par dotazu na VPN - OpenVPN

Dan Lukes dan at obluda.cz
Wed Apr 16 16:02:35 CEST 2008


Miroslav Lachman wrote:
>> 	A dal bych to resil az kouknes na ten tcpdump a budeme vedet, ktera z 
>> moznosti to je.

> Toto je dump, pokud na 10.8.0.1 jde ping ze stroje v LAN
> # tcpdump -i tun0
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
> 14:07:32.152619 IP 10.1.1.2 > 10.8.0.1: ICMP echo request, id 1, seq 
> 1302, length 40
> 14:07:37.152998 IP 10.1.1.2 > 10.8.0.1: ICMP echo request, id 1, seq 
> 1304, length 40

> Packety tedy odchazi a nevraci se

	No, to jsou ty tiche firewally. Kdyby firewall posilal zpet prislusne 
ICMP (administratively prohibited) analyza problemu by byla daleko 
snazsi. Tiche zahazovani paketu je hnusny zlozvyk. Pravda, ne uplne vzdy 
- existuji situace, kdy to smysl ma, ale v beznem pripade je ale takto 
nakonfigurovany firewall jen k vzteku a pozadovanou vyhodu, tedy 
utajeni, ze tam vubec nejaky firewall je, stejne neprinasi neb je v 95% 
pripadu udelany blbe. A stejne ho lze zcela trivialne zdetekovat.

	Takze tiche zahazovani v typickem pripade pouze komplikuje hledani 
potizi sitoveho provozu - nic vic.

	Ale to bych se jen zbytecne rozciloval ...

						Dan





More information about the Users-l mailing list