On 03-11-10 10:49, bofh@nano.pl wrote:
> On 03.11.2010 10:42, Grzegorz Janoszka wrote:
>> On 02-11-10 23:16, S艂awek Lipowski wrote:
>>>>> Mam pytanie do uczestnik贸w AC-Xa, kt贸rzy maj膮 do niego dost臋p w L2. Czy
>>>>> obserwujecie docieranie do waszych sieci ruchu z adresami 藕r贸d艂owymi z
>>>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>>> To jest norma. Internet jest pe艂en tego, niestety.
>>> A to, 偶e w prawie 100% s膮 to wy艂膮cznie pakiety z ustawionymi flagami FIN
>>> i ACK te偶 jest normalne?
>>
>> S膮 po prostu b艂臋dy w implementacji NAT/PAT. Wi臋kszo艣膰 ruterk贸w domowych
>> ma bardzo proste oprogramowanie i translacja adres贸w jest tam
>> niedoskona艂a. Zdarza si臋, 偶e niekt贸re pakiety wyciekaj膮 z oryginalnymi
>> adresami 藕r贸d艂owymi. Pewnie wielu producent贸w korzysta z tego samego
>> kodu, kt贸ry natuje tylko pierwszy pakiet fin/ack, a wszystkie
>> retransmisje przepuszcza.
>
> Ale dlaczego przechodzi to przez brzegowe? Przecie偶 tu nie ma routerk贸w
> domowych.
A dlaczego ma nie przechodzi膰 przez rutery operator贸w? Pakiet z adresem
藕r贸d艂owym 192.168 jest takim samym pakietem jak wszystkie inne.
Jest tzw. dobr膮 praktyk膮 filtrowa膰 to, co przychodzi od klient贸w, 偶eby
nie przepuszcza膰 偶adnych zespoofowanych (takie staropolskie s艂owo)
adres贸w, ale kto w PL to robi? Ostatni raz z firmami typu Netia,
Crowley, GTS/Energis, TKTelekom itp mia艂em do czynienia jakie艣 3 lata
temu i nikt wtedy nie filtrowa艂. W膮tpi臋, czy od tamtego czasu zmieni艂o
si臋 wiele. Kto艣 mo偶e przetestowa膰?
-- Grzegorz JanoszkaReceived on Wed Nov 3 11:10:03 2010
To archiwum zosta硂 wygenerowane przez hypermail 2.1.8 : Wed 03 Nov 2010 - 11:40:01 MET