Re: sudo ws root
Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec 2008 16:12:58 +0200:
>> >> >> > > VPN это отдельная печальная история и может создать намного больше
>> >> >> > > проблем, чем вариант с ssh.
>> >> >> >
>> >> >> > Например?
>> >> >>
>> >> >> Начиная от проблем с безопасностью
>> >>
>> >> ПК> Помню только одну проблему с безопасностью, которая и ssh касалась,
>> >> ПК> т.к. ода используют openssl.
>> >>
>> >> У openvpn проблема с безопасностью врожденная. Заключается она в том,
>> >> что аутентификацию он умеет, а авторизацию - нет. Ну, почти.
>> >>
>> >> >> и заканчивая настройкой с учетом параметров маршрутизаторов на пути
>> >> >> траффика - приходится эмпирически параметры подбирать, как уж там,
>> >> >> mtu вроде и проч.
>> >>
>> >> ПК> Вы про что? Не слышал такого.
>> >>
>> >> Про устройство IP в курсе? Словосочетание "фрагментирование пакетов"
>> >> слышал? Что будет, если попытаться затуннелировать пакет максимального
>> >> для данной физической сети размера, представляешь?
>>
>> ПК> Если попытаться затоннелировать пакет максимального для данной
>> ПК> физической сети размера, он пройдёт, а если размер пакета IP
>> ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с
>> ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли -
>> ПК> выкладывайте.
>>
>> Тут есть три варианта:
>>
>> 1) PMTU discovery сработает. Все бы ничего, но делать его придется для
>> каждой сессии.
ПК> Разве для каждой сессии?
Угу. PMTU же для разных P, вообще говоря, разный.
>> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг
>> DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из
>> заголовков по крайней мере наполовину
ПК> На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не
ПК> пролазит, он выбрасывается, а обратно шлётся уведомление, или я не
ПК> прав?
Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо
специально просить. Причем, если я правильно помню, это даже не IP, а
TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто
не получится. Правда, в этом я уже не уверен.
>> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо
>> возвращения Fragmentation needed пакет просто пропадет.
ПК> Причём тут тоннель, при встрече с хостом с brain-dead
ПК> администратором и без тоннеля будут проблемы. Которые PMTU как раз
ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается
ПК> штатным стеком без PMTU.
Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
администратором. По отдельности оно не ломается. И поскольку хану мы
не лечим, то чинить можно только зажиманием MTU.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html
Reply to: