Re: ACN i ich firewall na port 113 - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › ACN i ich firewall na port 113 › Re: ACN i ich firewall na port 113

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!newsfeed.gazeta
.pl!news.gazeta.pl!virgin!moderators!sal
From: Marcin Jurczuk <s...@t...pl>
Newsgroups: pl.internet.polip
Subject: Re: ACN i ich firewall na port 113
Date: Wed, 23 Apr 2003 21:41:01 +0000 (UTC)
Organization: CI TASK http://www.task.gda.pl
Lines: 32
Approved: s...@b...bofh.org.pl
Message-ID: <s...@s...tkb.pl>
References: <b82rm1$574$1@router2.staszic.waw.pl>
NNTP-Posting-Host: virgin.gazeta.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: virgin.gazeta.pl 1051134061 929 10.201.6.118 (23 Apr 2003 21:41:01 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 23 Apr 2003 21:41:01 +0000 (UTC)
X-Original-Date: Wed, 23 Apr 2003 13:46:49 +0000 (UTC)
X-Original-NNTP-Posting-Host: shapieron.tkb.pl
X-Original-X-Trace: korweta.task.gda.pl 1051105609 28023 212.33.84.102 (23 Apr 2003
13:46:49 GMT)
X-Original-X-Complaints-To: a...@n...task.gda.pl
X-Original-NNTP-Posting-Date: Wed, 23 Apr 2003 13:46:49 +0000 (UTC)
X-Original-X-Disclamer: Wyrażane opinie są prywatne.
X-Original-User-Agent: slrn/0.9.7.4 (Linux)
X-Moderator: Przemyslaw Maciuszko <sal#irc.pl>
X-Moder-Tool: modArc v2.0, last rev. 2002.08.08
Xref: news-archive.icm.edu.pl pl.internet.polip:56770
[ ukryj nagłówki ]
W artykule <b82rm1$574$1@router2.staszic.waw.pl> Tomasz Lemiech napisał(a):
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
> Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
> niech firewallują, ale oni to robią globalnie i z polisą DENY i kiedy np.
> ktoś z sieci ACN próbuje się połączyć do jakiegoś serwera, który na dzień
> dobry sprawdza ident klienta, to klient musi sobie ładną chwilę poczekać,
> zanim serwerowi znudzi się łączyć na jego port 113 i wreszcie go wpuści
> bez autha. A przecież wystarczyłoby wywalać pakiety z REJECT albo postawić
> jakiegoś demona identa na routerze i przekierowywać na niego wszystkie
> połączenia, które idą do klientów. Niechby nawet żadnych danych nie
> zwracał, ale przynajmniej łączenie się nie trwałoby tak długo!
>
> Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
> bezpieczeństwo swoich klientów?
Hello
Nie wiem ile abonentow ma ACN ale czesto przy duuzej ilosci ruchu
i abonentów wysyłanie pakietu RESET potrafi solidnie obciążyć router.
Co innego olać pakiet i zrobic mu drop'a a co innego odpowiadac na
niego. Komputer u mnie ktory odpowiada na auth requesty przy paru
tysiacach ludzi czasami potrafi dostal load i 2,3...
Wiekszasc demonow ident'a nie jest przystosowana do obslugi tylu zapytan
ile generuje spora siec kablowki.
Tak wiec moze nie koniecznie robia to celowo.

Pozdr.
--
Marcin Jurczuk -> spock at tkb.pl