IPIP tunel

[Dan Lukes]

Beno Slávik wrote:


> Potřeboval bych poradit ohledně IPIP tunelů
> Nemáte někdo nějaké zkušenosti se záležitostí IP IP na kernelu 2.4.x?
> 
> Bohužel jsem zjistil, že kernel nezpracovává pakety které nemají záznam v
> routovací tabulce ....
> 
> To znamená, pokud není záznam, pakety přijdou zařízením tunl0 dovnitř, ale
> nikdo je nezpracuje ...
> pokud přidám routu pro tu danou IP adresu, tak sice kernel pakety zpracuje,
> ale zpátky místo aby posílal pakety ven internetem, cpe je zpět do tunelu,
> což je nefunkční ...

	Zkusenosti s primo timto kernelem nemam.

	Vzhledem k tomu, ze v routovaci tabulce obvykle je pritomen "default" 
zaznam, mel by byt routovaci zaznam pritomen vzdy - takze predpokladam, 
ze pricina je bud' jina, nebo se "default" zaznam pro ucely teto ochrany 
za zaznam nepovazuje.

	Popisovana funkce, pokud skutecne existuje je, zrejme, ne vzdy zcela 
stastnym zpusobem/pokusem Linuxu resit DoS utoky predpokladajicim, ze 
komunikace je zasadne dvousmerna a prichozi interface je pro konkretni 
IP shodny s odchozim - coz v urcitych pripadech neplati. Predpokladam 
tedy, ze s ohledem na tyto situace lze takovou ochranu vypnout a/nebo 
neprelozit do kodu. S konkretnim postupem jak toho dosahnout by vam ale, 
vzhledem k tomu, ze je to OS specificky problem mel ucineji poradit 
nekdo v nejake patricnejsi (tedy nejlepe Linuxove) konferenci.

					Dan



-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz