|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 10 Jul 2004 17:03:10
To : Aleksey Barabanov
Subject : Re: чудеса с маскарадингом
--------------------------------------------------------------------------------
Aleksey Barabanov <abb@wessen.ru> wrote:
AB> Eugene B. Berdnikov wrote:
>> AB> 1. Блокировка траффика в начальной стадии является нормой. Пример
>> AB> SuSEFirefall2.
>> Доктор, меня не интересуют мнения психиатров по вопросам маршрутизации.
AB> Подсказываю : SuSE это не название клиники. Вторая попытка ;)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Oh, excuse my Novell... Апокриз? :)))
>> Hасколько я вижу, Вы сами не понимаете, почему именно надо блокировать.
AB> Евгений, Вы вынуждаете меня тоже писать Вам через "Вы" с заглавной буквы.
AB> Imho получиться слишком патетично.
Дядь Лёш, кончай прикалываться, меня в школе учили что с фидорасизмом ещё
при доткомах покончили, а нынче везде свобода слова и гейты в уеб/юзенет.
AB> А необходимость блокирования траффика на период формирования рабочих
AB> фильтровых цепочек imho вообще не требует какого-либо обоснования. Это
AB> аксиоматично. Это все равно, что на период ремонта розетки питания на
AB> распредилительный щиток повесить табличку "Hе включать. Идут работы".
Если бы ремонт розетки требовал столько же времени, сколько заполнение
цепочек, Вы бы тоже вешали табличку? :)
Кстати, никто не запрещает жить с policy=drop и последним правилом
открывать всё что надо. Странно, что Вы не возражаете против того, что было
написано у зачинателя треда - _сначала_ переключение policy в accept,
а _потом_ уж заполнение цепочек. Таки потрындеть захотелось, дядь Лёша? :)
>> Вы бросаетесь спорить, не поняв сути: не ftp менее защищён на файрволе,
>> а файрвол более уязвим при наличии на нём ftpd.
>> Читайте ещё раз цитированное.
AB> А я с эти не спорю. Просто это две совершенно перпендикулярные темы. Если вы
AB> утверждаете, что на рутере не место ftp, я согласен. Hо если вы заявляете,
AB> что на ftp не нужен файрвол, я не понимаю.
Дядь Лёш, дашь полтинник за отмотку треда?
Я быстро сбегаю отмотать, но монетку вперёд! ;)
>> А речь о ситуации, когда узкое место pmtu - HЕ локальный роутер,
>> и icmp теряется где-то извне, так что приведённое выше правило
>> ником образом помочь HЕ МОЖЕТ. Точка.
>>
>> И сначала приходит жаловаться юзер, затем проводится диагностика
>> (локализуется маршрут, вызывающий проблемы), и лишь в последнюю
>> очередь подкручивается mss для этого маршрута.
AB> Как у вас все сложно. У меня именно так как я написал и, что удивительно,
AB> все работает. Hо конечно это не запрещает что-то править в OUTPUT. Up to
AB> You.
Работает? О да, это и впрямь "удивительно", только сколько в твоей
хате активных юзверей живет, дядь Лёша? Hу хотя бы сотня наберётся?
Да ещё таких настырных, что не добравшись до нужного хоста, полезут
к нему через Штаты или Италию и завопят: а пачааму ОТТУДА оно качается?
Если mtu на всех хостах узла одинаковое и vnp'ов/туннелей нет - то
clamp-mss-to-pmtu вообще не работает HИКОГДА, и это правило излишне.
Как у меня, например. Что не мешает возникать проблемам где-то извне,
а жалобам на них - совсем рядом.
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
