@linkmeup_chat
Anton Klochkov06.04.2018
21:54:02
21:54:02
Я правило с логированием сделал на фаере
Дмитрий06.04.2018
21:55:32
21:55:32
Я имею ввиду, коммутатор что-то же должен успеть сказать? Типа, не скучайте, сейчас перезагружусь и буду дальше работать.)))
А потом бах, и вместо конфига флаг )
Anton06.04.2018
21:56:02
21:56:02
да щас все школьники уже позапускали PoC. уже поздно по ип банить
GoogleAnton06.04.2018
21:56:14
21:56:14
U06.04.2018
22:00:59
22:00:59
подстава ещё в том, что 4786 как со стороны src так и dst может использоваться вполне легетимно любым клиентом, перекрывать его на бордерах наглухо будет не совсем корректно
Artyom06.04.2018
22:05:29
22:05:29
подстава ещё в том, что 4786 как со стороны src так и dst может использоваться вполне легетимно любым клиентом, перекрывать его на бордерах наглухо будет не совсем корректно
Со стороны src не будет. Со стороны dst теоретически может, а на практике -- кем?Anton Klochkov06.04.2018
22:05:30
22:05:30
Оставил денай только на дистенейшен
U06.04.2018
22:08:14
22:08:14
Со стороны src не будет. Со стороны dst теоретически может, а на практике -- кем?
почему не будет? Я сейчас ради интереса глянул, у некоторых клиентов по этому порту есть явно легетимный трафик типа клиент:4786-какой-то хост:443это помимо теории что приложения начинают при обращениях в сеть открывать сокеты с 1025го(?) порта и выше по порядку, так что где-то по счёту и 4786 прийдётся
Artyom06.04.2018
22:11:04
22:11:04
почему не будет? Я сейчас ради интереса глянул, у некоторых клиентов по этому порту есть явно легетимный трафик типа клиент:4786-какой-то хост:443
Ephemeral port range начинается с 32768это помимо теории что приложения начинают при обращениях в сеть открывать сокеты с 1025го(?) порта и выше по порядку, так что где-то по счёту и 4786 прийдётся
Это не теория. WinXP так и делал. Но его уже нет (а там, где есть, там сами себе злобные Буратины, у них 50% Интернета уже не работает)GoogleU06.04.2018
22:16:53
22:16:53
вообще диапазон 1025+ использовала не только XP и кто его знает чего там у кого осталось и кто чего своё написал.
Artyom06.04.2018
22:29:32
22:29:32
Это не повод всё это старье продолжать поддерживать. Оно поди про ipv6 тоже не знаэ. То есть все равно скоро на помойку, как ни крути
И уж, кстати говоря, уязвимостей в ем накопилось за это время тоже порядочно.
Snake06.04.2018
22:31:51
22:31:51
Картинко вечера, короче
Artyom06.04.2018
22:41:56
22:41:56
Loxmatiy07.04.2018
06:18:26
06:18:26
Что чатик, как ночь прошла?
Anton Klochkov07.04.2018
06:18:37
06:18:37
Ночь прошла как-то так
ДРОЧИШЬ С БУРСЫ ЦИСКУ
@
CCNA>CCNP
@
МАМА ПОГЛАДИЛА РУБАШКУ, ЗАВЯЗАЛА ГАЛСТУК
@
УСТРОИЛСЯ РАБОТАТЬ В МЕСТНОГО ПРОВАЙДЕРА
@
ВСЁ КАК ТЫ ЛЮБИШЬ: 2900, 2960, 3750 И ПРОЧ
@
ENABLE CONF
@
А НАХУЙ, КУПИЛИ Ж 2009 ВСЕ ЗАЕБОК
@
#достаточно
@
2017, ММ ХОРОШИЕ ПОДСТАВКИ ПОД КОФЕ И РАБОТАЮТ ХОРОШО, ОБНОВЛЯТЬ НЕ НАДО
@
2018 АЛЛО ЕРОХИН, ЧЕ ЗА ХУЙНЯ
@
ЧТО, КАКОЙ ПОРТ, КУДА СМОТРИТ? ОТКУДА Я ЗНАЮ ПОЧЕМУ!
@
ЧЁ ЗА SMI?
@
ДА КТО ТАМ ПАТЧИЛ, ВЧЕРА ТЕТЯ СРАКА ПЫЛЬ ПРОТЕРАЛА
@
В СМЫСЛЕ КОНФИГОФ НЕ ОСТАЛОС? ДА КТО ИХ ТАМ СНИМАЛ, ЗАЕБИСЬ ЖЕ РАБОТАЛО
@
ПИШИ "УЯЗВИМОСТЬ, МЫ НЕ ВИНОВАТЫ, АТАКОВАЛИ БОТЫ ХАЦКЕРЫ"
@
— ХЭЛЛОУ ДЖЕРЕМИ ВАЗЗАП ПЛИЗ КАЙНДЛИ ХЭЛП
— HI DEAR SIR, TRY TO REBOOT ALL OF UR DEVICES
@
ХЬЮСТОН, У НАС ПРОБЛЕМЫ
@
ОБГОНЯЕШЬ SPACEX НА ЖОПНОЙ ТЯГЕ
Leonid07.04.2018
07:00:10
07:00:10
у них щас другие заботы)
Ivan07.04.2018
07:01:04
07:01:04
Ну блэд, зачем единицы?
