Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Fri, 12 Dec 2008 20:16:23 +0200
Message-id: <[🔎] 1229105783.15641.1.camel@casper.meteor.dp.ua>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 48133746@tigger.lan.cryptocom.ru>
References: <[🔎] 493D6766.9020305@yandex.ru> <200812101822.56363.pechnikov@sandy.ru> <1228925297.4590.58.camel@casper.meteor.dp.ua> <200812102010.16770.pechnikov@sandy.ru> <[🔎] 1228929724.4590.110.camel@casper.meteor.dp.ua> <[🔎] 15972408@tigger.lan.cryptocom.ru> <[🔎] 1229082382.4386.11.camel@casper.meteor.dp.ua> <[🔎] 14218715@tigger.lan.cryptocom.ru> <[🔎] 1229091179.4386.40.camel@casper.meteor.dp.ua> <[🔎] 48133746@tigger.lan.cryptocom.ru>

В Птн, 12/12/2008 в 18:01 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org  @ Fri, 12 Dec 2008 16:12:58 +0200:
> 
>  >>  >>  >> > > VPN это отдельная печальная история и может создать намного больше
>  >>  >>  >> > > проблем, чем вариант с ssh.
>  >>  >>  >> >
>  >>  >>  >> > Например?
>  >>  >>  >> 
>  >>  >>  >> Начиная от проблем с безопасностью
>  >>  >> 
>  >>  >>  ПК> Помню только одну проблему с безопасностью, которая и ssh касалась,
>  >>  >>  ПК> т.к.  ода используют openssl.
>  >>  >> 
>  >>  >> У openvpn проблема с безопасностью врожденная.  Заключается она в том,
>  >>  >> что аутентификацию он умеет, а авторизацию - нет.  Ну, почти.
>  >>  >> 
>  >>  >>  >>  и заканчивая настройкой с учетом параметров маршрутизаторов на пути
>  >>  >>  >> траффика - приходится эмпирически параметры подбирать, как уж там,
>  >>  >>  >> mtu вроде и проч.
>  >>  >> 
>  >>  >>  ПК> Вы про что? Не слышал такого.
>  >>  >> 
>  >>  >> Про устройство IP в курсе?  Словосочетание "фрагментирование пакетов"
>  >>  >> слышал?  Что будет, если попытаться затуннелировать пакет максимального
>  >>  >> для данной физической сети размера, представляешь?
>  >> 
>  >>  ПК> Если попытаться затоннелировать пакет максимального для данной
>  >>  ПК> физической сети размера, он пройдёт, а если размер пакета IP
>  >>  ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с
>  >>  ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли -
>  >>  ПК> выкладывайте.
>  >> 
>  >> Тут есть три варианта:
>  >> 
>  >> 1) PMTU discovery сработает.  Все бы ничего, но делать его придется для
>  >> каждой сессии.
> 
>  ПК> Разве для каждой сессии?
> 
> Угу.  PMTU же для разных P, вообще говоря, разный.
> 
>  >> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг
>  >> DF или он вообще не TCP).  Поедет два пакета.  Второй будет состоять из
>  >> заголовков по крайней мере наполовину
> 
>  ПК> На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не
>  ПК> пролазит, он выбрасывается, а обратно шлётся уведомление, или я не
>  ПК> прав?
> 
> Не прав.  Совершенно.  Чтобы пакет не фрагментировали, об этом надо
> специально просить.  Причем, если я правильно помню, это даже не IP, а
> TCP флаг.  Т.е. попросить не фрагментировать UDP- или ESP-пакет просто
> не получится.  Правда, в этом я уже не уверен.
> 
>  >> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо
>  >> возвращения Fragmentation needed пакет просто пропадет.
> 
>  ПК> Причём тут тоннель, при встрече с хостом с brain-dead
>  ПК> администратором и без тоннеля будут проблемы. Которые PMTU как раз
>  ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается
>  ПК> штатным стеком без PMTU.
> 
> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
> администратором.  По отдельности оно не ломается.  И поскольку хану мы
> не лечим, то чинить можно только зажиманием MTU.

Где почитать можно, я неверное с этой разновидностью не сталкивался?

Только что перечитал что есть что:

PMTU: пассивно запоминает минимальный MTU для каждого пути назначения,
где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах
ставится DF, и если получен ICMP[Fragmentation needed] значение
запоминается на некоторое время.

MSS: поле TCP заголовка указывающее максимальный размер пакета для этой
сессии. Такой себе MTU для TCP сессии. Установка MSS=PMTU Помогает на
локальном файрволе с пониженным MTU (<1500) от того, что на некотором
сайте блокируют входящие ICMP[Fragmentation needed].

То есть PMTU помогает избежать лишних ICMP[Fragmentation needed] в вашу
сторону, но без них не работает.

MSS: помогает от дебильных админов сайтов, лишних
ICMP[Fragmentation needed] в их сторону.

Кстати, везде пишут, что фрагментация пакетов на роутерах метод древний и
вместо него стараются использовать PMTU.

Кстати, "brain-dead администратор" блокирует входящие
ICMP[Fragmentation needed], от чего Вам поможет MSS=PMTU.

Не знаю как расценивать, если вдруг "brain-dead администратор" блокирует
исходящий ICMP[Fragmentation needed] и сам сидит на PPPoE и как с этим
бороться. Ты кстати про этот случай говоришь? Наверно без PMTU пойдёт
естественная фрагментация, но, мне кажется таких дебилов надо пинать,
чтоб такое мнение не распространялось.

Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а UDP
и остальные как повезёт, или пройдут по PMTU или будут фрагментированы.
Есть поправки?

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

Follow-Ups:
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- sudo ws root
  - From: "russian-linuxoid@yandex.ru" <russian-linuxoid@yandex.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: sudo ws root
Next by Date: Re: sudo ws root
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread