routovani privatnich IP

[Leos Bitto]

David Rohleder (davro na ics.muni.cz) wrote:
: Petr Soucek <petr na ryston.cz> writes:
: 
: > David Rohleder wrote:
: > > > zdrojovou adresou. Tedy nejen privatni. Priklad: vim ze sit X je pripojena
: > > > pres muj interface Y a nikdy jinak. Paket se zdrojovou adresou ze site X mi
: > > > prijde z interface Z (Z!=Y) => mam ten paket zahodit. Bohuzel toto je ne vzdy
: > > > mozne implementovat z vykonostnich duvodu. :(
: > > 
: > > Nemyslim si, ze je to rozumny pozadavek. Treba prave kvuli memu
: > > vcerejsimu mailu o paketech mizicich v cerne dire. Prece jenom jsou
: > > situace, kdy se to muze hodit.
: > 
: > Hodi se to hlavne autorum DDOS utoku. Egress a ingress filtering podle
: > RFC2267 je doporucovan treba na
: > http://www.cisco.com/warp/public/707/newsflash.html
: 
: To je sice pekne, ale treba v pripade:
: 
: Mam jeden www server pripojeny ke dvema poskytovatelum a mam
: nadefinovane treba staticke cesty (0-128 k prvnimu 129-223 k druhemu -
: nutno priznat, ze je to blby priklad), tak se muze stat ze nekdo ze
: sveta poleze na spatny interface a ma smulu.

Myslite asymetricky routing? Ale o tom jsem nepsal.

: treba:
: 
: www     IN      A       poskytovatel1
:         IN      A       poskytovatel2
: 
: a nestesti je hotovo.

Neni, kdyz si spravne nastavite routing - co prislo jednim interfacem jim
take odejde. A to same pro obecnejsi pripad: router se 4 rozhranimi:
k providerovi A, do lokalni site s IP adresami od providera A, k providerovi
B a do lokalni site s IP adresami od providera B. Staci jen spravne
natavit routing tak ze to co ma zdrojovou adresu od providera X odejde linkou
providera X a ne zadnou jinou.

: U routeru to jiste neni spatny napad, ale musite si byt jisty svou
: siti (tzn. neexistuji vyjimky pro routovani atd).

Vzdyt o tom jsem psal, cituji: "vim ze sit X je pripojena pres muj interface
Y a nikdy jinak."



Leos Bitto