Музыка

[dadv]

Сначала анекдот с бородой длиннее, чем моя жизнь.

Школьный учитель спрашивает учеников о профессии родителей.
- Тим, чем твоя мама занимается на работе?
Тим встает и гордо говорит:
- Она – доктор.
- Замечательно, ну как насчет тебя, Эмми?
Девочка стеснительно произносит:
- Мой папа разносит почту.
- Спасибо, Эмми, – говорит учитель. – Ну, а твои родители что делают, Билл?
Билл гордо встает и объявляет:
- Мой папа играет музыку в борделе!
Обалдевший учитель решил направиться к Биллу домой.
- В каких условиях вы растите ребенка? – спрашивает он у отца.
Тот отвечает:
- Вообще-то я программист и специализируюсь на TCP/IP – коммуникационном протоколе в системе UNIX. Ну как объяснить это семилетнему пацану?

Имеем хост под FreeBSD 8.2, подключенный к двум независимым провайдерам A и B, каждый из которых выдал по одному публичному IP-адресу и не предоставляет динамической маршрутизации. default route выставлен в канал A плюс средствами ipfw fwd сделан policy-based routing для исходящих пакетов, чтобы они роутились по каналам в зависимости от src IP.

Из канала B приходит TCP SYN на порт, для которого есть правило ipfw reset tcp, генерирующее в ответ TCP RST. Такие RST плюют на pbr и уходят по default route в канал A. Провайдерский маршрутизатор гробит RST и генерирует в ответ ICMP prohibited by filter, который посылает на адрес источника, взятый из пакета RST. ICMP делает круг по интернету (в соответствии с провайдерским BGP) и возвращается к нам через канал B. См. анекдот.

Comments

[fuflolog.livejournal.com]

Ты у меня в ЖЖ не читал историю про жадных и глупых людей, которые всю сетку построили на файерволах? А фигли, файервол же тоже маршрутизировать умеет. Ну и до кучи навесили на файерволы всяких разных функций. И в итоге в один прекрасный день файерволы в core получили обновление антивирусной базы (вместе с engine, как водится), а прожевать его не смогли. И умерли, но умерли интересно - ICMP работал, а все остальное нет. Пока нашли, в чем причина, пока залили рабочую прошивку - прошло несколько часов. Контора была чем-то вроде Visa, только в австралийском масштабе. Несколько часов транзакции не ходили, а че, нормально.

Вот из-за таких историй я очень не люблю дешевых решений и всегда стараюсь функции разносить. В моих палестинах, правда, нанять админа стоит гораздо дороже, чем купить маршрутизатор, но тем не менее.

[dadv.livejournal.com]

У меня не файрвол с функцией маршрутизатора, у меня маршрутизатор с умением ACL и PBR. И я не верю в автоматические обновления таких базовых функций, максимум базу вирусных сигнатур. engine я обновляю только сам руками.

[http://users.livejournal.com/_dyr/]

Файервол с маршрутизатором в core и с антивирусом?! Я отказываюсь понять логику этих людей.

[dadv.livejournal.com]

Ну, у меня одно время был такой в одном месте, на фре. Сеть очень небольшая и несложная :-) Потом, правда, разнесли почтовый антивирус и маршрутизатор, но совмещение маршрутизатора с файрволом и антивируса с прокси осталось.