Názor k článku Za hranice síťařského desatera od Sten - Lenine, tohle není návod pro ISP ;-) Stavovy firewall...

Lenine, tohle není návod pro ISP ;-)

Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.

DoSí to celkem nesnadno, pokud je to dobře nastavené, Linux na Atomu (!) zvládne i milion paketů za sekundu a milion najednou aktivních spojení, FreeBSD je ještě výkonnější. Ve firmě je to nutnost, navíc vyžadovaná příslušnými certifikáty.

Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.

Takhle se dá blokovat celý rozsah, ne jen jedna IP. I když použitelnost mi taky přijde dost k ničemu.

Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?

Komu ta práva dáš, ten je bude mít ;-) Jinak tohle je spíš článek pro správce sítí ve firmách, tam se žádné SLA řešit nebude, maximálně tak dostane příkaz daný rozsah opět povolit.

Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?

Ne, nmap to sice umí, ale těžko pak bude dostávat odpovědi. Navíc se tím dá udělat early warning system pro různý malware ve vnitřní síti — jde totiž o typický příznak většiny virů.

Reverse path filter - to je taky uplne k nicemu pokud mate vice nez 1 uplink.

Není, pokud to umíš nastavit ;-)

Prostě jsi tu na nikoho neudělal žádný dojem.