7.0-RELEASE - problem s pripojenim TCP/IP
Dan Lukes
dan at obluda.cz
Thu Mar 27 07:59:34 CET 2008
Miroslav Lachman napsal/wrote, On 03/27/08 01:45:
> Kdyz uz jsem si pak zacal pohravat s tim tcpdumpem a zkousel to i s
> vypnutym firewallem, kde to samozrejme fungovalo (traceroute)
Firewall byl hodne horky favorit ;-)
> pravidlech PF jsem mel:
> scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492
> kde tomu vadi (logicky) min-ttl 24
...
> On ten scrubbing na odchozim smeru asi nema ani moc smysl.
Existuji situace, kdy to smysl ma, ale jako vsechna bezpecnostni
opatreni i tohle prinasi urcita omezeni pro "normalni" provoz. V tomhle
pripade mj. nemoznost delat traceroute. Takze si musis rozmyslet, jestli
to zabezpeceni za ta omezeni stoji. Prinosy globalni normalizace
odchozich paketu jsou, podle me, pomerne male, takze to za to spis
nestoji, ale to neni objektivni a vseobecne platne tvrzeni.
Mimochodem, v tomhle problemu je vyjimecne 7.0 nevinne - tohle by ti
uplen stejne nefungovalo i jinde. A co se tyce tech sysctl - dodatecne
me tam prekvapuje to vypinani SACK. To je pomerne starsi zalezitost a
cekal bych, ze s tim uz moc potize nebudou. Naproti tomu TCO je vec
nova, tam se problemy cekat daji. Jestli mas jeste chut pokusovat, zkus
ten SACK zapnout - mohlo by to zustat funkcni i tak.
Dan
More information about the Users-l
mailing list