forum.opennet.ru

Составление сообщения

Исходное сообщение

"Демонстрация степени приуменьшения опасности уязвимостей в L..."
Отправлено PereresusNeVlezaetBuggy, 04-Май-09 18:42

>>>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до
>>>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с
>>>ним я могу пустить одновременно трафик по всем каналам. А с
>>>TCP у вас такой фокус не пройдёт.
>>Только траффик у вас будет идти один и тот же. Проверьте по
>>RFC, если мне не верите.
>
>wtf "один и тот же"?
   In its current form, SCTP does not do load sharing, that is, multi-
   homing is used for redundancy purposes only.  A single address is
   chosen as the "primary" address and is used as the destination for
   all DATA chunks for normal transmission.  Retransmitted DATA chunks
   use the alternate address(es) to improve the probability of reaching
   the remote endpoint, while continued failure to send to the primary
   address ultimately results in the decision to transmit all DATA
   chunks to the alternate until heartbeats can reestablish the
   reachability of the primary.
http://tools.ietf.org/html/rfc3286
> ессно на L3 будет бегать ip, но
>речь шла о ситуации, когда SCTP будет быстрее TCP.
>Чтобы аналогичное сгородить на TCP, надо постараться.
Не будет он быстрее TCP, потому что используется тот же принцип окна. А вот накладные расходы на все эти мультистриминги и мультихоминги в TCP отсутствуют.
>>>о... а неужели в openbsd уже есть IKEv2
>>нет, только IKE
>
>т.е. IKEv1
>А теперь смотрим сюда: http://www.strongswan.org/
>и сюда: http://www.strongswan.org/uml/testresults42/all.html
Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A.
>>Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится
>>с большой скоростью. Ну а при не небольшой скорости, конечно, разницы
>>особой нет.
>
>через pci можно прокачать сотку в обе стороны. куда вам больше?
Вы про такую вещь как latency в курсе?
> это во-1х. во-2х, почему сразу pci? тот же pcie даст гигабит только
>в путь.
Я пока знаю только об одном криптоакселераторе на PCI Express от Sun. Последний раз когда я интересовался, он стоил порядка $1500. Насколько он эффективен и работоспособен вообще не в курсе. Так что единственный толковый акселератор пока что остётся Via C3.
>Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно.
Да-а? Может ещё и напишете, почему? И заодно расскажете, почему в D-Link'ах Linux, а у некоторых провов — BSD, а не наоборот? Сказку эти-провы-дураки не рассказывайте только. Я могу так же «авторитетно» сказать, что те, кто строят крупную сеть на Linux — дураки и скопидомы. Но это будет точно такой же глупостью. :)
>>>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот
>>>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень,
>>>очень плохо.
>>
>>А кто мешает поставить фаервол?!
>
>фаервол или пакетный фильтр? или МСЭ?
>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.
Как блокировать - уже сказали. Называйте как хотите, дело ваше, суть не меняется: между инетом и внутренней сетью стоит НЕЧТО, что фильтрует (при желании — абсолютно прозрачно) траффик. И не пропускает к кофемолке и холодильнику вообще ничего, а только от холодильника на разрешённые сайты. На OpenBSD и FreeBSD это делается не просто, а очень просто. В Linux пока не пробовал, но хаву-ту видел. Таки возвращаемся к теме: чем плох такой вариант?

Исходное сообщение
"Демонстрация степени приуменьшения опасности уязвимостей в L..." Отправлено PereresusNeVlezaetBuggy, 04-Май-09 18:42
>>>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до >>>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с >>>ним я могу пустить одновременно трафик по всем каналам. А с >>>TCP у вас такой фокус не пройдёт. >>Только траффик у вас будет идти один и тот же. Проверьте по >>RFC, если мне не верите. > >wtf "один и тот же"? In its current form, SCTP does not do load sharing, that is, multi- homing is used for redundancy purposes only. A single address is chosen as the "primary" address and is used as the destination for all DATA chunks for normal transmission. Retransmitted DATA chunks use the alternate address(es) to improve the probability of reaching the remote endpoint, while continued failure to send to the primary address ultimately results in the decision to transmit all DATA chunks to the alternate until heartbeats can reestablish the reachability of the primary. http://tools.ietf.org/html/rfc3286 > ессно на L3 будет бегать ip, но >речь шла о ситуации, когда SCTP будет быстрее TCP. >Чтобы аналогичное сгородить на TCP, надо постараться. Не будет он быстрее TCP, потому что используется тот же принцип окна. А вот накладные расходы на все эти мультистриминги и мультихоминги в TCP отсутствуют. >>>о... а неужели в openbsd уже есть IKEv2 >>нет, только IKE > >т.е. IKEv1 >А теперь смотрим сюда: http://www.strongswan.org/ >и сюда: http://www.strongswan.org/uml/testresults42/all.html Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A. >>Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится >>с большой скоростью. Ну а при не небольшой скорости, конечно, разницы >>особой нет. > >через pci можно прокачать сотку в обе стороны. куда вам больше? Вы про такую вещь как latency в курсе? > это во-1х. во-2х, почему сразу pci? тот же pcie даст гигабит только >в путь. Я пока знаю только об одном криптоакселераторе на PCI Express от Sun. Последний раз когда я интересовался, он стоил порядка $1500. Насколько он эффективен и работоспособен вообще не в курсе. Так что единственный толковый акселератор пока что остётся Via C3. >Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно. Да-а? Может ещё и напишете, почему? И заодно расскажете, почему в D-Link'ах Linux, а у некоторых провов — BSD, а не наоборот? Сказку эти-провы-дураки не рассказывайте только. Я могу так же «авторитетно» сказать, что те, кто строят крупную сеть на Linux — дураки и скопидомы. Но это будет точно такой же глупостью. :) >>>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот >>>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень, >>>очень плохо. >> >>А кто мешает поставить фаервол?! > >фаервол или пакетный фильтр? или МСЭ? >А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP. Как блокировать - уже сказали. Называйте как хотите, дело ваше, суть не меняется: между инетом и внутренней сетью стоит НЕЧТО, что фильтрует (при желании — абсолютно прозрачно) траффик. И не пропускает к кофемолке и холодильнику вообще ничего, а только от холодильника на разрешённые сайты. На OpenBSD и FreeBSD это делается не просто, а очень просто. В Linux пока не пробовал, но хаву-ту видел. Таки возвращаемся к теме: чем плох такой вариант?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру