par dotazu na VPN - OpenVPN
Dan Lukes
dan at obluda.cz
Wed Apr 16 16:02:35 CEST 2008
Miroslav Lachman wrote:
>> A dal bych to resil az kouknes na ten tcpdump a budeme vedet, ktera z
>> moznosti to je.
> Toto je dump, pokud na 10.8.0.1 jde ping ze stroje v LAN
> # tcpdump -i tun0
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
> 14:07:32.152619 IP 10.1.1.2 > 10.8.0.1: ICMP echo request, id 1, seq
> 1302, length 40
> 14:07:37.152998 IP 10.1.1.2 > 10.8.0.1: ICMP echo request, id 1, seq
> 1304, length 40
> Packety tedy odchazi a nevraci se
No, to jsou ty tiche firewally. Kdyby firewall posilal zpet prislusne
ICMP (administratively prohibited) analyza problemu by byla daleko
snazsi. Tiche zahazovani paketu je hnusny zlozvyk. Pravda, ne uplne vzdy
- existuji situace, kdy to smysl ma, ale v beznem pripade je ale takto
nakonfigurovany firewall jen k vzteku a pozadovanou vyhodu, tedy
utajeni, ze tam vubec nejaky firewall je, stejne neprinasi neb je v 95%
pripadu udelany blbe. A stejne ho lze zcela trivialne zdetekovat.
Takze tiche zahazovani v typickem pripade pouze komplikuje hledani
potizi sitoveho provozu - nic vic.
Ale to bych se jen zbytecne rozciloval ...
Dan
More information about the Users-l
mailing list