
<div>*The whole authentication model above is flawed.  A IP address does not and never has represented a single client.  Le Roi nu.*</div><div><br></div><div>Exactly this, along with the fact that a NAT client/office can be load balanced, passing each new connection out a new gateway (personally I prefer to preserve the selected route for a src and dst address pairing due to the crazy notion above being put into practise by others .. the punkbuster service being a broken example).</div>


<div><br></div>- Andrew<br><br><div class="gmail_quote">On 15 June 2012 13:52, Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org" target="_blank">marka@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im"><br>

In message <<a href="mailto:4FDAAD84.8060504@rendrag.net">4FDAAD84.8060504@rendrag.net</a>>, Damien Gardner Jnr writes:<br>

><br>

> On 15/06/2012 12:51 PM, James Sutherland wrote:<br>

> ><br>

> > Hi Ausnog,<br>

> ><br>

> > In the past couple of weeks we have started seeing issues with<br>

> > customers connecting to firewall-authentication-protected servers via<br>

> > Telstra 3G. From any other connection you browse to the gateway, enter<br>

> > username and password, and the firewall temporarily opens the required<br>

> > ports just for the IP you connected from. Recently though, from<br>

> > Telstra 3G connections, it seems that http traffic to the<br>

> > authentication page is sourced from a different IP to FTP, SSH etc<br>

> > traffic so the cached authenticated IP doesn't match the traffic's<br>

> > source IP and is dropped. This has been confirmed with several<br>

> > different firewalls and customers. Has anyone else seen this or could<br>

> > shed some light on it?<br>

><br>

> Isn't that standard behaviour with any ISP with a (forced) proxy?  All<br>

> HTTP requests come from the proxy IP, all other traffic comes from the<br>

> end user's IP?<br>

<br>

</div>And it will become more common with CGNs if they arn't preserving<br>

<client address,outbound address> tuples mappings.<br>

<br>

The whole authentication model above is flawed.  A IP address does<br>

not and never has represented a single client.  Le Roi nu.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Mark Andrews, ISC<br>

1 Seymour St., Dundas Valley, NSW 2117, Australia<br>

PHONE: <a href="tel:%2B61%202%209871%204742" value="+61298714742">+61 2 9871 4742</a>                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>

</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>

</div></div></blockquote></div><br>