информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Летом Chrome начнет помечать сайты... 
 Умер основатель EFF 
 40 лет Алисе и Бобу 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Proxy 04.06.01 20:16  Число просмотров: 641
Автор: prop Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Tut bylo usze koe chto ob etom no xochu dobavit' ob
> odnoi
> > oshibke kotoraja u menja vstrechaetsja chasto na local
> > setkax B klassa pod MASQ:
> > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > Ne nashol k soszaleniu kopiu ee no sut' v tom chto on
> > pishet chto vse svobodnye IP porty usze ispolzovany
> (32xxx
> > primerno) i vse bolshe nichego rabotat' ne moszet.
> >
> Это особенность функционирования MASQ - переброс соединений
> на верхние порты
> для машины на которой он поднят - при нескольких сотнях
> машин во внутренней сетке это запросто может уперется в
> вышеописанную проблему.
> Пример:
>
> сетка 5 машин ....
>
> netstat -M | wc -l дает от 10 до 100 то есть для 5 сотен
> это
> будет от 5000 до 50000 соединений ... идея понятна ? :)
>
> это частично лечится установкой прокси для доступа в Inet
>
> > A v NAT tosze takaja sze problema ili on po drugomu s
> etim
> > spravljaetsja?
>
> хотя full NAT и предполагает наличае диапазона IP на
> внешнем интерфейсе
> но это не решает вышеописанной проблемы кардинально ...
>
> Я бы всетаки смотрел в сторону proxy...
> ...или получить диапазон легальных адресов пошире.

Согласен, прокси однозначно, причем только для HTTP и FTP, и желательно кэширующий (лучше всего сквид), а прямой выход прикрой файерволом. Выход через нат или маскарадинг лучше давать выборочно, тем кому нужны другие протоколы, предварительно напугав пользователя и сняв с себя ответственность. Кроме решения проблемы с ограничением числа одновременных соединений ты получишь логи доступа, экономию трафика за счет кэширования, повышение безопасности - не всякий троян умеет туннелится через прокси по HTTP, да и ты в логах увидишь куда он лезет. Да, при этом желательно не устанавливать у пользователя defualt route - опять же от троянов. На прокси можно прикрыть скачивание отдельных типов файлов.
<networking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach