ADSL + brandvägg nätdesign

[Niklas Hallqvist]

Måns Nilsson wrote:
> --On måndag, måndag 27 nov 2006 13.32.02 +0100 Leif Larsson
> <leif.larsson at l3system.se> wrote:
>
>   
>> pf är väldigt kinkigt... jag har "scrub all no-df" i pf.conf. Det brukar
>> lösa det mesta som jag tidigare löste med olika "max-mss".
>>
>> Det var längesedan jag höll på med "omkonfigureringar" men minns att
>> det alltid varit knepigt, framför allt med (IPSEC)VPN tillsammans med ex.
>> windows fildelning. En period så stämde ingenting efter OS-uppdateringar
>> heller...
>>
>> Intressant tråd...
>>     
>
> PMTUD är viktigt. Man får inte gå och ta sönder det så där. Det är
> lika "framtidssäkert" att kasta bort eller pilla på PMTU-relaterad
> information som det är att konfa sin switch hårt till hundra full eller
> vad man nu har. 
> Eller köra med handställda IP-adresser på allt bara för att
> DHCP-servern kan lägga sig på rygg. Och så vidare. 
>
>   
Problemet med PMTUD är ju tyvärr att när andra inte förstår vad de 
håller på med så drabbas de dina..
Oj, ICMP-paket jag inte vet vad de betyder går igenom min brandvägg: låt 
mig blockera dem!

Jag har faktiskt gett upp, tidigare hade jag no-df på enstaka felaktigt 
konfigurerade sites som
windowsupdate och nordea, men nu har jag gett upp.  Mina kunder förstår 
inte att det kan vara pyttemjuks
fel att inte det går att göra windows update, eller Nordeas fel att de 
inte kan nå Internetbanken.
"Det funkar ju för alla andra!".

Tja, vi lever inte i en ideal värld, tyvärr.  T.ex. har jag inte hittat 
något golfsvingsanalysprogram till
OpenBSD .-)  Och nej, jag orkar inte skriva ett sådant *också*. Har inte 
jag redan dragit mitt strå till stacken .-)