@MikrotikRu

Страница 1192 из 3964
 
Anton
07.06.2017
12:45:28
ты же говорил что под дроп по инупуту часть испмп подпадает. значит что то же тебе шлют. И шлют не потому что ЗАХОТЕЛОСЬ. у железяк вообще нет такого критерия - захотелось. раз послали значит что то произошло.
Да, например такая хуета, как timestamp request. Который не нужен в современных сетях вообще.

 
Evgeny
07.06.2017
12:47:50
Да, например такая хуета, как timestamp request. Который не нужен в современных сетях вообще.
дак он вроде и не ходит в современных сетях вообще.

 
Anton
07.06.2017
12:48:17
Ходит. Например, при некоторых типах сканирования nmap. Но для нормального функционирования сети ICMP type 13, 14 не нужны.

 
Evgeny
07.06.2017
12:48:20
Хотя я хуй знает что для тебя современные

Google
 
Evgeny
07.06.2017
12:49:15
Ходит. Например, при некоторых типах сканирования nmap. Но для нормального функционирования сети ICMP type 13, 14 не нужны.
сканирование = синтетическое генерирование, это для тебя ходит?

 
Ходит. Например, при некоторых типах сканирования nmap. Но для нормального функционирования сети ICMP type 13, 14 не нужны.
от того эти типы и depricated, разве нет?

 
Anton
07.06.2017
12:50:06
А я это отрицал?

 
Evgeny
07.06.2017
12:51:07
Да, например такая хуета, как timestamp request. Который не нужен в современных сетях вообще.
Дак они ПОДПАДАЮТ ПОД ИНПУТ потому что ходят, НЕ ХОДЯТ потому что НАХУЙ НЕ НУЖНЫ, ХОДЯТ потому что ИХ КТО-ТО ГЕНЕРИТ, или они УСТАРЕВШИЕ И ИХ НЕТ?

 
Sergey
07.06.2017
12:51:47
так в эксельку ркн добавляет сайты?

 
Anton
07.06.2017
12:52:07
Дак они ПОДПАДАЮТ ПОД ИНПУТ потому что ходят, НЕ ХОДЯТ потому что НАХУЙ НЕ НУЖНЫ, ХОДЯТ потому что ИХ КТО-ТО ГЕНЕРИТ, или они УСТАРЕВШИЕ И ИХ НЕТ?
Они нахуй не нужны для функционирования сети. Их генерируют кульхацкеры, из-за чего они и попадают в правила блокировки.

 
Evgeny
07.06.2017
12:52:10
так в эксельку ркн добавляет сайты?
ахахах

 
Anton
07.06.2017
12:52:48
Я изначально говорил лишь одно - в общем случае нет нужны специально разрешать ICMP. Все необходимые сообщения пролезут через RELATED.

 
Evgeny
07.06.2017
12:52:55
Они нахуй не нужны для функционирования сети. Их генерируют кульхацкеры, из-за чего они и попадают в правила блокировки.
и какой же вектор атаки это пораждает. Это было раз. и второе "При чём тут "АТАКИ"?" (с) Anton

 
Ivan
07.06.2017
12:53:26
А еще говорят, что я любитель пофлудить)

 
Sergey [BHE3AnHO]
07.06.2017
12:53:30
Атака деприкейтед протоколами

 
Evgeny
07.06.2017
12:53:35
А еще говорят, что я любитель пофлудить)
я лично ценитель

 
Anton
07.06.2017
12:53:44
Я изначально говорил лишь одно - в общем случае нет нужны специально разрешать ICMP. Все необходимые сообщения пролезут через RELATED.
Если это не попадает в RELATED - значит, данный пакет не является ответным на какое-либо соединение, инициированное мной. Следовательно, такой пакет должен быть отброшен.

Google
 
Sergey [BHE3AnHO]
07.06.2017
12:54:50
дропают все подряд, а потом возмущаются, что сообщения от МЧС не доходят

 
Bsod
07.06.2017
12:55:24
и какой же вектор атаки это пораждает. Это было раз. и второе "При чём тут "АТАКИ"?" (с) Anton
а я ведь говорил про ицмп хацкеров

 
!

