> > > Nie masz na nowych polpakach TPSA zakłada ACLki.
>
> chyba wiem co mial na mysli - Access Listy
> Czyli z danego interfejsu bedzie mozna wysylac jedynie adresy dozwolone dla
> danego interfejsu, tak wiec przy tym co masz wlaczone polowe pakietow szlag
> trafi...
>
> Oczywiscie jest to zwykle skurwysynstwo, nic pozatem
> aa, no i w ten sposob ich routery sa bardziej obciazone i nie w pewnym
> momencie moga przestac dzialac tak jak powinny...

Jeśli ktoś używa prywatnych adresów w swojej sieci + Linuxa jako NATa to może
wykorzystać następujące regułki:

> iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -d 0.0.0.0/0.0.0.1 -j SNAT --to
IP_pierwszego_łącza
> iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -d 0.0.0.0/0.0.0.0 -j SNAT --to
IP_drugiego_łącza

działa wstarczająco w dobry sposób.

do góry

On Fri, 5 Jul 2002 17:46:12 +0000 (UTC), Tomasz Paszkowski
<n...@d...kgb.com.ua> wrote:

>W artykule <ag3qk7$che$1@news.tpi.pl>, Marcin Kuczera napisał(a):
>
>>> > Inaczej robiąc LB tylko po swojej stronie, masz 4 MB out i 2x2 MB in.
>>>
>>> Nie masz na nowych polpakach TPSA zakłada ACLki.
>>
>> mozesz to rozwinac ??? dlaczego niby to nie bedzie dzialac ?
>
>Wydropują na acl pakiety z/do ipkow nie routowanych na dany interfejs.

Ale to dobrze ze wreszcie zaczeli sie zajomowac i dbac o poprawne
skonfigurowanie uslugi.... anty spoofing jest jak najbardziej ok!
powinien byc nawet wymagany 8-)

do góry

Rafal Wozniak <n...@w...zso5.gda.pl> wrote:
>> > > Nie masz na nowych polpakach TPSA zakłada ACLki.
> Jeśli ktoś używa prywatnych adresów w swojej sieci + Linuxa jako NATa to może
> wykorzystać następujące regułki:

>> iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -d 0.0.0.0/0.0.0.1 -j SNAT --to
IP_pierwszego_łącza
>> iptables -t nat -A POSTROUTING -s 10.2.0.0/16 -d 0.0.0.0/0.0.0.0 -j SNAT --to
IP_drugiego_łącza
W tym drugim przypadku to juz -d 0.0.0.0/0.0.0.0 nie trza.
Poza tym:

1) nie kazdy uzywa linuxa
2) nie kazdy uzywa kernela 2.4
3) mozna jeszcze powalczyc z --limit, --limit-burst, itd :)

Jednak co by nie mowic, jest to nieladnie zachowanie ze strony polpaku. Klient
powinien miec
mozliwosc wypchniecia prez lacze wszystkiego z adresem do ktorego ma prawo.. A
szczegolnie
jezeli to jest adres danego providera. No ale to przeciez TPSA...


Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Oledzki
e-mail address: ole(at)ans.pl
Linux Registered User: 189200
Internic NickHandle: KO581

do góry

Krzysztof Oledzki <o...@w...hoth.jmg.com.wytnijto.pl> wrote:
> Jednak co by nie mowic, jest to nieladnie zachowanie ze strony polpaku.

Co by nie mówić, bzdurzysz.

> Klient powinien miec mozliwosc wypchniecia prez lacze
> wszystkiego z adresem do ktorego ma prawo..

Jeśli klient wykupił dwa łącza, a z każdym z nich inny zakres IP,
to Polpak wręcz powinien wyfiltrować odpowiednie IP na każdym łączu.

Gdyby wszyscy filtrowali na wejściu przydzielone do klienta IP, to by
nie było tyle problemów ze spoofowaniem i atakami DDoS.

> A szczegolnie jezeli to
> jest adres danego providera. No ale to przeciez TPSA...

To, że to adres danego providera, to nie ma nic do rzeczy. Do rzeczy
ma, że to jakiś zakres przydzielony do danego łącza. Jestem bardzo
pozytywnie zaskoczony, że w końcu TPSA zaczęła to robić. Oby tak dalej!

p.

do góry

> 1) nie kazdy uzywa linuxa
> 2) nie kazdy uzywa kernela 2.4
> 3) mozna jeszcze powalczyc z --limit, --limit-burst, itd :)

uzywam linuxow z kernelem 2.4, ale to nie jest tego typu problem
nie bardzo wiem jak uruchomic (i czy wogole sie da) routing zrodlowy na
Cisco

Bo majac 2 lacza i robiac statyczna defaultroute na oba interfejsy nie musze
sie przejmowac tym kto jest zrodlem danego pakietu
a jak beda filtrowac to dupa, jezeli to bedzie jeden router to bez routingu
zrodlowego sie nie obejdzie (no chyba ze myle pojecia)

Marcin

do góry

Użytkownik "Piotr KUCHARSKI" <c...@s...waw.pl> napisał w wiadomości
news:agceti$6p8$1@absolut.sgh.waw.pl...

> To, że to adres danego providera, to nie ma nic do rzeczy. Do rzeczy
> ma, że to jakiś zakres przydzielony do danego łącza. Jestem bardzo
> pozytywnie zaskoczony, że w końcu TPSA zaczęła to robić. Oby tak dalej!

Jak sięgam pamięcią to adresy na POLPAKach zawsze były filtrowane.
Być może teraz jest to bardziej rygorystycznie przestrzegane; ale nie wynika
to z żadnych szlachetnych pobudek, tylko z tego że obecnie za load-balancing
trzeba płacić. I to duużo.

Z#

do góry

> > 1) nie kazdy uzywa linuxa
> > 2) nie kazdy uzywa kernela 2.4
> > 3) mozna jeszcze powalczyc z --limit, --limit-burst, itd :)
>
> uzywam linuxow z kernelem 2.4, ale to nie jest tego typu problem
> nie bardzo wiem jak uruchomic (i czy wogole sie da) routing zrodlowy na
> Cisco

to robi się tak (podaje tylko to co ważne):
interface FastEthernet0/0
ip policy route-map lacze2

ip route 0.0.0.0 0.0.0.0 ip_pierwszego_łącza (adres WAN po stronie TP)

access-list 111 permit ip x.x.x.x 0.0.0.7 any
route-map lacze2 permit 10
match ip address 111
set ip default next-hop ip_drugiego_łącza (adres WAN po stronie TP)


gdzie x.x.x.x to pierwszy IP puli adresów przypisanych do drugiego łącza (w moim
przypadku mam 8 adresów)

de facto u siebie miałem 16 adresów na pierwsze łącze, po dodaniu drugiego łącza
rozbiłem na dwie ósemki. W mojej sieci nie mam podziału na dwie podsieci. Jak
miałem 16 adresów z maską /28 to tak zostało.

do góry

>Inaczej robi?c LB tylko po swojej stronie, masz 4 MB out i 2x2 MB in.

a i tak wlacza to w jedna polke i suma sumarum bedzie 2 Mb/s




Pepto

----------------------------------------------------
p.s. prosilbym takze na priv (usun USUN w adresie)

do góry

Piotr KUCHARSKI <c...@s...waw.pl> wrote:
>> Klient powinien miec mozliwosc wypchniecia prez lacze
>> wszystkiego z adresem do ktorego ma prawo..
> Jeśli klient wykupił dwa łącza, a z każdym z nich inny zakres IP,
> to Polpak wręcz powinien wyfiltrować odpowiednie IP na każdym łączu.
Widzisz. I tu jest problem. Bo polpak nie zestawia laczy 4 Mbit.
AFAIK. Daje 2 lacza 2 Mbit. I jak je chcesz efektywnie wykorzystac
z zalozonymi ACL'kami?

> Gdyby wszyscy filtrowali na wejściu przydzielone do klienta IP, to by
> nie było tyle problemów ze spoofowaniem i atakami DDoS.
Oczywiscie. Tylko co ze starymi laczami na ktorych ACL'ek nie ma?

>> A szczegolnie jezeli to
>> jest adres danego providera. No ale to przeciez TPSA...
> To, że to adres danego providera, to nie ma nic do rzeczy. Do rzeczy
> ma, że to jakiś zakres przydzielony do danego łącza. Jestem bardzo
> pozytywnie zaskoczony, że w końcu TPSA zaczęła to robić. Oby tak dalej!
A co to da. Wiekszosc floodow z zespoofowanymi IP przychodzi z poza sieci
polpak-t. A na laczach miedzyoperatorskich ACL'ek nie ma i nie bedzie
bo niby jak. Panowie z polpaku nie sa w stanie nawet wysledzic skad dany
flood przychodzi. Jedyne co moga zrobic to ustawic limit na pakiety
SYN na swoim routerze. I co to daje? Nic ;-) Bo floodowac
mozna nie tylko SYN'ami.


Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Oledzki
e-mail address: ole(at)ans.pl
Linux Registered User: 189200
Internic NickHandle: KO581

do góry

Peptulis Amargolis <p...@i...pwr.wroc.pl> wrote:

>>Inaczej robiąc LB tylko po swojej stronie, masz 4 MB out i 2x2 MB in.
> a i tak wlacza to w jedna polke i suma sumarum bedzie 2 Mb/s
E? Jak to? Przeciez to nie jest SDI :)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Oledzki
e-mail address: ole(at)ans.pl
Linux Registered User: 189200
Internic NickHandle: KO581

do góry