Да разве упомнишь их всех

*из коробки

Длинки не фаерволят, например. Только натят.

Хз.. у домашних вполне зашиты правила, с dfl не сталкивался

Вот именно что у домашних этих правил нет

И можно через нат пробраться внутрь лана

Длинки не фаерволят, например. Только натят.

В качестве примера можно привести старичка cisco pix.. и то, если сильно постараться

Вот именно что у домашних этих правил нет

Мммм... Прикольно ?

Хз.. у домашних вполне зашиты правила, с dfl не сталкивался

не знаю как в домашних, в dfl там как и в микроте пусто. одни только возможности

Добрый вечер, а как получить DDMI с сфп?

Может быть есть более современная железка, чем RB260GS . Нужно 4-5 Eth и 1 -2 оптики

Может быть есть более современная железка, чем RB260GS . Нужно 4-5 Eth и 1 -2 оптики

Неудобная штука

Чтоб её донастроить, придётся быть в одной сети

Удалённо не получится

Про нат - не файрвол. Тут статью с хабра постили с вектором атаки. Так вот если злоумышленник контролирует маршрутизатор провайдера - уже как бы ничего не спасёт.

Чтоб её донастроить, придётся быть в одной сети

я ищу альтернативу

Так что домашняя мыльница, которая только натит - оно вполне ок.

Так что домашняя мыльница, которая только натит - оно вполне ок.

бывает оператор отдает статик ip с 24й маской

у меня есть даже пример 23й маски

И?

А, в смысле один l2 сегмент если

ну насколько я понимаю находясь в одном сегменте с роутером который натит, можно получить доступ к локальной сетке

Далеко не факт, что там один l2

я запарился уже свой скрин 23й подсетки показывать )

Да я сам отдаю /23

Но это только кажется, потому что все по своим l2

syn flood может приходить по forward?

Может. И сильно грузит.

Может. И сильно грузит.

ну так и думал, просто везде input)

Если у вас за форвардом реальные ip - то может.

Но это только кажется, потому что все по своим l2

http://prntscr.com/knhwwp

это то что у меня на ван порту

это то что у меня на ван порту

Ну вы вот злодей. Подписали маршрут. Окей. На той-то стороне до вас нет маршрута. То есть, контролировать оборудование провайдера вам все равно нужно

Или тут та самая гипотетическая циска из хабра?

Ну то есть опасность есть, но преувеличена сильно

В 6.33 бэкдор проверить?

Удивили. У меня у билайна такое есть. Количество меньше, но есть.)

Где можно про уязвимости микротике почитать?

Где можно про уязвимости микротике почитать?

У гоголя спросить

вообще в целом чтобы все сработало - у провайдера должна быть циско с настроенной source based маршрутизацией как минимум, и должен быть один l2 сегмент. А еще там что-то про фрибсд говорили, перл, и воображение.... короче, сценарий маловероятный

да и использование так себе. О боже, враг попал на порт 3389 и увидел там rdp - и что он сделает?

Где можно про уязвимости микротике почитать?

рискую показаться невежливым, но https://yandex.ru/search/?text=mikrotik%20vulnerabilities&&lr=50 а потом можно внизу там ткнуть "искать в гугль"

ip-firewall-connections

воткнуть Torch в ether1 и посмотреть что там летает

воткнуть Torch в ether1 и посмотреть что там летает

А у меня не воткнут на скриншоте?

о догрузился

А у меня не воткнут на скриншоте?

ну вот торчем вы мало что увидите, а в коннектах файрвола увидите побольше, наверное

мультикаст летает

ну чот мультик не сильно видно кстати. Но вероятно да, он

надо захватывать пакеты, торч он так для общего развития .

сниффером микрота или сниффером ПК

ну если режете чот из того, что летит, то да, не увидите. Извините, я был не внимателен. Совет со сниффером вполне хорош.

объём большой , просто ключить микротика сниффер , посчитать до трёх , выключить , хватит для анализв с головой ... должно хватить .)

да и использование так себе. О боже, враг попал на порт 3389 и увидел там rdp - и что он сделает?

например попасть на 80й порт любого длинк телефона и вытащить логин/пароль от телефонии. а потом ночью назвонить на все деньги во вьетнам

объём большой , просто ключить микротика сниффер , посчитать до трёх , выключить , хватит для анализв с головой ... должно хватить .)

сделал, а что бы проанализировать созданный файл wireshark нужен?

например попасть на 80й порт любого длинк телефона и вытащить логин/пароль от телефонии. а потом ночью назвонить на все деньги во вьетнам

Так как к злодею пакеты от длинка пойдут?

Так как к злодею пакеты от длинка пойдут?

так сетка 23я на роутере прописана

так сетка 23я на роутере прописана

а блин, все время забываю про один l2, непривычно. Но маловероятно

и для владельца телефона, в общем, не опасно вообще

а вот для злодея как раз опасно

было время до https школота по макдакам, ради развлечения извлекала логины/пароли и меняли главные фотографии жертв, ну и ржали над результатом, налюдая его в реалтайме

я к тому что школьники ради развлечения этим занимались

ERROR: S client not available

э.э.э.э! так а маршрутизация правилами запрещена должна быть в сетевом экране из WAN в LAN , а если у тебя прямая маршрутизация и везде белые адреса то это всё равно что расположить узлы в инете , на каждом узле должен быть настроен сетевой экран. и причём тут безопасность NAT? и да , если у тебя везде белые адреса то о каком NAT идёт реч ? накой кекс он нужен ?

э.э.э.э! так а маршрутизация правилами запрещена должна быть в сетевом экране из WAN в LAN , а если у тебя прямая маршрутизация и везде белые адреса то это всё равно что расположить узлы в инете , на каждом узле должен быть настроен сетевой экран. и причём тут безопасность NAT? и да , если у тебя везде белые адреса то о каком NAT идёт реч ? накой кекс он нужен ?

Если запретить маршрутизацию из wan в Lan, то ничего работать не будет)

ну наверно я просто не читал, и мы говорим оразных вещах, у меня как минимум домашняя сеть и там запрещена маршрутизация из WAN

ну наверно я просто не читал, и мы говорим оразных вещах, у меня как минимум домашняя сеть и там запрещена маршрутизация из WAN

а как к вашим устройствам пакеты ходят из wan? )

ну наверно я просто не читал, и мы говорим оразных вещах, у меня как минимум домашняя сеть и там запрещена маршрутизация из WAN

ты наверное имеешь ввиду цепочку инпут, а тут речь про форвард

из wan никак, из LAN в WAN иницированы, потом возвращаются , нельзя из WAN установить соединение, даже если указать мой М. в качестве маршрутизатора .

из wan никак, из LAN в WAN иницированы, потом возвращаются , нельзя из WAN установить соединение, даже если указать мой М. в качестве маршрутизатора .

если у вас явно форвард запрещен - то это так. Но маршрутизация все равно разрешена.

из wan никак, из LAN в WAN иницированы, потом возвращаются , нельзя из WAN установить соединение, даже если указать мой М. в качестве маршрутизатора .

это в фаерволе такое ограничение?

вы просто путаете маршрутизацию и файрвол. Маршрутизация говорит, как пакеты могут пойти. файрвол на пути строит препятствия.

маршрутизация - это карта. Файрвол - это стены на местности.

вы просто путаете маршрутизацию и файрвол. Маршрутизация говорит, как пакеты могут пойти. файрвол на пути строит препятствия.

фаерволл как ркн?

вы просто путаете маршрутизацию и файрвол. Маршрутизация говорит, как пакеты могут пойти. файрвол на пути строит препятствия.

нет, он как и я до не давнего времени путает инпут и форвард

а не маршрутизацию и фаервол

фаерволл как ркн?

ркн - это такой государственный институт, я не понимаю, причем он тут

а не маршрутизацию и фаервол

я знаю один способ, как добиться того, чтобы внутренняя сеть получала интернет, и не имела маршрутизации до него и из него - это прокси. Тут явно не так

маршрутизация - это карта. Файрвол - это стены на местности.

мангл тогда указатели

ну типа да. но это аналогии, они лишь примерно передают суть )

да я понимаю

а я знаю ещё один способ маскарад с двух сторон , узлы без шлюза.

я знаю один способ, как добиться того, чтобы внутренняя сеть получала интернет, и не имела маршрутизации до него и из него - это прокси. Тут явно не так

речь ведь не про добывание интернета, а доступности локалки снаружи ван порта

а я знаю ещё один способ маскарад с двух сторон , узлы без шлюза.

неа.

да, не будет работать .)

ркн - это такой государственный институт, я не понимаю, причем он тут

тоже строит препятсвия

речь ведь не про добывание интернета, а доступности локалки снаружи ван порта

да хоть про что речь - маршрутизация не имеет никакого отношения к цепочке форвард

ркн не строит препятствия

ркн говорит провайдеру, куда не пускать. Препятствия строит провайдер )

да хоть про что речь - маршрутизация не имеет никакого отношения к цепочке форвард

так он про маршрутизацию ничего и не писал. он писал про доступность ван из лан и наоборот

так он про маршрутизацию ничего и не писал. он писал про доступность ван из лан и наоборот

у меня как минимум домашняя сеть и там запрещена маршрутизация из WAN

писал )

у меня как минимум домашняя сеть и там запрещена маршрутизация из WAN

а, ну видимо опечатался. речь явно была про фаервол

да, не имеет . суть маршрутизатора получать пакеты с MAC своего интерфейса и IP не своего интерфейса и передавать его дальше на осноте Т.маршрутизации . это маршрутизация . но безконтрольную маршрутизацию представить себе сложно .

да, не имеет . суть маршрутизатора получать пакеты с MAC своего интерфейса и IP не своего интерфейса и передавать его дальше на осноте Т.маршрутизации . это маршрутизация . но безконтрольную маршрутизацию представить себе сложно .

оп. кажется я вас зря защищал )