 
Anton
07.06.2017
12:55:35
Точно так же должны быть отброшены в общем случае пакеты с адресом источника, например, 10.0/8, которые приходят на интерфейс, который смотрит в инет.

 
Evgeny
07.06.2017
12:58:17
Точно так же должны быть отброшены в общем случае пакеты с адресом источника, например, 10.0/8, которые приходят на интерфейс, который смотрит в инет.
и они будут отброшены в дефолтном же конфиге. Где подвох?

 
Anton
07.06.2017
12:58:34
Я где-то утверждал, что не будут?

 
Evgeny
07.06.2017
12:58:58
погоди, я гифку смотрю

 
как досмотрю до конца продолжу

 
Anton
07.06.2017
13:00:04
Точно так же должны быть отброшены в общем случае пакеты с адресом источника, например, 10.0/8, которые приходят на интерфейс, который смотрит в инет.
Но такие марсианские пакеты лучше вообще ещё в raw дропать, дабы не напрягать conntrack лишней работой.

 
Bsod
07.06.2017
13:01:24
вас еще не заебало?

 
Sergiy
07.06.2017
13:01:35
уже да

 
Bsod
07.06.2017
13:02:17
ой спасибо ))))))

 
Evgeny
07.06.2017
13:02:21
я гифку смотрю. Занят пока

 
ой спасибо ))))))
присоединяюсь! =)

 
Anton
07.06.2017
13:05:07
https://pastebin.com/HMQr75qy Вот кусок моего конфига, например.

 
Vasiliy
07.06.2017
13:06:53
не знаю, пообщался с гуглом и в большинстве случаев рекомендация по acceptу icmp 8,11,3,4 делать по отдельности. другое дело, порядок правил. но все же

 
Ivan
07.06.2017
13:07:00
Азазаза

 
Anton
07.06.2017
13:07:29
А по существу?

 
Bsod
07.06.2017
13:07:56
чем тебе серые сети не угодили?

 
Sergiy
07.06.2017
13:08:15
Блин, это уже черезчур

Google
 
Sergiy
07.06.2017
13:08:34
завязывайте ?

 
Anton
07.06.2017
13:08:44
чем тебе серые сети не угодили?
Тем, что их не должно быть на том интерфейсе, который смотрит напрямую в инет, где только реальные адреса.

 
Sergiy
07.06.2017
13:09:01
да один хрен

 
Bsod
07.06.2017
13:09:01
add action=drop chain=output src-address-list=bad-net add action=drop chain=output dst-address-list=bad-net

 
Sergiy
07.06.2017
13:09:07
у прова сетка может быть серой

 
Anton
07.06.2017
13:09:19
у прова сетка может быть серой
У моего - нет.

 
Sergiy
07.06.2017
13:09:29
во вторых итак ответ полетит на шлюз прова. а он уже дропнет

 
Anton
07.06.2017
13:09:43
add action=drop chain=output src-address-list=bad-net add action=drop chain=output dst-address-list=bad-net
Ага. Сеть 172.16.0/12 у меня не используется, потому дропнута вообще. А если внимательно посмотреть: 192.168.0/16 - disabled=yes.

 
Bsod
07.06.2017
13:10:25
у тебя там дохера сетей

 
Evgeny
07.06.2017
13:10:57
во вторых итак ответ полетит на шлюз прова. а он уже дропнет
не перегибай

 
Anton
07.06.2017
13:11:14
у тебя там дохера сетей
Да. Все они - из RFC из раздела немаршрутизируемых.

 
Bsod
07.06.2017
13:11:26
угу

 
Bsod
07.06.2017
13:11:27
удачи

 
ты прав, но удачи тебе

 
Anton
07.06.2017
13:11:49
С чем? ?

 
Bsod
07.06.2017
13:11:56
с всем

 
даже если космолет решишь строить

 
Ivan
07.06.2017
13:12:09
Сужаю оценку до этой конкретной железки. Причём она тупо домашний шлюз.
и очень хочет в сесурити но не знает с чего начать...

 
Anton
07.06.2017
13:12:17
с всем
Т.е. по существу конфига сказать нечего?

 
Sergiy
07.06.2017
13:12:24
не перегибай
чего єто? дефолтый шлюз он дефолтный и есть. а если у чела есть 10/8 сеть то итак туда улетит ответ ?

Google
 
Bsod
07.06.2017
13:12:32
Т.е. по существу конфига сказать нечего?
я там гифку приложил. я сказал

 
Anton
07.06.2017
13:12:47
Слив засчитан.

Admin
ERROR: S client not available

 
Evgeny
07.06.2017
13:12:49
чего єто? дефолтый шлюз он дефолтный и есть. а если у чела есть 10/8 сеть то итак туда улетит ответ ?
не я про политоту.

 
Anton, ты красавчик. Я рукоплещу.

 
Заскринь.

 
Ivan
07.06.2017
13:13:21
я там гифку приложил. я сказал
http://cs5.pikabu.ru/images/big_size_comm/2014-12_7/1420039661908.jpg

 
Bsod
07.06.2017
13:13:22
Всех в чате сделал

 
все соснули

 
Sergiy
07.06.2017
13:13:40
не я про политоту.
да я просто не туда написал, сори ?

 
Anton
07.06.2017
13:13:56
все соснули
По существу есть, что сказать?

 
Evgeny
07.06.2017
13:13:57
да я просто не туда написал, сори ?
аа, ну ок =)) ну эт аккуратнее. Не хватало и ЭТОГО тут )))

 
Bsod
07.06.2017
13:14:25
По существу есть, что сказать?
я не хочу спорить с специалистом. я еще уроки на завтра не сделал

 
Anton
07.06.2017
13:14:43
По существу есть, что сказать?

 
Bsod
07.06.2017
13:15:20
По существу: ты крут, зарезал всё что смог и обезопасил всё что возможно.

 
Ivan
07.06.2017
13:15:23
я не хочу спорить с специалистом. я еще уроки на завтра не сделал
это всё из-за доты

 
Vasiliy
07.06.2017
13:15:30
По существу есть, что сказать?
больше правил на bogon сети :)

 
Anton
07.06.2017
13:15:50
больше правил на bogon сети :)
Я и так включил их все.

 
Bsod
07.06.2017
13:15:53
больше правил на bogon сети :)
но при этом резать ицмп чтобы не нагружать микрот

 
Anton
07.06.2017
13:16:14
Не резать ICMP. А разрешать только то, что нужно.

Google
 
Vasiliy
07.06.2017
13:16:31
Я и так включил их все.
прям все ? покажи address lists

 
Bsod
07.06.2017
13:16:33
Не резать ICMP. А разрешать только то, что нужно.
Прости. Это дота так влияет

 
Anton
07.06.2017
13:16:39
Полный конфиг таблицы filter я предоставил. Специально там ничего не режется.

 
прям все ? покажи address lists
По ссылке на pastebin всё есть.

 
Vasiliy
07.06.2017
13:17:05
ок

 
Ivan
07.06.2017
13:17:07
прям все ? покажи address lists
астанавись!

 
Vasiliy
07.06.2017
13:17:17
сорян :)

 
Ivan
07.06.2017
13:17:53
вот что я обо всём этом думаю

 
Evgeny
07.06.2017
13:18:14
Щас тебе насуют за сравнение SNMP и ICMP

 
Bsod
07.06.2017
13:18:22
вот что я обо всём этом думаю
а ты маршрутизируешь не маршрутизируемые сети?

 
Ivan
07.06.2017
13:21:05
а ты маршрутизируешь не маршрутизируемые сети?
я еще и в беспроводную магию умею

 
Щас тебе насуют за сравнение SNMP и ICMP
не насуют. Тут абсолютно верное опредение SNMP

 
Evgeny
07.06.2017
13:21:45
не насуют. Тут абсолютно верное опредение SNMP
и то правда =)

Страница 1192 из 3964