konstola source IP (Re: Interni BIND (Re: ANNOUNCE: bind-chroot...))
David Rohleder
davro at ics.muni.cz
Wed Jun 19 09:33:57 CEST 2002
uhlar at fantomas.sk writes:
> David Rohleder <davro at ics.muni.cz> wrote:
> -> uhlar at fantomas.sk writes:
>
> ->> Ing. Pavel PaJaSoft Janousek <janousek at fonet.cz> wrote:
> ->> -> Druha vec je bordel jednotlivych ISP, kteri nechteji kontrolovat, ze jim
> ->> -> z konce A chodi packety, ktere by se tam v zivote nemohly octnout.. =>
> ->> -> je zrejme, ze je nekdo zamerne umele generuje.
> ->>
> ->> ktore systemy to umoznuju lahko filtrovat? a ktore routing protokoly?
> ->>
> ->> viem ze v linuxe je na toto rp_filter ale co cisca, BSD ... ?
>
> -> Cisco ano, BSD asi taky. A se smerovacimi protokoly to nema nic spolecneho.
>
> kedysi davno som mal s kolegom diskusiu presne o tomto a tvrdil ze z
> na niektorych routeroch je velmi tazke take nieco filtrovat, pretoze iste
> pakety mozu chodit z viacerych zdrojov a pritom mozu byt autenticke. Tusim
> sa jednalo o backbone routery riadend protokolom BGP. NEviem naisto povedat
> ci je mozne a realne zabezpecit toto na routeri pracujucom s BGP - ci
> protokol zaisti spravne smerovanie, ci vsetky cesty odkial moze paket prist
> budu obsiahnute v routovacej tabulke.
>
To je pravda, ale reverse path se nepouziva na paternich krabicich,
ale obvykle na rozhrani zakaznik-provider. Nasadit reverse path
kdekoliv jinde povazuji za velmi spatny napad.
> Taktiez tvrdil ze by to od cisca vyzadovalo cpu routing... vzhladom na to
> ako sa do nich vyznam som sa radsej nehadal. Ale mozete mi poslat nejake
> blizsie informacie o tomto? (radsej privatne. alebo do koncery
> cz.net.internet kam som nastavil followup, ak to citate newsami).
Pokud se dela reverse path, tak se nedela procesorem (pokud je zapnute
CEF, nebo jiny fast forwarding). S access-listy to muze byt problem a
opravdu to cisco muze tahat procesorem, coz pro nej nemusi byt zrovna
prijemne :-) (ale obvykle zalezi na vice parametrech - nekdy jdou
access-listy mimo cpu)
--
-------------------------------------------------------------------------
David Rohleder davro at ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
More information about the net
mailing list