ACN i ich firewall na port 113 - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › ACN i ich firewall na port 113 › ACN i ich firewall na port 113

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news2.icm.edu.pl!wsisiz.edu.
pl!news.atman.pl!news.task.gda.pl!newsfeed00.sul.t-online.de!t-online.de!newsfe
ed.freenet.de!feed.news.nacamar.de!tiscali!newsfeed1.ip.tiscali.net!proxad.net!
newsfeed.tpinternet.pl!news.gazeta.pl!virgin!moderators!sal
From: Tomasz Lemiech <s...@s...waw.SPAMY-WON.pl>
Newsgroups: pl.internet.polip
Subject: ACN i ich firewall na port 113
Date: Wed, 23 Apr 2003 08:27:16 +0000 (UTC)
Organization: XIV LO im. St. Staszica w Warszawie
Lines: 23
Approved: s...@b...bofh.org.pl
Message-ID: <b82rm1$574$1@router2.staszic.waw.pl>
NNTP-Posting-Host: virgin.gazeta.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: virgin.gazeta.pl 1051086436 6344 10.201.6.118 (23 Apr 2003 08:27:16 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 23 Apr 2003 08:27:16 +0000 (UTC)
X-Original-Date: 22 Apr 2003 07:40:49 GMT
X-Original-NNTP-Posting-Host: router2.staszic.waw.pl
X-Original-X-Trace: nemesis.news.tpi.pl 1050998191 16214 195.205.163.67 (22 Apr 2003
07:56:31 GMT)
X-Original-X-Complaints-To: u...@t...pl
X-Original-NNTP-Posting-Date: Tue, 22 Apr 2003 07:56:31 +0000 (UTC)
X-Original-User-Agent: tin/1.5.11-20020130 ("Toxicity") (UNIX) (Linux/2.4.20 (i686))
X-Moderator: Przemyslaw Maciuszko <sal#irc.pl>
X-Moder-Tool: modArc v2.0, last rev. 2002.08.08
Xref: news-archive.icm.edu.pl pl.internet.polip:56756
[ ukryj nagłówki ]
Witam.

Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).

Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
niech firewallują, ale oni to robią globalnie i z polisą DENY i kiedy np.
ktoś z sieci ACN próbuje się połączyć do jakiegoś serwera, który na dzień
dobry sprawdza ident klienta, to klient musi sobie ładną chwilę poczekać,
zanim serwerowi znudzi się łączyć na jego port 113 i wreszcie go wpuści
bez autha. A przecież wystarczyłoby wywalać pakiety z REJECT albo postawić
jakiegoś demona identa na routerze i przekierowywać na niego wszystkie
połączenia, które idą do klientów. Niechby nawet żadnych danych nie
zwracał, ale przynajmniej łączenie się nie trwałoby tak długo!

Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
bezpieczeństwo swoich klientów?

Pozdrawiam,

--
Tomasz Lemiech (RLU#189399) (TL4681-RIPE)
<s...@s...waw.pl> [GG:3786250]