routovani privatnich IP

Leos Bitto bitto na atrey.karlin.mff.cuni.cz
Středa Březen 15 22:34:21 CET 2000 

David Rohleder (davro na ics.muni.cz) wrote:
: > 
: > : treba:
: > : 
: > : www     IN      A       poskytovatel1
: > :         IN      A       poskytovatel2
: > : 
: > : a nestesti je hotovo.
: > 
: > Neni, kdyz si spravne nastavite routing - co prislo jednim interfacem jim
: > take odejde. A to same pro obecnejsi pripad: router se 4 rozhranimi:
: > k providerovi A, do lokalni site s IP adresami od providera A, k providerovi
: > B a do lokalni site s IP adresami od providera B. Staci jen spravne
: > natavit routing tak ze to co ma zdrojovou adresu od providera X odejde linkou
: > providera X a ne zadnou jinou.
: 
: Nutno priznat, ze pripojeni www serveru ke dvema providerum je znacne
: harakiri s routovanim, protoze musite pouzit ip rule (smerovani podle
: source adresy)

No to mi nepripada jako harakiri - je to celkem bezne a primocare pouziti
iproute2. I kdyz k ucelu se kterym zasadne nesouhlasim. Pro pripojeni
pocitace ci site k vice providerum je nutny vlastni AS, vsechna ostatni
reseni kulhaji na obe dve nohy.

: a jeste to nemusi diky spoofingu fungovat.

Pri _spravnem_ nastaveni to fungovat musi.

: Modelovy priklad: zakaznik providera 2 si vylosuje adresu www serveru
: u providera 1. Posle paket, ten pujde pres sit providera 2 do site
: providera 1 a www server si rekne: ha, ten paket mel
: prijit z druhe strany a zahodi ho. Co vy na to?

O nicem takovem jsem nepsal. Ja jsem psal o routerech, ne koncovych
pocitacich. Multihomed host nema pravo zadne extra (t.j. mimo 127.0.0.1
& spol.) antispoofovaci filtrovani provadet.

: Tedy znacne vykonstruovany priklad a navic by to zrejme se spravne
: nastavenym routingem asi fungovalo dobre, ale clovek nikdy nevi :-) A
: navic takova chyba se strasne spatne hleda.

Presne tak - se spravne nastavenym routingem by to fungovalo dobre.
A to ze vas to donuti spravne nastavit routing pokladam za jednoznacne
plus.

: Jeste jedna zajimava vec by se mohla stat: paket prisel na rozhrani1,
: ale odchazi shaperemX nad rozhranim1 (zajimalo by mne, jestli je to
: vyreseno k uplne dokonalosti)

A) Shapery zahodit a rozdupat.
B) I s nimi to bude fungovat OK - antispoofing pravidla si vsimaji jen
   rozhrani po nichz prichazeji pakety, a to shaper neni.


Leos Bitto

Další informace o konferenci Linux