Piotr KUCHARSKI <c...@s...waw.pl> wrote:
>> Klient powinien miec mozliwosc wypchniecia prez lacze
>> wszystkiego z adresem do ktorego ma prawo..
> Jeśli klient wykupił dwa łącza, a z każdym z nich inny zakres IP,
> to Polpak wręcz powinien wyfiltrować odpowiednie IP na każdym łączu.
Widzisz. I tu jest problem. Bo polpak nie zestawia laczy 4 Mbit.
AFAIK. Daje 2 lacza 2 Mbit. I jak je chcesz efektywnie wykorzystac
z zalozonymi ACL'kami?

> Gdyby wszyscy filtrowali na wejściu przydzielone do klienta IP, to by
> nie było tyle problemów ze spoofowaniem i atakami DDoS.
Oczywiscie. Tylko co ze starymi laczami na ktorych ACL'ek nie ma?

>> A szczegolnie jezeli to
>> jest adres danego providera. No ale to przeciez TPSA...
> To, że to adres danego providera, to nie ma nic do rzeczy. Do rzeczy
> ma, że to jakiś zakres przydzielony do danego łącza. Jestem bardzo
> pozytywnie zaskoczony, że w końcu TPSA zaczęła to robić. Oby tak dalej!
A co to da. Wiekszosc floodow z zespoofowanymi IP przychodzi z poza sieci
polpak-t. A na laczach miedzyoperatorskich ACL'ek nie ma i nie bedzie
bo niby jak. Panowie z polpaku nie sa w stanie nawet wysledzic skad dany
flood przychodzi. Jedyne co moga zrobic to ustawic limit na pakiety
SYN na swoim routerze. I co to daje? Nic ;-) Bo floodowac
mozna nie tylko SYN'ami.


Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Oledzki
e-mail address: ole(at)ans.pl
Linux Registered User: 189200
Internic NickHandle: KO581