On Mon, Jun 12, 2000 at 01:44:16PM +0200, Udo Erdelhoff wrote:
> Moin,
> > Der Author dürfte sich vorgenommen haben, einen ppp zu bauen, der echt
> > alles kann.
>
> und wenn ich ganz ehrlich bin, dann stört mich das etwas. Denn das Ergebnis
> dieser Einstellung ist ein ppp-Daemon, der riesengroß ist und zwar alles
> etwas, aber nichts richtig kann. Zum Beispiel ist es echt toll, daß man
> direkt im ppp einen Packet Filter hat. Der aber
> - keine Ahnung von IPv6 hat
> - nicht loggen kann
> - keine state machine unterstützt
> - keinen Bandbreitenlimitierung unterstützt
> - das RST-Feature nicht unterstützt.
kannst Du kurz sagen, was diese state machine ist?
>
> Der Autor wäre IMHO besser gefahren, wenn er statt des eigenen Filters
> lieber eine Möglichkeit gefunden hätte, den ipfw im Kernel zu nutzen.
> Die unter Unix übliche modulare Vorgehensweise halt.
>
kann man ja auch ; am tun<N> device. IMHO haben die Filter im ppp haupt
sächlich die dial-trigger und keepalive funktion. Daß man noch in
und out filtern kann, gut, braucht man nicht wirklich, wie du richtig
sagst.
> Wobei ich ehrlich zugebe, daß ich zur Zeit auch nur sehr halbherzig
> eingebaut habe bzw. einbauen kann - der filter greift bei eingehenden
> Paketen nach dem NAT und ich verwende intern 192.168.1.0/24 :( Womit
> ich wieder bei meinem Argument von oben wäre - ich fände es deutlich
> besser, wenn ich den Filter für ausgehende Pakete nach dem NAT und den
> Filter für eigehende Pakete vor dem NAT schalten könnte. Dann käme da
> jeweils ein Satz denies für source oder destination in den rfc1918-Netzen
> rein und ich hätte Ruhe auf der Leitung.
>
Und wenn du NAT über natd und den Kernel / ipfw machst ?
Du hast ja den vollen Zugriff auf das tun<X> device.
.... deny from mynet in via tun0 oder so tut nicht???
> Anti-Spoofing ist nach meiner Definition, daß man keine Pakete, die von
> einem selbst (bzw. vom eigenen Netz) kommen sollen, von außen in das System
> läßt. Wenn hinter dem eigenen System noch weitere Netze hängen und die
> nur über das System rauskommen, gilt das natürlich auch für Pakete mit
> deren Adresse als source.
>
ok. Da war ich vorher zu undeutlich. rfc1918-adressen sind halt ein
sehr häufig vorkommender Teil von "eigenen Netzen".
> Und nein, das ist keine Paranoia, das ist leider notwendig. Es gibt zu
> viele Idioten und Script-Kiddies da draußen.
>
yup! - brauch ich auch nicht, daß mir lustige Leute die Telefonrechnung
verteuern ;-) Wobei sich gute Provider sehr wohl um dieses Thema kümmern.
Ich bastel grad an einem Ding, das mit squid und socks läuft, da fühl
ich mich schon etwas besser, wenn ich keine Pakete forwarden muß.
lg,
-- Georg To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 12 Jun 2000 - 19:10:15 CEST