24   name="pop3_download" parent=Download packet-mark=pop3_download limit-at=0 queue=descarga priority=8 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

26   name="imap_download" parent=Download packet-mark=imap_download limit-at=0 queue=descarga priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

28   name="imap_ssl_download" parent=Download packet-mark=imap_ssl_download limit-at=0 queue=descarga priority=1 
     max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s 

30   name="puertos_tcp_download_redundantes" parent=Download packet-mark=puertos_tcp_download_redundantes limit-at=0 
     queue=descarga priority=8 max-limit=500k burst-limit=0 burst-threshold=0 burst-time=0s 

32   name="windows_remote_download" parent=Download packet-mark=windows_remote_download limit-at=0 queue=descarga 
     priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s 

34   name="puertos_udp_download_redundantes" parent=Download packet-mark=puertos_udp_download_redundantes limit-at=0 
     queue=descarga priority=8 max-limit=500k burst-limit=0 burst-threshold=0 burst-time=0s 

 2   name="Upload" parent=SALIDA packet-mark=all limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 
     burst-time=0s 

7   name="http_upload" parent=Upload packet-mark=http_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 
     burst-threshold=0 burst-time=0s 

9   name="https_upload" parent=Upload packet-mark=https_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 
     burst-threshold=0 burst-time=0s 
10   name="skype_to_skype_upload" parent=Upload packet-mark=skype_to_skype limit-at=0 queue=subida priority=7 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

11   name="skype_phone_upload" parent=Upload packet-mark=skype_phone limit-at=0 queue=subida priority=7 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

13   name="smtp_upload" parent=Upload packet-mark=smtp_upload limit-at=0 queue=subida priority=1 max-limit=0 burst-limit=>
     burst-threshold=0 burst-time=0s 

15   name="ftp_upload" parent=Upload packet-mark=ftp_upload limit-at=0 queue=subida priority=6 max-limit=0 burst-limit=0 
     burst-threshold=0 burst-time=0s 

17   name="ssh_upload" parent=Upload packet-mark=ssh_upload limit-at=0 queue=subida priority=6 max-limit=0 burst-limit=0 
     burst-threshold=0 burst-time=0s 

19   name="telnet_upload" parent=Upload packet-mark=telnet_upload limit-at=0 queue=subida priority=6 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

21   name="dns_tcp_upload" parent=Upload packet-mark=dns_tcp_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

23   name="dns_udp_upload" parent=Upload packet-mark=dns_udp_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

23   name="dns_udp_upload" parent=Upload packet-mark=dns_udp_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

25   name="pop3_upload" parent=Upload packet-mark=pop3_upload limit-at=0 queue=subida priority=6 max-limit=0 burst-limit=>
     burst-threshold=0 burst-time=0s 

27   name="imap_upload" parent=Upload packet-mark=imap_upload limit-at=0 queue=subida priority=1 max-limit=0 burst-limit=>
     burst-threshold=0 burst-time=0s 

29   name="imap_ssl_upload" parent=Upload packet-mark=imap_ssl_upload limit-at=0 queue=subida priority=1 max-limit=0 
     burst-limit=0 burst-threshold=0 burst-time=0s 

31   name="puertos_tcp_upload_redundantes" parent=Upload packet-mark=puertos_tcp_upload_redundantes limit-at=0 
     queue=subida priority=8 max-limit=500k burst-limit=0 burst-threshold=0 burst-time=0s 

33   name="windows_remote_upload" parent=Upload packet-mark=windows_remote_upload limit-at=0 queue=default priority=1 
     max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s 

35   name="puertos_udp_upload_redundantes" parent=Upload packet-mark=puertos_udp_upload_redundantes limit-at=0 
     queue=subida priority=8 max-limit=500k burst-limit=0 burst-threshold=0 burst-time=0s

Podrán ver que cada cola hija tiene una prioridad, pero solo a las tcp/udp que llamo redundantes le pongo limite. Esto es porque no decidimos bloquear los puertos que no están autorizados sino asignarle un ancho de banda pequeño y una prioridad baja. 

Todas las sugerencias y mejoras son bienvenidas.


Les dejo la imagen de la tabla por si necesitan poner este articulo en algún  foro: