Sergey
что нам вечером и доказали
Sergey
там для слива к себе копи по тфтп посылается, заливка же то же самое в обртаном порядке, вобщем то и без теста было понятно, что пашет
Yury
Ну вот у меня снаружи нет этих каталистов, ок, отлично. И что? Мне вот сейчас приятно сидеть и думать что любой из 20000+ пользователей компании может слить или стереть конфиги коммутаторов, которых в компании несколько тысяч стоит? Нет, не приятно.
Может, если ему разрешить. Если запретить (или сделать это невозможным), то не сможет. Ещё раз, я не оправдываю вендора, их оборудование принесло проблему, но блин принесло оно туда, где на ее наличие подзабили по незнанию или по похуизму.
Alexander
Ну вот у меня снаружи нет этих каталистов, ок, отлично. И что? Мне вот сейчас приятно сидеть и думать что любой из 20000+ пользователей компании может слить или стереть конфиги коммутаторов, которых в компании несколько тысяч стоит? Нет, не приятно.
Пройдись скриптом/ансиблом/ноком и выключи vstack раз не используешь.
MOXHATOE
Может, если ему разрешить. Если запретить (или сделать это невозможным), то не сможет. Ещё раз, я не оправдываю вендора, их оборудование принесло проблему, но блин принесло оно туда, где на ее наличие подзабили по незнанию или по похуизму.
Так можно сказать вообще о чём угодно. Любая проблема = сам дурак. Отчасти это справедливо конечно.
Vladimir
Пройдись скриптом/ансиблом/ноком и выключи vstack раз не используешь.
Это надо было сделать давно.
Anton
Может, если ему разрешить. Если запретить (или сделать это невозможным), то не сможет. Ещё раз, я не оправдываю вендора, их оборудование принесло проблему, но блин принесло оно туда, где на ее наличие подзабили по незнанию или по похуизму.
а как запретить еси железка например шлюзом для юзеров является?
Yury
Так можно сказать вообще о чём угодно. Любая проблема = сам дурак. Отчасти это справедливо конечно.
Так и есть, на то ж он и инженер/админ, чтоб всем этим гавном рулить )
Виталий
#whois
Etc
Ent
Красноярск
Телеграм
Нет
MOXHATOE
Пройдись скриптом/ансиблом/ноком и выключи vstack раз не используешь.
Я пройду, конечно. Но радости мне это не доставляет. Особенно не доставляет то, что говно приплыло от функционала, который я не использую, который мне нах не нужен, и который, внезапно, по дефолту включен на всем этом говне.
Виталий
Sergey
выше писал, за каталиставми было замечено, что правило есть - но не работает
Виталий
Понравилось обсуждение уязвимостей
Sergey
перезаливается ацли - начинает работать
Vladimir
выше писал, за каталиставми было замечено, что правило есть - но не работает
Никогда такого не было и вот опять
Alexander
Vladimir
Хз, я с таким не сталкивался
Sergey
мы сталкивались не один раз, на разных каталистах
Sergey
не везде это гавно отключается
Sergey
вплоть до 65
MOXHATOE
Этого смартинстала сраного
Vladimir
выше писал, за каталиставми было замечено, что правило есть - но не работает
В любом случае, это лучше, чем нихера не делать
Sergey
это само собой
Anton
Я пройду, конечно. Но радости мне это не доставляет. Особенно не доставляет то, что говно приплыло от функционала, который я не использую, который мне нах не нужен, и который, внезапно, по дефолту включен на всем этом говне.
это, раз уж собираешья проходить, учти что на старых иосах 12 каких то этой команды нет, а функционал есть. там либо ацл либо апгрейд
MOXHATOE
так нет. речь же идёт о действиях до обнаружения бага
А, до. Ну хз, фильтрация вообще всего на адрес железки, кроме нужных протоколов. Если не сделал, и вылезет бага ещё в каком-то говне, которое тебе и даром не надо - тебе тут завтра расскажут что сам дурак и виноват.
