информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеВсе любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Foreshadow продолжает дело Meltdown... 
 Попасть под лошадь 
 Последний спокойный день для сайтов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Прекрасно и с НАТ'ом все решается - выставлением правильного (не очень большого) time-out'а на idle-соединения... 12.06.01 20:07  Число просмотров: 606
Автор: Rusik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > Tut bylo usze koe chto ob etom no xochu dobavit'
> ob
> > odnoi
> > > oshibke kotoraja u menja vstrechaetsja chasto na
> local
> > > setkax B klassa pod MASQ:
> > > A immenno vot kakaja oshibka vyletaet chasten'ko:
> > > Ne nashol k soszaleniu kopiu ee no sut' v tom
> chto on
> > > pishet chto vse svobodnye IP porty usze
> ispolzovany
> > (32xxx
> > > primerno) i vse bolshe nichego rabotat' ne
> moszet.
> > >
> > Это особенность функционирования MASQ - переброс
> соединений
> > на верхние порты
> > для машины на которой он поднят - при нескольких
> сотнях
> > машин во внутренней сетке это запросто может уперется
> в
> > вышеописанную проблему.
> > Пример:
> >
> > сетка 5 машин ....
> >
> > netstat -M | wc -l дает от 10 до 100 то есть для 5
> сотен
> > это
> > будет от 5000 до 50000 соединений ... идея понятна ?
> :)
> >
> > это частично лечится установкой прокси для доступа в
> Inet
> >
> > > A v NAT tosze takaja sze problema ili on po
> drugomu s
> > etim
> > > spravljaetsja?
> >
> > хотя full NAT и предполагает наличае диапазона IP на
> > внешнем интерфейсе
> > но это не решает вышеописанной проблемы кардинально
> ...
> >
> > Я бы всетаки смотрел в сторону proxy...
> > ...или получить диапазон легальных адресов пошире.
>
> Согласен, прокси однозначно, причем только для HTTP и FTP,
> и желательно кэширующий (лучше всего сквид), а прямой выход
> прикрой файерволом. Выход через нат или маскарадинг лучше
> давать выборочно, тем кому нужны другие протоколы,
> предварительно напугав пользователя и сняв с себя
> ответственность. Кроме решения проблемы с ограничением
> числа одновременных соединений ты получишь логи доступа,
> экономию трафика за счет кэширования, повышение
> безопасности - не всякий троян умеет туннелится через
> прокси по HTTP, да и ты в логах увидишь куда он лезет. Да,
> при этом желательно не устанавливать у пользователя defualt
> route - опять же от троянов. На прокси можно прикрыть
> скачивание отдельных типов файлов.
<networking> Поиск 
  • MASQ ili NAT??? - vladno 04.06.01 05:26 [406]
    • Proxy - XR 04.06.01 14:27 [646]
      • Proxy - prop 04.06.01 20:16 [662]
        • (!) Прекрасно и с НАТ'ом все решается - выставлением п... - Rusik 12.06.01 20:07 [606]








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach