Много по-прагматично решение съм измислил. Всички isakmp keep-alives
излизат с дължина 29 bytes. Мачвам ги и ги пускам през ТТЛ mangle
target-a на iptables и намалявам драстично keep-alive респонса. За
интегритет ще оставя DPD negotiations. Мисля да тествам, като закача
някакъв ipsec клиент на gprs модем и да виждам с какво ттл пакетите
започват да не пристигат на последния хоп(client device), защото пакет
дъмпинг-а на телефони още не е това, което ми се иска да е :)
На 9/20/2010 6:41 PM, Vasil Kolev написа:
В 17:35 +0300 на 20.09.2010 (пн), Daniel Ivanov написа:
Приемаме, че рутера с НАТ-а е с фиксиран udp hole punch от 120 секунди.
Ако се пращат пакети, които не стигат до клиента( => не хабят батерия),
те дали ще държат дупката отворена?
Много зависи от NAT-а, но ако е на последния hop преди устройството,
най-вероятно не, понеже tcp стека поне под linux мисля, че ги режеше
преди това. Ако има още един hop навътре след NAT-а, вероятно ще свърши
работа.
Разбира се, дължината на пътя се променя динамично, той internet-а не е
особено статичен :)
Пакетът, който може да ти свърши работа е hping2, може да направи в общи
линии всякакъв пакет.
_______________________________________________
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
_______________________________________________
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
