On Mon, 13 Oct 2003, MarcoH wrote:
On Mon, Oct 13, 2003 at 04:47:39PM +0200, ProServe - Peter Batenburg wrote:
Buiten 127.0.0.0/8 komt er sowieso belachelijk veel rfc1918 zooi ook binnen hier, wat niet zou moeten naar mijn idee.
Zolang je icmp maar doorlaat. Ja want er zijn mensen die dat soort adressen gebruiken voor hun router interface en ja als je alle rfc1918 weg pleurt kan je dingen slopen.
term 1 { from { prefix-list { rfc1918; } } then { discard; } }
In alle filters, op alle uplink interfaces, zowel in als uit.
En voor zover ik weet gaat er hier vrij weinig stuk. Ook bij DSL gebruikers.
Het volgende kan stuk gaan : AS-CLUELESS gebruikt rfc1918 adressen op de interne links tussen hun routers. Die hebben ook nog een kleine(re) MTU dan de rest van het pad tussen jouw bezoekers en content achter/in hun netwerk. De PMTU discovery die door jou gedaan wordt, krijgt dan niet de icmp message die gestuurd wordt door hun router, met een source adres uit rfc1918 . Niks aan doen, het blijft een probleem van AS-CLUELESS. Ik geloof overigens niet dat dit probleem (netwerken met rfc1918 op interne links) veel voorkomt. Firewall nitwits, die zelf alle ICMP droppen, hebben ook zo'n probleem. En buiten PMTU discovery een vervelende timeout, wanneer ze de netwerk unreachable message van de eerste router die default-free is droppen. Overigens zou het beter zijn om uitgaand alles wat NOT Jouw_space is te droppen, ipv van alleen rfc1918+localhost oid . (of doe je dat al in overige filters) (En evt inkomend alles waarvoor geen route bestaat). Boudewijn