<div>*The whole authentication model above is flawed.  A IP address does not and never has represented a single client.  Le Roi nu.*</div><div><br></div><div>Exactly this, along with the fact that a NAT client/office can be load balanced, passing each new connection out a new gateway (personally I prefer to preserve the selected route for a src and dst address pairing due to the crazy notion above being put into practise by others .. the punkbuster service being a broken example).</div>

<div><br></div>- Andrew<br><br><div class="gmail_quote">On 15 June 2012 13:52, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im"><br>
In message <<a href="mailto:4FDAAD84.8060504@rendrag.net">4FDAAD84.8060504@rendrag.net</a>>, Damien Gardner Jnr writes:<br>
><br>
> On 15/06/2012 12:51 PM, James Sutherland wrote:<br>
> ><br>
> > Hi Ausnog,<br>
> ><br>
> > In the past couple of weeks we have started seeing issues with<br>
> > customers connecting to firewall-authentication-protected servers via<br>
> > Telstra 3G. From any other connection you browse to the gateway, enter<br>
> > username and password, and the firewall temporarily opens the required<br>
> > ports just for the IP you connected from. Recently though, from<br>
> > Telstra 3G connections, it seems that http traffic to the<br>
> > authentication page is sourced from a different IP to FTP, SSH etc<br>
> > traffic so the cached authenticated IP doesn't match the traffic's<br>
> > source IP and is dropped. This has been confirmed with several<br>
> > different firewalls and customers. Has anyone else seen this or could<br>
> > shed some light on it?<br>
><br>
> Isn't that standard behaviour with any ISP with a (forced) proxy?  All<br>
> HTTP requests come from the proxy IP, all other traffic comes from the<br>
> end user's IP?<br>
<br>
</div>And it will become more common with CGNs if they arn't preserving<br>
<client address,outbound address> tuples mappings.<br>
<br>
The whole authentication model above is flawed.  A IP address does<br>
not and never has represented a single client.  Le Roi nu.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: <a href="tel:%2B61%202%209871%204742" value="+61298714742">+61 2 9871 4742</a>                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br>