Re: sudo ws root
В Птн, 12/12/2008 в 18:01 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec 2008 16:12:58 +0200:
>
> >> >> >> > > VPN это отдельная печальная история и может создать намного больше
> >> >> >> > > проблем, чем вариант с ssh.
> >> >> >> >
> >> >> >> > Например?
> >> >> >>
> >> >> >> Начиная от проблем с безопасностью
> >> >>
> >> >> ПК> Помню только одну проблему с безопасностью, которая и ssh касалась,
> >> >> ПК> т.к. ода используют openssl.
> >> >>
> >> >> У openvpn проблема с безопасностью врожденная. Заключается она в том,
> >> >> что аутентификацию он умеет, а авторизацию - нет. Ну, почти.
> >> >>
> >> >> >> и заканчивая настройкой с учетом параметров маршрутизаторов на пути
> >> >> >> траффика - приходится эмпирически параметры подбирать, как уж там,
> >> >> >> mtu вроде и проч.
> >> >>
> >> >> ПК> Вы про что? Не слышал такого.
> >> >>
> >> >> Про устройство IP в курсе? Словосочетание "фрагментирование пакетов"
> >> >> слышал? Что будет, если попытаться затуннелировать пакет максимального
> >> >> для данной физической сети размера, представляешь?
> >>
> >> ПК> Если попытаться затоннелировать пакет максимального для данной
> >> ПК> физической сети размера, он пройдёт, а если размер пакета IP
> >> ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с
> >> ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли -
> >> ПК> выкладывайте.
> >>
> >> Тут есть три варианта:
> >>
> >> 1) PMTU discovery сработает. Все бы ничего, но делать его придется для
> >> каждой сессии.
>
> ПК> Разве для каждой сессии?
>
> Угу. PMTU же для разных P, вообще говоря, разный.
>
> >> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг
> >> DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из
> >> заголовков по крайней мере наполовину
>
> ПК> На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не
> ПК> пролазит, он выбрасывается, а обратно шлётся уведомление, или я не
> ПК> прав?
>
> Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо
> специально просить. Причем, если я правильно помню, это даже не IP, а
> TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто
> не получится. Правда, в этом я уже не уверен.
>
> >> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо
> >> возвращения Fragmentation needed пакет просто пропадет.
>
> ПК> Причём тут тоннель, при встрече с хостом с brain-dead
> ПК> администратором и без тоннеля будут проблемы. Которые PMTU как раз
> ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается
> ПК> штатным стеком без PMTU.
>
> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
> администратором. По отдельности оно не ломается. И поскольку хану мы
> не лечим, то чинить можно только зажиманием MTU.
Где почитать можно, я неверное с этой разновидностью не сталкивался?
Только что перечитал что есть что:
PMTU: пассивно запоминает минимальный MTU для каждого пути назначения,
где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах
ставится DF, и если получен ICMP[Fragmentation needed] значение
запоминается на некоторое время.
MSS: поле TCP заголовка указывающее максимальный размер пакета для этой
сессии.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: