чтобы впн не ходил без ипсека приходится дропать его в аутпуте если ипсек не поднятся

если микрот ломанут и захотят им посрамить, то по идее правила блокирующие такую деятельность должны ему помешать это сделать. если чтото не понимаю поправьте

ну это при условии что червь или хацкер не будут отключать определенные правила)

Если микротик ломанут, то какая хер разница, что там в фаерволе?

Фаервол тоже их станет

?

Если микротик ломанут, то какая хер разница, что там в фаерволе?

ломают по разному, и если такую блокировку сделать то часть спама удастся избежать

или прям 100% все отключают правила?

нааафиг, только впн и ссх по ключам

в аутпут разрешаем только днс и нтп, остальное в блок

доступ на микрот только из локалки опять же

ну так из локалки и ломанут))

а, ну у меня в локалке только я и жена

просто если они не отключат правила, то по сути не смогут навредить нам или другим нашим взломанным микротом, конечно если разговор про output

а, ну у меня в локалке только я и жена

ну и еще такая мелочь как Интернет)

интернет не в локалке же

интернет не в локалке же

ну микрот из локалки физически доступен же?)

да

поднимите руки те кто блокирует неразрешенный трафик output на тиках? ?

вопрос правелнее бы звучал так - кто в нормально-закрытом сетевом экране блокирует пакеты прошедшие свою цепочку(in/fw/out) и не нашедшие ни одного совпадения?(вопрос с подвохом, потому что принцип нормально-закрытого сетевого экрана запрещено всё(всё - это включая in/fw/out)) и нормально-закрытый сетевой экран не возможен без этих правил блокировки(ну понятно что НЕнормально-закрытый возможен .)))))) )

да

ну вот, ломаем микрот, дальше спамим и ломаем все устройства)

вопрос правелнее бы звучал так - кто в нормально-закрытом сетевом экране блокирует пакеты прошедшие свою цепочку(in/fw/out) и не нашедшие ни одного совпадения?(вопрос с подвохом, потому что принцип нормально-закрытого сетевого экрана запрещено всё(всё - это включая in/fw/out)) и нормально-закрытый сетевой экран не возможен без этих правил блокировки(ну понятно что НЕнормально-закрытый возможен .)))))) )

вопрос без подвоха, много ли есть мануалов по блокировке output трафика?

и блокируется ли он и вообще управляется ли он в стандартной конфигурации

и ответ нет)

вопрос без подвоха, много ли есть мануалов по блокировке output трафика?

спроси в ркн они там собаку съели

спроси в ркн они там собаку съели

ну мы о серьезных вещах :(

они даже лупбек себе заблокировали куда иж серьезнее

лан, я просто хотел привлечь внимание к проблеме, конечно мало кто с этим замораяивается, по чем зря

Надо ж какой-то баланс удобства/затраты ресурсов/безапасности найти

мжоно тратить 100500 времени, чтобы сделать мегабезопасно, но ради чего?

для того чтобы вызывать улыбку у товарищей кто знает про уязвимости пакетного фильтра ?

Объявление. На мум найдено регистрационное на автомобиль на имя Шереметьева Алексея. Если кто его знает сообщите. Забрать можно на стойке микротик

вопрос без подвоха, много ли есть мануалов по блокировке output трафика?

а голова тебе на что ?! тебе же сказали - нормально-закрытый это запрещено всё что не разрешено, отсюда вопрос - что разрешать. Ответ очевиден включить лог правила deny any цепочки output . Там нужно глазами (да да своими глазами и автор или ктонить ещё не решит за тебя что можно,что нельзя.) смоотреть что куда пытается и нужно ли тебе это . Все. Кстати так по всем цепочкам. Может ввиду такой простоты нет мануала ?

вопрос без подвоха, много ли есть мануалов по блокировке output трафика?

мануал один на всё - Ip firewall filter. Микротик по умолчанию работает в режиме accept, то есть всё разрешено.

если требуется закрыть исходящий трафик, то просто добавляешь правила и правило deny any для цепочки output. Всё, как всегда, определяют задачи.

а голова тебе на что ?! тебе же сказали - нормально-закрытый это запрещено всё что не разрешено, отсюда вопрос - что разрешать. Ответ очевиден включить лог правила deny any цепочки output . Там нужно глазами (да да своими глазами и автор или ктонить ещё не решит за тебя что можно,что нельзя.) смоотреть что куда пытается и нужно ли тебе это . Все. Кстати так по всем цепочкам. Может ввиду такой простоты нет мануала ?

неадекват? я сказал только то что никто из вас его не закрывает

мануал один на всё - Ip firewall filter. Микротик по умолчанию работает в режиме accept, то есть всё разрешено.

и микротик работает в режиме разршено только то что запрошено изнутри, что не запрошено дропается, но аутпут вообще никак не учитывается

лан, я просто хотел привлечь внимание к проблеме, конечно мало кто с этим замораяивается, по чем зря

на самом деле ты привлекаешь внимание перегрузкой сетевого экрана правилами.

неадекват? я сказал только то что никто из вас его не закрывает

ну как не закрывает посмотри мои скрины там есть три правила . значит уже не никто!

Всем чмаге в этом чатеге

Вы откуда?

Вы откуда?

с мума, похоже )

ERROR: S client not available

Добрый день.

Мы с мума

Похоже Тимофей зарекламил канал

Mum moscow

Дада, реклама.

?

Похоже Тимофей зарекламил канал

Бегите, глупцы

Ну вот, как только закремалили, так сразу народ набежал...

Да

?

?

Похоже Тимофей зарекламил канал

Именно)))

Хах

на самом деле ты привлекаешь внимание перегрузкой сетевого экрана правилами.

безопасность всегда окупается сполна, какой пепегрузкой? что за бред? откакой перегрузке речь? примеры, пруфы?

Ну давай меряться адрес-листами.)

!!! вновьприбывший пипл, убедительная просьба прооекламировать нас своим друзьям !!! больше народа - больше знаний :)

Даёшь больше флуда!