RES: RES: RES: [FUGSPBR] Firewall

Renato Frederick frederick em frederick.com.br
Ter Mar 2 16:22:01 BRT 2004 

> 
> essa já entendi só que não muda nada no fato de que a
> velocidade é limitada pela infraestrutura física - que tipo
> de trafego vc manda por ele já é outro assunto.

Eu to falando sobre o tipo do protocolo, que daí caiu na complicacao da
teoria :)

> 
> o que vc explica aqui é muito bom é em parte válido porque
> devido a implementação antigo do tcp/ip existe infoarmação
> nos cabeçalhos que possivelmente não é sempre necessário. O
> uso prático depende porém de que as duas pontas falam o mesmo padrão.
> 

Sim, por isso que atualmente temos que rebolar usando o ipv4 e usando Qos,
CBQ, enfim, ferramentas prá poder racionalizar o uso.

> Só que isto também é um papo teórico (não teu tá)

Muita teoria :(

> 
> O problema principal da Internet hoje é:
> 
> falta de filtros reverse-path na saída das redes, ou seja
> cada um está preocupado com "não receber trafego errado" mas
> ninguém se preocupa com a saída de bagunça. Somente este fato
> reduz o trafego do link de cada um por 10
> - - 20 % -

Boa colocação. Só se preocupam com a saída quando o link de saída está no
topo e daí descobrem que tinham um vírus ali, um kazaa "esquecido aberto"
ali, um Windows update rodando em 1000 maquinas, um Norton Piratão fazendo
update a cada 5min...

> firewall efetivo na ponta da rede que possa reduzir também
> uns 10-30% de trafego
> erros no dns e dns reverso podendo causar  muito overhead na sua rede

Concordo

> 
> erro comum de acreditar de que o ICMP é necessário, bloquear
> o ICMP pode ganhar bastante banda pelo fato de excluir assim
> inumeras possiveis causas de problemas
> 

Aqui eu barro icmp de entrada, mas permito 0, 3 e 11, me permitindo ping pra
fora e tracert.
Me conte mais, você teve experiencias positivas barrando icmp? 

> vendo então um ganho de em até 40% com medidas aceitáveis,
> das citadas aqui, o ganho daquele documento é insignificativo

Alem de insignificativo é "meio" complicado de se aplicar na prática.


> técnica e matematicamente falando não existe nenhuma
> diferença entre 256kbit/s e 256kbit/s ...
> 
> caso uma tecnologia não consegue atingir a velocidade
> contratada você teria base para discutir isto com o fornecedor

Ela consegue atingir essa velocidade, mas o que digo eh: (segue depois do
seu comment)

> 
>> Então, na nossa TEORIA os 256k REAIS do ppp são conseguidos atraves
>> de formulazinhas mágicas.
> 
> ahtá ... como que é? uma poção de beteraba e uma pontinha de
> mel no fogo por duas horas?

Os 256k que a nossa operadora impoe no fracionador, não leva em conta que o
ppp está levando mais informacoes e que estas informacoes não irão permitir
que eu consiga da minha porta wan até a porta wan da operadora os 256k

Não precisamos ir tão longe assim:

Crie uma conexao pptp da sua casa pro trabalho com uma adsl 512k.
Crie outra conexao ppptp com opcao de encriptacao .

Nada na especificacao do  pptp impede de conseguir 512k  mas nossa
encriptacao não vai permitir os 512k, já que o uso do link com a encriptacao
vai aumentar.

Então, o que disse é que na equacao matemática que define  o ppp, temos
informacoes de controle e outras que aumentam o uso do link. Aplicadas na
prática vemos que o overhead do ppp (ou de qq outro protocolo) não permitirá
os 512k reais :)

Já experimentou utilizar o mesmo link com a mesma operadora usando ppp ou
hdlc? Tive esta experiencia com a Intelig, não sei porque colocaram um link
PPP e as velocidades estavam normais. Com o aumento da faixa de ips que
solicitei, trocaram meu link pra hdlc. As velocidades de download ficaram um
pouco mais rápidas, chegando mais perto dos 512.

> olha, para o meu entender este termo descreve por exemplo
> usar temporariamente uma emenda de arrame para uma fixação de
> aço - mas não usar tecnologia para a tarefa para qual ela foi
> desenvolvida 

Mas como muitas operadoras adoram usar emendas de arame, temos que dar
nossos "jeitinhos". Virou moda no Brasil usar "medidas técnicas
alternativas".. :(
Haja visto "provedor de conteudo" em ADSL, páginas e mais páginas de
autenticacao... Uffa. 
PPPoA de repente muda **sem avisar** pra PPPoE, enfim, uma zorra... hhehehe


> 
> é ... mas fbsd roda em máquinas além de pc tb
> 

OK ok, realmente tem arquiteturas que o "impossível" prá pc é a coisa mais
normal.. :)


_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd