Gu�a de Administraci�n de Redes con Linux
AnteriorCap�tulo 9. Cortafuegos de TCP/IPSiguiente

9.9. Manipulaci�n de los bits de TOS

Los bits del campo de tipo de servicio (TOS [1]) son un conjunto de cuatro indicadores de un bit de la cabecera de IP. Si uno de estos indicadores de bit vale 1, un encaminador puede manipular el datagrama de forma diferente del caso en el que ning�n indicador valiera 1. Cada uno de los cuatro bits tiene un prop�sito diferente y s�lo uno de los bits de TOS puede valer 1 al mismo tiempo, es decir, las combinaciones no est�n permitidas. Estos indicadores de bit se denominan de "tipo de servicio" porque permiten que la aplicaci�n que transmite los datos informe a la red del tipo de servicio de red que requiere.

Las clases de servicios de red disponibles son:

Demora m�nima

Se utiliza cuando se le da la m�xima importancia al tiempo de viaje de un datagrama del 'host' de origen al 'host' de destino (demora). Por ejemplo, un suministrador de red podr�a estar utilizando tanto conexiones de red de fibra como por sat�lite. Los datos transportados por las conexiones por sat�lite tienen que viajar m�s lejos y su demora entre los mismos extremos ser� por lo general mayor que la de las conexiones de red terrestres. Un suministrador de red podr�a elegir asegurarse que los datagramas con este tipo de servicio no se transporten por sat�lite.

Rendimiento m�ximo

Se utiliza cuando el volumen de datos transmitidos en cualquier per�odo de tiempo es importante. Existen numerosos tipos de aplicaciones de red para las que el tiempo de demora no es muy importante pero el rendimiento s� que lo es; por ejemplo, las transferencias de ficheros en bloque. Un suministrador de red podr�a elegir encaminar los datagramas con este tipo de servicio v�a rutas de demora alta, pero de gran ancho de banda, como las conexiones por sat�lite.

Fiabilidad m�xima

Se utiliza cuando es importante tener alguna certeza de que los datos llegar�n al destino sin necesidad de una retransmisi�n. El protocolo IP puede transportarse sobre un n�mero variado de medios de transmisi�n de bajo nivel. Mientras que SLIP y PPP son adecuados para protocolos de enlace de datos [2], no son tan fiables para transportar IP como otras redes, como las redes X.25. Un suministrador de red podr�a tener disponible una red alternativa, que ofreciera alta fiabilidad para transportar IP y que se utilizar�a cuando se eligiera este tipo de servicio.

Coste m�nimo

Se utiliza cuando resulta importante minimizar el coste de los datos transmitidos. El alquiler de ancho de banda de un sat�lite para una transmisi�n transoce�nica cuesta generalmente menos que el alquier de espacio de un cable de fibra �ptica sobre la misma distancia, por lo que los suministradores de red pueden elegir proporcionar ambos y cobrar de forma diferente seg�n sea el que se utilice. En este escenario, el bit de tipo de servicio de “coste m�nimo” puede ocasionar que los datagramas sean encaminados v�a la ruta de menor coste por sat�lite.

9.9.1. Establecimiento de los bits de TOS con ipfwadm o ipchains

Las �rdenes ipfwadm e ipchains gestionan los bits de TOS pr�cticamente de la misma forma. En ambos casos, se especifica una regla que coincide con los datagramas que contengan un conjunto particular de bits de TOS, y en ambos se utiliza el argumento -t para especificar los cambios que se desean realizar.

Los cambios se especifican utilizando m�scaras de dos bits. Se realiza un AND l�gico con la primera de estas m�scaras de bits y el campo de las opciones de IP, mientras que se realiza un OR exclusivo con la segunda. Por si puede parecer complicado, en un momento se dar�n las recetas que se necesitan para habilitar cada uno de los tipos de servicio.

Las m�scaras de bit se especifican utilizando valores hexadecimales de ocho bits. Tanto ipfwadm como ipchains utilizan la misma sintaxis para el argumento: 
    -t m�scara_and m�scara_xor

Afortunadamente, pueden utilizarse los mismo argumentos de m�scara cada vez que se desee establececer un tipo de servicio particular, lo que ahorra el tener que averiguarlas cada vez. En la Tabla 9-3 se presentan junto con algunas sugerencias de uso.

Tabla 9-3. Sugerencias de uso de las m�scaras de bits de TOS

TOSANDmaskXORmaskUso sugerido
Demora m�nima0x010x10ftp, telnet, ssh
Rendimiento m�ximo0x010x08ftp-data, www
Fiabilidad m�xima0x010x04snmp, dns
Coste m�nimo0x010x02nntp, smtp

9.9.2. Establecimiento de los bits de TOS con iptables

La herramienta iptables permite especificar reglas que capturen s�lo los datagramas con los bits de TOS coincidentes con los valores prederminados por la opci�n -m tos, y que establezcan los bits de TOS de los datagramas de IP que coincidan con una regla con el blanco -j TOS. Pueden establecerse los bits de TOS s�lamente en las cadenas FORWARD y OUTPUT. La coincidencia y el establecimiento ocurren de forma independiente. Se puede configurar todo tipo de reglas interesante. Por ejemplo, puede configurarse una regla que descarte todos los datagramas con una cierta combinaci�n de bits de TOS, o una regla que establezca los bits de TOS s�lamente de los datagramas que provengan de unos ciertos 'hosts'. La mayor�a de las veces, se utilizar�n reglas que contengan tanto la coincidencia como el establecimiento para as� realizar traducciones de bits de TOS, como ya se pod�a hacer con ipfwadm o ipchains.

En lugar de la configuraci�n complicada de dos m�scaras de ipfwadm e ipchains, iptables utiliza la estrategia m�s simple de especificar de forma plana los bits de TOS que deben buscar coincidencias con, o los bits de TOS que deben establecerse. Adem�s, en lugar de tener que recordar y utilizar el valor hexadecimal, puede especificarse los bits de TOS utilizando los nombres mnemot�cnicos mostrados en la tabla siguiente.

La sintaxis general utilizada para buscar coincidencias con los bits de TOS se parece a: 
    -m tos --tos nombre_mnemot�cnico [otros_args] -j objetivo

La sintaxis general utilizada para establecer los bits de TOS se parece a: 
    [otros_args] -j TOS --set nombre_mnemot�cnico

Recu�rdese que las dos posibilidades generalmente se utilizar�n juntas, pero que tambi�n pueden ser utilizadas de forma independiente si se quiere una configuraci�n que as� lo requiera.

Mnem�nicoHexadecimal
Normal-Service[a]0x00
Minimize-Cost[b]0x02
Maximize-Reliability[c]0x04
Maximize-Throughput[d]0x08
Minimize-Delay[e]0x10
Notas:
a. N. del T.: "servicio normal"
b. N. del T.: "minimizar los costes"
c. N. del T.: "maximizar la fiabilidad"
d. N. del T.: "maximizar el rendimiento"
e. N. del T.: "minimizar la demora"

Notas

[1]

N. del T.: 'Type Of Service' en el original en ingl�s

[2]

N. del T.: 'datalink' en el original en ingl�s

AnteriorInicioSiguiente
Netfilter e 'IP Tables' (N�cleos 2.4)SubirComprobaci�n de una configuraci�n del cortafuegos