Datenreduzierung am Aux-Exit

[Tobias Klaus]

Hallo Michael,


Am Dienstag, 12. Januar 2016, 15:48:20 schrieb Michael Fritscher:
> Moin,
> 
> so ein externer Proxy macht noch viel mehr Ärger! Schon alleine, weil
> jetzt Anfragen auf externe Server von verschiedenen IPs kommen. Port 80
> kommt jetzt von der IP des Proxies, der Rest weiterhin von der IP des
> Servers.
> 
> Das gibt bei vielen Diensten Ärger, die z.B. erstmal auf Port 80 laufen,
> dann aber auf Port 443 umschwenken (z.B. zwecks Authentifizierung).
> Probleme gibts auch bei allen Anwendungen, die über eine Anfrage auf Port
> 80 versuchen die externe IP herauszufinden. Dies machen z.B. viele VoIP
> Lösungen, die diese Info benötigen um NAT-Transversal zu machen (was sie
> bei uns ja offensichtlich benötigen). Zu dieser Klasse gehört z.B. Skype.
> 
> So einige IDS dürften auch reagieren, wenn Anfragen vom gleichen Client
> von verschiedenen IPs kommen, zumal wenn der Proxy für viele verschiedenen
> Servern verwendet wird.
> 
> Ich bin der Lösung sehr skeptisch aufgestellt - und eigentlich waren wir
> was ich so mitbekommen habe mehrheitlich der Meinung von solchen Lösungen
> Abstand zu halten.
Zumindest hat die Mehrheit die sich zu Wort gemeldet hat sachlich in diese 
Richtung argumentiert. Aber Wortmeldungen und Mehrheiten sind auf 
Mailinglisten ja immer so eine Sache :-)

Danke für deine weiteren Ausführungen bezüglich _externem_ Proxy, soweit habe 
ich noch gar nicht gedacht. Gerade mit Bezug auf die Zahlen aus deiner anderen 
Mail überwiegen hier für mich die Nachteile deutlich.


> Zumal das einen noch viel schwerwiegenderen Eingriff
> darstellt als ein lokaler Cache oder Portfilterlösungen (wer sagt z.B.,
> dass der Proxy nicht filtert?)
> 
> Global den Traffic zu drosseln finde ich aber eine sinnvolle Lösung.
Ich denke letztendlich ist es genau das und das von dir (auch wieder in der 
anderen Mail) getätigte "Es hilft nur mehr Bandbreite".

Wir haben halt nur begrenzte Ressourcen. Bei einem Anonymisierungstunnel 
begrenzt uns dessen Geschwindigkeit und bei einem Gbit-Interface das Volumen, 
das wir uns leisten können, oder das wir gestellt bekommen. Dann müssen wir 
halt insgesamt schauen, dass wir da nicht drüber kommen. Das ist ja jetzt auch 
geschehen. Für die Nutzer zu überlegen, was wichtig und was weniger wichtig 
ist finde ich immer problematisch und es helfen bei Ressourcenknappheit auf 
lange Sicht eben nur mehr Ressourcen.

Apropos: Mein Stand für die Akquise neuer Server/mehr Bandbreite ist:

Für die RIPE-Einträge könnten wir weiter den Förderverein bitten 
einzuspringen.

Das Abuse-Handling machen wir selber.

Spendenquittungen könnten wir über die ISKA ausstellen lassen.


Bis auf Punkt 2 (Abusehandling) bin ich mir über den aktuellen Stand nicht 
sicher und bitte mich zu korrigieren falls das nicht stimmt.
Ich denke diese Fakten sind ganz hilfreich um an neue Spender heran treten zu 
können.


Grüße
Tobias

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20160112/fb25c1e2/attachment-0002.sig>