Anton Klochkov07.04.2018
08:22:48
08:22:48
Ещё подкину угля
https://geektimes.ru/post/287130/
Но у вас же телнет закрыт да? :)
Sergey07.04.2018
08:30:47
08:30:47
непойму, порт закрыл, ацли висит (они были и до этого) новое правило в самом верху, старые ниже, по ним счетчики тикают, по блокировки порта нет, и в логе кто то ночью ломился загружать комнфиг мне
через какой интерфейс лезут непонятно
Leonid07.04.2018
08:43:26
08:43:26
вэхээй, еще больше подкастов :) круть) Спасибо)
Anton Klochkov07.04.2018
08:43:56
08:43:56
GoogleAnton Klochkov07.04.2018
08:44:09
08:44:09
10 deny tcp any any eq 4786
200 permit ip any any (590366 matches)
Sergey07.04.2018
08:44:34
08:44:34
несколько же ацл на интерфейс не навесить, на разных интерфейсах разные ацли, в каждый добавлять чет не очень
Anton Klochkov07.04.2018
08:44:38
08:44:38
Sergey07.04.2018
08:44:44
08:44:44
10 deny tcp any any eq 4786 — почему счетчик пустой?
Anton Klochkov07.04.2018
08:44:52
08:44:52
Внешка закрыта, но я то думал что все ок и изнутри)
10 deny tcp any any eq 4786 — почему счетчик пустой?
Потому что никто не ломает, это внутри. А снаруже у меня микроты фильтруютiptables
Sergey07.04.2018
08:46:05
08:46:05
Потому что никто не ломает, это внутри. А снаруже у меня микроты фильтруют
ну у меня почему то счетчик не срабатывет, внешний сервис говорит порт закрыт, НО в логах видно что ломятсяAnton Klochkov07.04.2018
08:46:23
08:46:23
ХМ.
В логах у меня нет пока ни одного срабатывания, все по нулям
На двух бордерах
Leonid07.04.2018
08:47:31
08:47:31
ну у меня почему то счетчик не срабатывет, внешний сервис говорит порт закрыт, НО в логах видно что ломятся
если постоянно ломятся, попробуй задампить трафик, посмотреть откуда лезут?Sergey07.04.2018
08:47:46
08:47:46
ну у меня циска и есть бордер Ж)
если постоянно ломятся, попробуй задампить трафик, посмотреть откуда лезут?
я не знаю с какого направления лезут Ж)на все интерфейсы не буду миррор вешать
Leonid07.04.2018
08:49:00
08:49:00
я думал аплинк один, максимум два)
хотя опять дже если постоянно реквесты падают то и по очереди найти можно
Sergey07.04.2018
08:49:56
08:49:56
ну 3х аплинках ацли есть, но счетчик не срабатывает, в логах
Apr 7 00:31:26.148: VSTACK_ERR:
!! smi_ibc_dl_handle_events: download not successful
если кто то из внутри ломится
GoogleAnton Klochkov07.04.2018
08:51:50
08:51:50
Да, поэтому и навесил ацл везде на всякий случай
Убей естеблишет
TCP
Может оно сидит именно так
Sergey07.04.2018
08:52:55
08:52:55
что?
Leonid07.04.2018
08:52:59
08:52:59
как вариант
Anton Klochkov07.04.2018
08:53:09
08:53:09
tcp established
Будет твой фаер проходить
Если уже инициализировано было
Sergey07.04.2018
08:53:41
08:53:41
sh tcp brief all не показывает такие соединения
там только бгп сессии, и мой ssh
Leonid07.04.2018
08:54:33
08:54:33
Будет твой фаер проходить
там вроде циска бордер, да и ACL stateless жо, должен сбросить и эстаблишедSergey07.04.2018
08:58:39
08:58:39
когда по тсп же пытаюсь установить соединение с белым ип и портом 4786 , счетчик же должен сработать, не срабатывает, но раньше до правила писал что порт открыт, теперь что закрыт
Anton Klochkov07.04.2018
09:00:09
09:00:09
Кстати да
Andrey07.04.2018
09:00:13
09:00:13
там вроде циска бордер, да и ACL stateless жо, должен сбросить и эстаблишед
permit tcp any any eq 80 established
вот эта хрень как стайтфул вроде работает)Anton Klochkov07.04.2018
09:00:14
09:00:14
Я такое повдение на 3560 замечал
Счетчик не работает
Убиваешь правило создаешь заново работает счетчик
Sergey07.04.2018
09:01:46
09:01:46
до понедельника надеюсь доживу, а там поменяю Ж)
а они через уязвимость могут любую команду выполнить, например очистить конфиг, или только по тфтп пытаться загрузиться?
GoogleAndrey07.04.2018
09:04:46
09:04:46
"Говорят, что на ММТС-9 сегодня был сискоконнект афтепати: " забавный коммент с хабра
Sergey07.04.2018
09:07:02
09:07:02
а фото отчет есть?
Andrey
Sergey07.04.2018
09:07:53
09:07:53
ну эту фотку видел еще вчера
Leonid07.04.2018
09:10:39
09:10:39
ответы то куда слать?)
Andrey07.04.2018
09:11:00
09:11:00
ответы то куда слать?)
Победителем назначим того, кто раньше всех пришлёт на info@linkmeup.ru правильный ответ.Leonid07.04.2018
09:11:24
09:11:24
спс)
Sergey07.04.2018
09:11:58
09:11:58
аа где вопросы?
Leonid07.04.2018
09:12:25
09:12:25
на канале
Открыть в Telegram