![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Вредные советы (или по мотивам чтения и ужина)
Как выяснилось, не одну меня беспокоит диверсия, проводимая под видом "повышения защищенности сети". Должна признаться, сама лично грешна - принимала участие. В частности, распространяла ересь о том, что среди прочих настоятельно рекомендуемых к указанию на всех интерфейсах маршутизаторов команд ("no ip redirects", "no ip proxy-arp", "no ip directed-broadcast" etc) должна быть команда "no ip unreachables".
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бынамим не добавить аргументов к команде?
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бы
no subject
http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/E_B_SDC1.html
говорит, что
" Under each interface in a device, IP redirects, IP unreachables, and IP proxy-ARP should be disabled."
Далее лень искать - но спорим, что если ты пройдешься по презентациям с networkers (тебе до них ближе ;-) - то найдешь что-то в том же духе?
no subject
no subject
no subject
no subject
no subject
no subject