Apache a omezeni poctu spojeni podle IP

Matus UHLAR - fantomas uhlar na fantomas.sk
Pondělí Duben 25 11:52:47 CEST 2005 

> On Wed, 20 Apr 2005, Miloš Liška wrote:
>>   By default, all clients behind a proxy are treated as coming from the
>>   proxy server's IP address. If you patch Apache with the included patch
>>   and configure with --with-forward and rebuild, the real IP addresses
>>   of clients behind proxies are correctly detected.  You will need to
>>   either compile statically or compile with -DRECORD_FORWARD.

Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:
> Ma to cele nekolik chybicek:
> 
> 1. Kdyz budu zly klient, tak do kazdeho pozadavku muzu dat X-Forwarded-For
> (nebo jak se to presne jmenuje) pro jinou IP adresu. Takze bud a. tenhle
> mechanismus lze trivialne oblbnout, nebo b. neni informace o klientovi za
> proxy brana az tak uplne vazne a v extremnich situacich je stejne
> zariznuta cela proxy.

> 2. Na strane klienta to musi jit pres plnohodnotnou HTTP proxy, ktera do
> pozadavku prida patricnou hlavicku, a ne jen pres nejakou maskaradu.

> 3. Nelze timto zpusobem odmitnout pozadavek na nejnizsi mozne urovni (TCP
> spojeni), ale je treba nechat spojeni navazat a pockat, nez prijde
> hlavicka pozadavku, coz otvira prostor pro zahlceni serveru polovicatymi 
> pozadavky.

Tieto problemy sa niekedy daju obist systemom doveryhodnych hostov s
dodatocnou autentizaciou, dohodnutou so spravcom danej gatewaye (ktory ma na
vyber: bud ano alebo nie). Napriklad na IRC niektorym hostom dovolujeme viac
spojeni s tym, ze nam poskytnu korektne a pouzivatelmi neovplyvnitelne IDENT
odpovede (rfc 1413). Nic moc, ale co uz.

> Proste a jednoduse: kdyz nejaka skupina vystupuje pod jednou IP adresou,
> tak se nevyhne tomu, ze na ni bude aplikovan princip kolektivni viny.

Jednoznacne. Je to skvely dovod pre pouzivanie verejnych IP adries. Na druhu
stranu, pri mnozstve low-cost lokalnych providerov...

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
"Two words: Windows survives." - Craig Mundie, Microsoft senior strategist
"So does syphillis. Good thing we have penicillin." - Matthew Alton

Další informace o konferenci Linux