Autor: Marcin Jurczuk (spock_at_tkb.pl)
Data: Wed 23 Apr 2003 - 23:41:01 MET DST
W artykule <b82rm1$574$1_at_router2.staszic.waw.pl> Tomasz Lemiech napisał(a):
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
> Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
> niech firewallują, ale oni to robią globalnie i z polisą DENY i kiedy np.
> ktoś z sieci ACN próbuje się połączyć do jakiegoś serwera, który na dzień
> dobry sprawdza ident klienta, to klient musi sobie ładną chwilę poczekać,
> zanim serwerowi znudzi się łączyć na jego port 113 i wreszcie go wpuści
> bez autha. A przecież wystarczyłoby wywalać pakiety z REJECT albo postawić
> jakiegoś demona identa na routerze i przekierowywać na niego wszystkie
> połączenia, które idą do klientów. Niechby nawet żadnych danych nie
> zwracał, ale przynajmniej łączenie się nie trwałoby tak długo!
>
> Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
> bezpieczeństwo swoich klientów?
Hello
Nie wiem ile abonentow ma ACN ale czesto przy duuzej ilosci ruchu
i abonentów wysyłanie pakietu RESET potrafi solidnie obciążyć router.
Co innego olać pakiet i zrobic mu drop'a a co innego odpowiadac na
niego. Komputer u mnie ktory odpowiada na auth requesty przy paru
tysiacach ludzi czasami potrafi dostal load i 2,3...
Wiekszasc demonow ident'a nie jest przystosowana do obslugi tylu zapytan
ile generuje spora siec kablowki.
Tak wiec moze nie koniecznie robia to celowo.
Pozdr.
-- Marcin Jurczuk -> spock at tkb.pl
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:05:23 MET DST