konstola source IP (Re: Interni BIND (Re: ANNOUNCE: bind-chroot...))
David Rohleder
davro na ics.muni.cz
Úterý Červen 18 12:22:38 CEST 2002
janousek na fonet.cz (Ing. Pavel PaJaSoft Janousek) writes:
> uhlar na fantomas.sk wrote:
> > Ing. Pavel PaJaSoft Janousek <janousek na fonet.cz> wrote:
> > -> uhlar na fantomas.sk wrote:
> > ->> ktore systemy to umoznuju lahko filtrovat? a ktore routing protokoly?
> > ->> viem ze v linuxe je na toto rp_filter ale co cisca, BSD ... ?
> > -> Myslim, ze oba vime, ze velkemu % pripadu by stacil
> > klasicky packet -> filtering, vim ze by nezabranil na 100%, ale
> > urcite by to bylo daleko -> lepsi nez nyni...
> > problem je ze nastavenie packet_filteringu vyzaduje zasah systemaka,
> > zatial
> > co nastavit rp_filter sa da aj defaultne...
>
> Jinymi slovy, slovenske 'velke ISP' (mn. cislo) maji problemy
> s personalnim osazenim lidi s patricnym vzdelanim na patricne pozice?
> Nebo co jste mi chtel sdelit (o potrebe systemaka)? Nyni Vasi poznamku
> nechapu...
Myslim, ze to, ze nekdo generuje spatne source IP adresy a provider to
nefiltruje neodporuje zadnemu RFC. Dokonce si dovedu predstavit
situaci, kdy je to vyhodne.
>
> Rikam, ze je ciste a jen bordel ISP, ze pres sve site nechaji
> prochazet packety zpusoby, ktere pri normalni situaci nemohou ani
> vznikat ani byt takto routovany.
To je nesmysl, pokud se nejedna o privatni adresy nebo jine adresy,
ktere nemohou existovat (source je multicast..., atd)
> Co je na teto informaci spatne,
> pripadne jak podporite Vas argument, ze je to pouze 'linuxova'
> zalezitost - mluvil jste o reverse path filtrovani - to mozna CISCO
> neumi, ale klasicky packet filtering snad dneska umi kazde zarizeni,
> jehoz cena je nekolik tisic Kc a vyse...
To je opravdu velmi vtipne. Access-listy jsou administrativne dost
narocne. (reverze path cisco umi)
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux