Вероятно защото така не могат да следят колко компютъра има зад рутера и дали не споделяте достъпа. А може да възникнат проблеми, ако рутерът е свързан допълнително към някаква друга мрежа (към друг кабел, dialup, ISDN и т.н.) или ако не е конфигуриран правилно.
Аз вeче описах един случай, в който се създава проблем на цялата мрежа и на всички потребители от нещо на пръв поглед безобидно - dialup връзка oт същия рутер, който се изпозлва и за връзка към нас (реално IP, през което влиза спам, заради който се блокира пощата на всички). Имали сме и други проблеми. Например един клиент беше използвал за връзка към нашата мрежа някакъв ISDN рутер, който преди това е бил програмиран за dial-on-demand към някакъв друг доставчик. Акаунтът му към другия доставчик е свършил, но никой не е препрограмирал рутера. Предишния доставчик няма повече ангажименти и не се интересува, ние не знаем за случая, а клиентът и представа си няма какво е това рутер и какво е това ISDN. На него са му дали една черна кутия и са му казали, че тя стои между него и доставчика че трябва да си включи всички компютри в нея. В нашия случай я е използвал просто за суич. В резултат на това, ISDN-рутерът е правил телефонна връзка (един импулс) за всеки broadcast пакет, получен по кабела. За един месец му се беше навъртяла 4-цифрена сума. И се започна една разправия кой е виновен и кой трябва да я плати.
Друга издънка: корпоративен клиент има Linux рутер, пуснат да прави NAT. Обаче не се прави проверка на IP адресите, а се NAT-ва всичко, което излиза през изходния интерфейс. Звучи логично и достатъчно, но не е. Ако някой си сложи твоя външен адрес като gateway и ти нямаш филтър, по този начин ти ще му NAT-неш неговото външно IP с твоето и той ще мине през твоя канал (трафик), а не през своя. Нещо повече - ще мине дори през твоя MAC-адрес.
От тогава аз съм заковал на стената една заповед - към нашата мрежа се включва само и единствено мрежовата карта на компютъра, за чиито достъп се плаща. Всички останали случаи трябва ПЪРВО да се съгласуват със ситемните ни адмнистратори. Никакви суичове, никакви рутери. Всяко друго устройство, което има RJ45 дупка, но не е компютърът на абоната, първо се преглежда и се взема становище може ли ли не може. За съжаление твърде много "специалисти" има, които разбират достатъчно за да пуснат рутер/firewall/прокси, но не достатъчно, за да го подсигурят срещу всякакви възможни проблеми. Затова най-добре се обръщайте за такива неща първо към доставчика си.
Митко
|