nimbo78 (E14/MSK/NN)
18.06.2017
21:19:07
У меня такой херни нет кароч))
Bkmz
18.06.2017
21:33:27
всю башку уже сломал..
Ivan
18.06.2017
21:36:31
Телефон при обнаружении сети цепляется к 5Ghz и через пару секунд падает в 2.4
Google
Ivan
18.06.2017
21:37:06
А если контроллер в L2 вместе с токой - то всё взлетает)
18.06.2017
22:35:40
Где это 5жи
Zek
18.06.2017
23:22:21
хм
чет я не пойму, че за хрень происходит. вайфай линк, запускаю btest - скорость 20 мбит
запускаю speedtest.org или торенты - 2 мбита
или меньше
nimbo78 (E14/MSK/NN)
18.06.2017
23:26:52
У меня asus pce-ac88 не одуплялась пока по питанию не бутнул, цеплялась только в 2.4; сбросил питание нормально и сразу в ац подключилась
Семен
19.06.2017
03:37:07
Господа, это показывает 109 Мбит или 10,9 Мбит?
Bsod
19.06.2017
03:37:34
10.9
Семен
19.06.2017
03:38:20
Значит у меня интернет тормозит, не могу понять с чего так у меня
И вот так до сих пор делает
Bsod
19.06.2017
03:41:00
цпу не загружен?
Google
Recruit
19.06.2017
04:05:39
График смотрели? Так же всё? Может касяк в опросе тика
Ivan
19.06.2017
04:18:29
Семен
19.06.2017
05:06:44
Что делать?
Bsod
19.06.2017
05:07:05
вангую что днс :D
Семен
19.06.2017
05:08:25
Ванга ?
Что делать?
Bsod
19.06.2017
05:09:30
добавляй в фаерволле правило дропать пакеты на 53 порт удп с интернет интерфейса
https://mikrotiknetworking.wordpress.com/2016/03/18/dns-amplification-attack/ вот рассказ про это, но еще раз обращаю внимание: не забывай указать in-interface, если юзаешь днс микротика
Семен
19.06.2017
05:21:33
Bsod
19.06.2017
05:21:50
Это ты делал ддос атаку на кого-то. не надо больше так
:)
открытый в мир сервис - всегда потенциальный источник ада
Семен
19.06.2017
05:23:45
А как узнать с какого компа у меня сеть атакует?
Bsod
19.06.2017
05:24:09
смотри откуда трафик летит и все
Семен
19.06.2017
05:25:28
Ок
Bsod
19.06.2017
05:27:48
можно и в торч
но смысла смотреть кто там на 53 порт долбился как правило мало, потому как запросы шлют с кучи адресов ибо ботнет
Google
Mihail
19.06.2017
05:30:07
ну так если кеширующий разрешить только слать с адресов провайдера , тоесть разрешить ответы только dns провайдера
Bsod
19.06.2017
05:31:09
Евгений
19.06.2017
05:39:22
Я как-то на оффоруме Тиков поднимал вопрос -- по умолчанию не принимать запросы к DNS-серверу снаружи... они ответили, что нет смысла, ибо умолчальная настройка фаера от этого закрыта (вообще, заодно и DNS). Трабла в том, что народ потом лезет руками фаервол строить под себя, и в итоге 80% оставляют эту дыру, ибо в офисе DNS тоже нужен, а правило забывают... когда 99% ловят DNS Amplification -- жалуются на CPU в полку...
Добавили бы уж дефолтом в RAW это правило (туда многие не полезут ковырять) или лучше галкой в самом DNS-сервисе.
Bsod
19.06.2017
05:44:15
Зачем предлагаешь решать проблему, которую пользователи сами себе создают?
это не правильный подход
Евгений
19.06.2017
05:50:11
Статистика. Хомячки не лезут и не страдают -- но они, как правило, и не покупают Тик осознанно. А если полезли учиться, исследовать -- постоянно попадают на грабли, но оно сразу так явно НЕ ВИДНО -- и начинается (несправедливый) гон на всю марку, типа загружен в полку, не тянет... вот накой, если можно лёгким движением в дефолте ЯВНО добавить это правило?
Ilya
19.06.2017
05:50:54
Закрыть явно днс?
Ты статистически от всех атак не закроешься. Тогда сразу надо и f2b и прочие portknoking
Ivan
19.06.2017
05:51:51
Ilya
19.06.2017
05:52:06
и ридми на 300 кб к конфигу в 30кб.
