Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Fri, 12 Dec 2008 16:12:58 +0200
Message-id: <[🔎] 1229091179.4386.40.camel@casper.meteor.dp.ua>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 14218715@tigger.lan.cryptocom.ru>
References: <[🔎] 493D6766.9020305@yandex.ru> <200812101822.56363.pechnikov@sandy.ru> <1228925297.4590.58.camel@casper.meteor.dp.ua> <200812102010.16770.pechnikov@sandy.ru> <[🔎] 1228929724.4590.110.camel@casper.meteor.dp.ua> <[🔎] 15972408@tigger.lan.cryptocom.ru> <[🔎] 1229082382.4386.11.camel@casper.meteor.dp.ua> <[🔎] 14218715@tigger.lan.cryptocom.ru>

В Птн, 12/12/2008 в 16:39 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org  @ Fri, 12 Dec 2008 13:46:22 +0200:
> 
>  >>  >> > > VPN это отдельная печальная история и может создать намного больше
>  >>  >> > > проблем, чем вариант с ssh.
>  >>  >> >
>  >>  >> > Например?
>  >>  >> 
>  >>  >> Начиная от проблем с безопасностью
>  >> 
>  >>  ПК> Помню только одну проблему с безопасностью, которая и ssh касалась,
>  >>  ПК> т.к.  ода используют openssl.
>  >> 
>  >> У openvpn проблема с безопасностью врожденная.  Заключается она в том,
>  >> что аутентификацию он умеет, а авторизацию - нет.  Ну, почти.
>  >> 
>  >>  >>  и заканчивая настройкой с учетом параметров маршрутизаторов на пути
>  >>  >> траффика - приходится эмпирически параметры подбирать, как уж там,
>  >>  >> mtu вроде и проч.
>  >> 
>  >>  ПК> Вы про что? Не слышал такого.
>  >> 
>  >> Про устройство IP в курсе?  Словосочетание "фрагментирование пакетов"
>  >> слышал?  Что будет, если попытаться затуннелировать пакет максимального
>  >> для данной физической сети размера, представляешь?
> 
>  ПК> Если попытаться затоннелировать пакет максимального для данной
>  ПК> физической сети размера, он пройдёт, а если размер пакета IP
>  ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с
>  ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли -
>  ПК> выкладывайте.
> 
> Тут есть три варианта:
> 
> 1) PMTU discovery сработает.  Все бы ничего, но делать его придется для
> каждой сессии.

Разве для каждой сессии?

> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг
> DF или он вообще не TCP).  Поедет два пакета.  Второй будет состоять из
> заголовков по крайней мере наполовину

На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не
пролазит, он выбрасывается, а обратно шлётся уведомление, или я не прав?

> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо
> возвращения Fragmentation needed пакет просто пропадет.

Причём тут тоннель, при встрече с хостом с brain-dead администратором и
без тоннеля будут проблемы. Которые PMTU как раз и решает, т.к. если
есть Fragmentation needed, он обрабатывается штатным стеком без PMTU.

> Разумная альтернатива - ограничить MTU на входе туннеля.  Вручную, в
> конфиге.  О чем тебе и сказали.

Как вариант, забить подходящее значение себе в шаблон конфига.

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

Follow-Ups:
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- sudo ws root
  - From: "russian-linuxoid@yandex.ru" <russian-linuxoid@yandex.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: sudo ws root
Next by Date: Re: sudo ws root
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread