On Thu, 29 Jul 1999, Alexey V.Moiseev wrote:
>
> Вот задумали мы сделать локальный обмен трафиком между сетями - своими и
> еще одних товарищей.
>
> Картина следующая - у нас есть три сети по 255 адресов - назовем их
> сетью XXX, принадлежат они AS DEMOS.
> У них есть несколько сетей (YYY), принадлежащих другой AS (но не вся AS).
> Допустим мы делаем канал между нами и ими, статически прописываем с обоих
> сторон эти сети, и роутим локальный трафик друг на друга.
>
> Как в этом случае можно защититься от злого хитрого клиента, который
> поставит у нас (в сети ХХХ) прокси и будет пускать через него клиентов из
> сетей YYY, нагружая тем самым наши внешние каналы ?
>
Никак, естественно... Прокси может сидеть на любом порту любой машины,
либо вы закрываете все порты, тем самым сводя пиринг на нет, либо терпите
возможность "левого" проксирования.
> Соответственно такая же проблема стоит и в обратную сторону. Решения
> видны, но они все какие-то кривые на мой взгляд :) Не знает ли кто более
> менее красивого решения сией проблемы ?
>
> Да и вообще - как особо умные и иопытные люди поступают в таких случаях ?
Они если устанавливают пиринг, то уже не задумываются о том, что кто-то
может поставить прокси.. А если этот аспект очень беспокоит, либо не
устанавливают пиринг вообще, либо между ограниченным множеством адресов/
сервисов.
--------------------------------------
Basil (Vasily) Dolmatov CCNP-Security, CCDA
East Connection ISP, Moscow, Russia. ()
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
