[Berlin-wireless] public IPs fuer Berlin
Frithjof Hammer
olsrexperiment
Sa Jun 2 20:37:52 CEST 2007
Am Samstag, 2. Juni 2007 schrieb Daniel Paufler:
> Hallo
>
> >> Dem kann ich so nicht zu stimmen. DIese Attacken auf via ssh
> >> erzeugen in der Summe eine nicht unerhebliche Grundlast an Traffic,
> >> der die verfügbare Bandbreite der DSL-Uplinks nutzlos mindert.
> >>
> >> Könnte jeder Besitzer einer IP für seine IP's z.B. via eines
> >> Webinterfaces zwischen a.) ungefiltert, b.) nur ssh und c.) nur
> >> getrackte Verbindungen wählen, wäre das keine Sicherheitslösung,
> >> aber es ist eine helfende Hand und würde die Grundlast reduzieren.
> >>
> >> Meine Überlegung ergeben natürlich nur einen Sinn, wenn die
> >> DSL-Anschlüsse der Flaschenhals sind.
> >
> > Allein der google-bot erzeugte bei mir -mit 10 WRTs via öffentlichem (s.:
> > freifunk.schmudde.com) Portforwarding- eine Last, die das ganze nahezu
> > unnutzbar machte... etwas JavaScript für die URL schuf zwar Ruhe, aber
> > mit statischer IP würde das zur Hölle werden... Und - filtern /erst auf
> > dem Router/ wäre bei der zu erwarten Masse an 'Rauschen' IMHO 'n Tropfen
> > auf den heißen Stein.
>
Ich will auch direkt auf dem Gateway zum GBI filtern.
> Ich verstehe eure Bedenken, aber euch ist hoffentlich auch klar, dass
> ihr gerade für "lieber provider, bitte filter mich" argumentiert. Das
> wäre halt fast so, als wenn mein $SERVER im $RZ steht, und ich $PROVIDER
> frage, bitte bestimmte ports für das RZ zu filtern.
Da wir ein lieber Provider sind, ist das eine akzeptable Anfrage. Natürlich
nur wenn sich jede IP nach Belieben des Besitzers gefiltert wird oder
ungefiltert bleibt.
>
> Imo ist noch keine gute Lösung gefunden.
Soweit finde ich meine Lösung toll, jeder kann einstellen, was ihm beliebt.
Stellt er Filter ein, spart das an den DSL-Uplinks Bandbreite.
> Und: wenn wir mehrer Uplinks
> haben, wo steht dann die firewall?
Ich weiß nicht, ob wir aneinander vorbei reden: Wenn Du mehrere Bordergateways
meinst, die eine Public IP im GBI ankündigen/routen, müsste sie natürlich auf
den Gateways laufen. Sonst spart es natürlich auch nichts an den
schmallbandigen DSL-Uplinks.
> Woher weiss ich woher die Anfragen
> (uplink) kommen?
Ich hatte Diskussion so verfolgt, dass wir das TINC oder einer anderen
Tunnellösung überlassen.
> Wer hält die Teile syncron, wenn wir >4 Uplinks haben?
ja, das ist ein Problem.
> Ich für meinen Teile will ungefilteres Netz. Komplett.
> Kein shaping,
bringt ja eh nur was auf den Flaschenhälsen, sprich den DSL-Uplinks.
> keine portsperren,
dito, es sei denn der Benutzer will sie und schaltet sie explizit ein.
> keine logfiles.
dito
>
> Daniel
Frithjof
Mehr Informationen über die Mailingliste Berlin