On Mon, 2003-05-19 at 19:51, Alexandru N. Barloiu wrote: > _masiniile cele mai importante_ ale lui ce servicii ruleaza. as filtra > traficul _mai putin_ acele servicii. nu neeaparat web, dar as putea sa > las nefiltrat 25 si 53. stiu ca isp-ul la randul lui in cazurile nasoale > suna mai departe la carrier sa taie mai departe. oricum sistemul asta > romanesc "da-l in masa pe gheata pe asta - taiat tot" e nesimtire.
Nu se pun filtre de gen "deny ip any host cutare" pentru ca nu ar face decat sa incarce si mai tare router-ul respectiv, iar banda ar fi in continuare ocupata. Se anunta pe o comunitate speciala in BGP adresa cutare iar la upstream pur si simplu pachetele se duc in null0 in loc sa se duca spre interfata respectiva, deci nu e loc de "filtreaza toate porturile mai putin n". Sa-mi fie cu iertare, dar nu e vina isp-ului ca tu esti subiectul unui atac. Iar serviciile ar trebui oricum cel putin dublate (2 ns, 2 mx, etc, etc). -- Cioby
