Dnia 09.12.2009 Wojciech Puchar <wojtek@wojtek.tensor.gdynia.pl> napisa³/a:
>> Nie rozumiem, dlaczego tylko 1k stanów per IP prywatne? Userzy z P2P
>> spokojnie robi± wiêcej jak siê rozpêdz±.
>>
> s³usznie ¼le napisa³em.
>
> co do praktyki - ile tego jest w praktyce ¦REDNIO - napisa³em w innym
> po¶cie.
>
> W ka¿dym razie to nie wielko¶æ tabel a ruch jest ograniczeniem.
S³uchaj, ale przecie¿ tak bardzo boli Ciê ingerencja w warstwy ponad IP,
tak bardzo akcentujesz, ¿e ISP to ma tylko przes³aæ pakiety z A do B
i nie wnikaæ, ¿e naprawdê nie rozumiem, czemu chcesz ograniczaæ ludziom
liczbê jednoczesnych po³±czeñ. ;)
Jak Ci np. wychodzi z BRAS-a 50k aktywnych u¿yszkodników, generuj±cych
np. do 10k stanów ka¿dy i 1kpps, to pesymistycznie powinienie¶ byæ
gotów do przewalenia 50Mpps i mieæ ze 75GB pamiêci j±dra na tablice NAT-a.
Oczywi¶cie, ¶rednio tyle nie leci ale wprowadzasz kolejny poziom
overbookingu, na liczbê po³±czeñ. ;) Do tego denerwujesz userów
u¿ywaj±cych protoko³ów nie lubi±cych NAT-a, utrudniasz zarz±dzanie,
potencjalnie zwiêkszasz awaryjno¶æ i jeste¶ bardziej podatny na ataki.
I to wszystko, z biednym identem zalanym SYN-floodami celem ochrony
to¿samo¶ci spamuj±cych osobników za NAT-em ;) to wg. Ciebie bardziej
koszerne rozwi±zanie ni¿ ³atwo wy³±czalna blokada dst portu TCP/25,
któr± wprowadzi³a TP?..
-- Pawe³ Ma³achowskiReceived on Wed Dec 9 19:20:02 2009
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Wed 09 Dec 2009 - 19:40:03 MET