routovani privatnich IP
Leos Bitto
bitto na atrey.karlin.mff.cuni.cz
Středa Březen 15 22:34:21 CET 2000
David Rohleder (davro na ics.muni.cz) wrote:
: >
: > : treba:
: > :
: > : www IN A poskytovatel1
: > : IN A poskytovatel2
: > :
: > : a nestesti je hotovo.
: >
: > Neni, kdyz si spravne nastavite routing - co prislo jednim interfacem jim
: > take odejde. A to same pro obecnejsi pripad: router se 4 rozhranimi:
: > k providerovi A, do lokalni site s IP adresami od providera A, k providerovi
: > B a do lokalni site s IP adresami od providera B. Staci jen spravne
: > natavit routing tak ze to co ma zdrojovou adresu od providera X odejde linkou
: > providera X a ne zadnou jinou.
:
: Nutno priznat, ze pripojeni www serveru ke dvema providerum je znacne
: harakiri s routovanim, protoze musite pouzit ip rule (smerovani podle
: source adresy)
No to mi nepripada jako harakiri - je to celkem bezne a primocare pouziti
iproute2. I kdyz k ucelu se kterym zasadne nesouhlasim. Pro pripojeni
pocitace ci site k vice providerum je nutny vlastni AS, vsechna ostatni
reseni kulhaji na obe dve nohy.
: a jeste to nemusi diky spoofingu fungovat.
Pri _spravnem_ nastaveni to fungovat musi.
: Modelovy priklad: zakaznik providera 2 si vylosuje adresu www serveru
: u providera 1. Posle paket, ten pujde pres sit providera 2 do site
: providera 1 a www server si rekne: ha, ten paket mel
: prijit z druhe strany a zahodi ho. Co vy na to?
O nicem takovem jsem nepsal. Ja jsem psal o routerech, ne koncovych
pocitacich. Multihomed host nema pravo zadne extra (t.j. mimo 127.0.0.1
& spol.) antispoofovaci filtrovani provadet.
: Tedy znacne vykonstruovany priklad a navic by to zrejme se spravne
: nastavenym routingem asi fungovalo dobre, ale clovek nikdy nevi :-) A
: navic takova chyba se strasne spatne hleda.
Presne tak - se spravne nastavenym routingem by to fungovalo dobre.
A to ze vas to donuti spravne nastavit routing pokladam za jednoznacne
plus.
: Jeste jedna zajimava vec by se mohla stat: paket prisel na rozhrani1,
: ale odchazi shaperemX nad rozhranim1 (zajimalo by mne, jestli je to
: vyreseno k uplne dokonalosti)
A) Shapery zahodit a rozdupat.
B) I s nimi to bude fungovat OK - antispoofing pravidla si vsimaji jen
rozhrani po nichz prichazeji pakety, a to shaper neni.
Leos Bitto
Další informace o konferenci Linux