Bsod
19.06.2017
05:52:11
Евгений
19.06.2017
05:52:17
Пользователи не создают это себе. Они вообще о существовании такой атаки узнают сильно позже. IMHO они и не обязаны ЗАРАНЕЕ знать все возможные типы атак -- тем более если другие марки роутеров от такой фигни не страдают массово.
Mihail
19.06.2017
05:52:30
надо сервисов не вешать жопой на внешку лишних
Bsod
19.06.2017
05:52:41
Ilya
19.06.2017
05:52:41
Не страдают, потому что тот же набор правил в дефолте.
Mihail
19.06.2017
05:52:44
Евгений
19.06.2017
05:53:18
Я ещё и SIP-сканы в этом же правиле закрываю, через запятую -- ибо нашли, задалбывают.
А вообще можно DNS и в IP -- Services отдельной строчкой вывести, с разрешёнными адресами/подсетями. Чем оно хуже ssh или telnet?
Ivan
19.06.2017
05:54:52
Mihail
19.06.2017
05:55:17
Google
Ilya
19.06.2017
05:56:49
Ivan
19.06.2017
05:57:59
Воу воу
Ilya
19.06.2017
05:58:04
И из пакета уже как полноценный сервер с сервисами и прочим. :) ;).
Ivan
19.06.2017
05:58:08
Что это вы тут с утра начали за безопасность?
Ilya
19.06.2017
05:58:19
У меня уже обед.
Ivan
19.06.2017
05:58:26
Когда дойдёте до ICMP - дайте знать.
Ilya
19.06.2017
05:58:52
Отдельную прошивку для работы с icmp? :).
Ivan
19.06.2017
05:59:46
Евгений
19.06.2017
06:00:09
надо сервисов не вешать жопой на внешку лишних
Трабла лишь в том, что DNS на внешний порт вешается НЕЯВНО. Админ настроил фаер, всё зашибись. Но в офисе приспичило DNS для своих, статики там -- не поднимать же отдельный сервер из-за мелочи, в роутере же есть! Включаем, свою локалку прописываем, чтоб не вспоминать адреса... а через недельку оно ррраз -- и голой жопой в Инете оказывается, и проц в полку...
Ну блин, чего сусолить -- статистика же, вангует каждый первый в точку ;)
Ivan
19.06.2017
06:01:03
@nimbo78 я так и не победил этот band steering, как ни старался. Разделил на разные SSID от безвыходности и теперь весь чешусь и не могу спать(
Tosha
19.06.2017
06:01:15
Ilya
19.06.2017
06:01:18
Ivan
19.06.2017
06:01:30
Ilya
19.06.2017
06:01:57
Про ицмп конечно шутка, но в целом, днс сервер отдельный с настройками было бы прикольно. Но не факт, что юзабельно.
Евгений
19.06.2017
06:02:27
Его бы как ntp в отдельный пакет.
Вот кстати да. И с доп. функциями. Я бы от нормальных записей полноценных не отказался, и от RPZ -- в духе dnsmasq, tinydns/dnscache. Но Тики не хотят, ибо это -- РОУТЕР жи...
Mihail
19.06.2017
06:02:41
Bsod
19.06.2017
06:02:48
Ilya
19.06.2017
06:02:59
Google
Mihail
19.06.2017
06:03:23
Bsod
19.06.2017
06:03:32
Берите уже эджроутер и ставьте нормальный бинд
Q
19.06.2017
06:03:36
Всем привет, ребята подскажите пожалуйста seo чаты зарубежные
Ivan
19.06.2017
06:04:00
Ilya
19.06.2017
06:04:13
Bsod
19.06.2017
06:04:31
Ну а чего они плачутся? Пусть ждут рос7 и там все будет
Евгений
19.06.2017
06:05:54
ROS7 тож конфирмед... дата выхода не конфирмед :(
Ivan
19.06.2017
06:06:16
пруфы
Евгений
19.06.2017
06:06:59
Ну обсуждения наоффоруме, приём пожеланий есть же ;)
Ivan
19.06.2017
06:07:04
или пойдете по статье об оскорблении чувств верующих
Евгений
19.06.2017
06:07:25
Чо, сомневаетесь, что её пилят вообще?
Ivan
19.06.2017
06:08:04
Евгений
19.06.2017
06:08:38
Пока альфу-бету не выкатят...
Ivan
19.06.2017
06:09:01