7.0-RELEASE - problem s pripojenim TCP/IP

[Dan Lukes]

Miroslav Lachman napsal/wrote, On 03/27/08 01:45:
> Kdyz uz jsem si pak zacal pohravat s tim tcpdumpem a zkousel to i s 
> vypnutym firewallem, kde to samozrejme fungovalo (traceroute)

Firewall byl hodne horky favorit ;-)

> pravidlech PF jsem mel:
> scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492
> kde tomu vadi (logicky) min-ttl 24
...
> On ten scrubbing na odchozim smeru asi nema ani moc smysl.

Existuji situace, kdy to smysl ma, ale jako vsechna bezpecnostni 
opatreni i tohle prinasi urcita omezeni pro "normalni" provoz. V tomhle 
pripade mj. nemoznost delat traceroute. Takze si musis rozmyslet, jestli 
to zabezpeceni za ta omezeni stoji. Prinosy globalni normalizace 
odchozich paketu jsou, podle me, pomerne male, takze to za to spis 
nestoji, ale to neni objektivni a vseobecne platne tvrzeni.

Mimochodem, v tomhle problemu je vyjimecne 7.0 nevinne - tohle by ti 
uplen stejne nefungovalo i jinde. A co se tyce tech sysctl - dodatecne 
me tam prekvapuje to vypinani SACK. To je pomerne starsi zalezitost a 
cekal bych, ze s tim uz moc potize nebudou. Naproti tomu TCO je vec 
nova, tam se problemy cekat daji. Jestli mas jeste chut pokusovat, zkus 
ten SACK zapnout - mohlo by to zustat funkcni i tak.


						Dan