[linux] Re: Ako zabranit zahlteniu DSL routra
Peter Surda
shurdeek na routehat.org
Středa Leden 19 15:24:20 CET 2005
On Wed, Jan 19, 2005 at 11:55:13AM +0100, Matus UHLAR - fantomas wrote:
> na druhu stranu, nastastie drviva vacsina HTTP klientov podporuje z
> HTTP/1.1 aspon ten Host: header, aspon to predpokladam nakolko drviva
> vacsina web hostingov poskytuje host-based virtualne weby.
Predstav si pripad, ze pouzivana aplikacie nie je Browser Server nema FQDN
(napriklad nejaky prenos dat specialnej aplikacie so servrom firmy
poskytujucej data). Potom Host bud nie je alebo neresolvuje na skutocnu
destination IP. Potom to nefunguje.
> Takze tento problem by sposobil ze tento klient by nevedel ist nikam,
> miesto toho aby sa dostaval na defaultne weby jednotlivych IP...
Ako som povedal, vacsina clientov (napr. vsetky mne zname browsery) to
posiela.
> V pripade, ze redirectnes na druhy stroj. V pripade lokalneho redirectu
> (transparentny proxy bwzi na gatewayi) s tymto problemy nenastavaju
> nakolko ICMP redirekty nechodia.
Hej, ked je presmerovanie len interne v jednom pocitaci, -j NAT a -j REDIRECT
maju viacmenej ten isty efekt.
> Btw, pouzivas tento redirect, na gatewayi aj proxyne?
Nie, ako som pisal, icmp redirect sa robi cez ip route. Net netfiltrovsky
redirect je len interne v ramci jedneho pocitaca (teda na proxy servri)
> (ktorym prikazom prese kazes routeru posielat ICMP redirecty?)
zhruba:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 0x1
ip route add via ip_adresa proxyny table 200 # cislo nahodne vybrane
ip rule add fwmark 1 table 200
(nemam k tomu pocitacu momentalne pristup takze je tam mozno nejaka chyba,
urcite to treba ostetrit este aby boli spravne spracovane ostatne routy a iba
traffic von atd, ale principialne to pojde aj takto).
Je to popisane niekde v LARTC Howto.
> Na redirect nie, ale skus ist secure shellom na nejaky stroj a potom sa
> pripojit na port 80 toho stroja browserom... divil by som sa ak by ti
> nespadlo ssh spojenie. (daj vediet)
K tomu stroju uz nemam pristup, ale je to tak nastavene niekolko rokov a
zavesenych je na tom asi 1000 userov. Keby mne alebo niekomu inemu padali
spojenia, vsimol by som si to. Rovnako, keby ten transprarentny proxy niekomu
sposoboval problemy, vsimol by som si to tiez. Problemy robia len asi 2-3
webservre, ktore pouzivaju divne headery a squid potom tvrdil, ze nema
dovolene sa tam pripajat (mozno NTLM autentifikacia alebo take nieco), je
mozne ze upgrade squid-u to vyriesi.
> "len to" znamena len http komunikaciu? Ako som si vcera pozeral RFC792,
> ICMP redirect sposobi ze vsetka komunikacia pre IP v nom uvedenu pojde cez
> druhy (uvedeny) stroj.
Ano, presmerovany je len http (s vinimkou toho MSIE, pricom to sa opravilo ked
som spravil analogicky redirect opacnym smerom).
> V takychto pripadoch samozrejme niekedy byva nutnost pouzit transparent
> proxy. Alebo pustit klientov priamo von, ak sa to da.
Inac, ja si osobne tiez myslim, ze pokial sietova policy nevyzaduje striktnu
kontrolu cinnosti uzivatelov, proxy server (transparentny alebo
netransparentny) potrebny nie je, su zmysluplnejsie riesenia. To vsak
neznamena, ze sa to neda spravit tak, aby to fungovalo k spokojnosti :-).
> Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
Hello, this is Bill Gates and I pronounce Monopoly, er, Windows as Windows.
Další informace o konferenci linux