Но зачем придумывать самописные скрипты, когда есть специально заточенные под это бесплатные динамические протоколы маршрутизации?
Ответ на это у меня только один: каждый использует тот инструмент, которым умеет пользоваться, даже если он неоптимален.
А, в этом вы правы. Правило-«пустышка» может использоваться, например, для сбора статистики, но таким лучше не злоупотреблять, т.к. большое количество правил нагружает процессор.
Изначально подумал, что вы спрашиваете про необходимость маршрутизации подсетей из RFC в blackhole. Весь комментарий выше про это.
>> Про возврат с established немного не понял. Ведь статус получают только успешные соединения, а тут налицо дроп — соединению не с чем устанавливаться.
Дроп будет, если первый пакет придет из вне. Если первый пакет сгенерирует сам роутер или устройство из LAN портов, то сразу создается поток, который отрабатывается по established, как правило по дефолту разрешенным файерволом более приоритетным правилом.
Правила маршрутизации по RFC1918 блокируют трафик «серых» подсетей, не позволяя им уйти по дефолтному маршруту. Это снижает нагрузку на интерфейс.
Нормально-закрытые — это запретить всё, кроме established&related? В таком случае пакет, ушедший на аплинковый порт даже с адресом назначения из RFC1918, сможет вернуться назад, попав в established. Мы можем только надеяться, что провайдер самостоятельно зафильтрует такой трафик со своей стороны. Но что ему мешает осознанно или по ошибке настроить свою маршрутизацию таким образом, чтобы все пакеты с адресом назначения RFC1918 возвращались обратно по адресу источника? Получим усиление трафика в TTL число раз.
А также есть ещё очень много неявных сценариев, вероятность которых весьма мала, но лучше пресекать сразу на корню. Короче, не следует без нужды «срать» мусорными пакетами в сторону своего провайдера.
Сам страдаю от этой проблемы.
Поскольку между использованием другой SIM и появлением первого сообщения прошло несколько месяцев, над решением головоломки причино-следственной связи потратил время и был очень удивлен.
Возьмем 2 студентов и дадим им задание развернуть небольшую корпоративную сеть, но одному выделим IP адреса из класса C, другому — из класса D.
У кого больше шансов на успех?
Ответ на это у меня только один: каждый использует тот инструмент, которым умеет пользоваться, даже если он неоптимален.
Изначально подумал, что вы спрашиваете про необходимость маршрутизации подсетей из RFC в blackhole. Весь комментарий выше про это.
>> Про возврат с established немного не понял. Ведь статус получают только успешные соединения, а тут налицо дроп — соединению не с чем устанавливаться.
Дроп будет, если первый пакет придет из вне. Если первый пакет сгенерирует сам роутер или устройство из LAN портов, то сразу создается поток, который отрабатывается по established, как правило по дефолту разрешенным файерволом более приоритетным правилом.
Правила маршрутизации по RFC1918 блокируют трафик «серых» подсетей, не позволяя им уйти по дефолтному маршруту. Это снижает нагрузку на интерфейс.
Нормально-закрытые — это запретить всё, кроме established&related? В таком случае пакет, ушедший на аплинковый порт даже с адресом назначения из RFC1918, сможет вернуться назад, попав в established. Мы можем только надеяться, что провайдер самостоятельно зафильтрует такой трафик со своей стороны. Но что ему мешает осознанно или по ошибке настроить свою маршрутизацию таким образом, чтобы все пакеты с адресом назначения RFC1918 возвращались обратно по адресу источника? Получим усиление трафика в TTL число раз.
А также есть ещё очень много неявных сценариев, вероятность которых весьма мала, но лучше пресекать сразу на корню. Короче, не следует без нужды «срать» мусорными пакетами в сторону своего провайдера.
Поскольку между использованием другой SIM и появлением первого сообщения прошло несколько месяцев, над решением головоломки причино-следственной связи потратил время и был очень удивлен.
Возьмем 2 студентов и дадим им задание развернуть небольшую корпоративную сеть, но одному выделим IP адреса из класса C, другому — из класса D.
У кого больше шансов на успех?