Re: [inet-admins] Fw: [gee_two@yahoo.com: new SNMP vuln?]

[Dmitry Valdov <dv@dv.ru>]

Hi!

А если большинство клиентов сидят с одним IP за НАТ-ом и никаких сетей ему
не надо? А ведь второй хвост /30 на рутере.. Вот и имеем ситуацию, что один
хвост надо закрыть, а второй нет.

Dmitry. 


On Tue, 12 Feb 2002, Slawa Olhovchenkov wrote:

> Date: Tue, 12 Feb 2002 11:04:49 +0300
> From: Slawa Olhovchenkov <slw@convey.ru>
> Reply-To: inet-admins@info.east.ru
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] Fw: [gee_two@yahoo.com: new SNMP vuln?]
> 
> On Tue, Feb 12, 2002 at 10:32:05AM +0300, Dmitry Valdov wrote:
> 
> DV> Хммм. На каждом интерфейсе каждого роутера по много-много строк deny на 
>DST
> DV> IP каждого интерфейса роутера?? 
> DV> Или просто весь SNMP режется, в т.ч. и на клиентов?
> 
> С некоторых пор и с подсказок старших товарищей ко мне пришло
> правильное понимание того, как должна строится сеть: выделяем два
> блока адресов -- один на интерфейсы и езернеты (можно вообще приватную 
> сеть, но тогда traceroute не всегда работать будет), второй -- на имена
> хостов и роутеров (вешаются на лупбаки и анонсятся в OSPF). Остаток -- 
> клиентам. Тогда прикрывать надо всего два блока, а машинки из сегмента 
> в сегмент таскаются за милую душу не меняя адресов и имен (обращения по
> интерфейсным адресам к ним запрещаются административно).
> 
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html
> 


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html