Sergey
толко вот тут тож нюанс
Anton
А, до. Ну хз, фильтрация вообще всего на адрес железки, кроме нужных протоколов. Если не сделал, и вылезет бага ещё в каком-то говне, которое тебе и даром не надо - тебе тут завтра расскажут что сам дурак и виноват.
ну вот это не похоже на бест практис, учитывая колво интерфейсов иногда
Sergey
нельзя зафильтровать
Sergey
только ага, надо со всех на все ипы железки отфильровать
MOXHATOE
ну вот это не похоже на бест практис, учитывая колво интерфейсов иногда
Ну я и не говорю что это бест практис, это так, ирония )
Sergey
1. не отключается
2. в контрол плане не фильтруется
Sergey
опять же вспоминая про суп2т и сколкьо там может быть интерфейсов)
Alexander
Там где copp это ещё ок
Виталий
В 12.2.35 smi не было, но это не точно. Потом он появился и его нельзя было отключить. Сейчас лукацкий работает smm-щиком на хабре и поясняет как надо было настраивать никому не нужный функционал.
Sergey
кстати, многие в нете пишут про ботнет, но фактически из того, что я видел всех нагибали с 1 виртуалки в диджитал оушне
Sergey
если б это был реально ботнет типа sshшного, с которого пароли вечно подбирают и который есть в изобилии в любом публичном дц или клауде, то было б сильно веселей, и никакие ацл на аплинках и ix не спасли бы
Sergey
и я бы это пока со счетов не скидывал, как бы не было продолжения
Евгений Вайд
и я бы это пока со счетов не скидывал, как бы не было продолжения
Я думаю, всё еще впереди
Евгений Вайд
хотя, это же чисто деструктивное действие
Евгений Вайд
бабла на этом не поднимешь
Sergey
не исключено, тут вектор первый был россия похоже, не думаю что за пределами россии дела обстоят лучше)
Sergey
да могут чисто по фану, кмк, там же особо ресурсов то не надо
Sergey
опять же собрать конфиги - дескрипшны с портов, клиенты наверняка у многих подписаны
Sergey
хз что могут придумать
Houston
не исключено, тут вектор первый был россия похоже, не думаю что за пределами россии дела обстоят лучше)
Иранчик упал, аж министр фотки слал
Дмитрий
Так говорят в Европе ещё раньше на неделе началось
Sergey
про иран слышал, про европу не знал)
Sergey
подробностей не знаю, но почему бы и нет)
MOXHATOE
и я бы это пока со счетов не скидывал, как бы не было продолжения
Ну снести конфигурацию это глупенько. Интереснее там пользователя добавить с прив 15, например. А снести можно и потом. )
Sergey
ну вобщем то да, в данном случае хотели массовую жопу вызвать)
Sergey
не факт, что много где ее какраз не поправили
Sergey
тоже местные н спали пол ночи)
Dmitry (DAY)
понимаете ли ipv6 он же весь белый будет
да лана, кто-то запрещает юзать всякие site-local
Илья
никто, только это боль
Dmitry (DAY)
это не боль, это адреса. безопасность и маршрутизируемость адреса не связаны
Илья
да
Dmitry (DAY)
если уложить это в голову, и работать со всем адресным пространством одинаково пофиг сколько стеков, хоть два хоть три
Илья
но нет
Илья
я так и работаю, у меня проблем нет, просто есть отдельные личности
Илья
лично я вообще стараюсь с адресами не работать, просто сегментирую сеть, есть доверенные зоны, есть недоверенные. доступ из недоверенных зон строго контролируетс
Mikhail
Ваш же говорил "берите у нас КП и идите в Циску за скидками"
Mikhail
Из российской аристы
Purrr
Илья
удачи тебе ацл у цуско мантайнить лол
нет, ты поясни, я вроде не студент, семь лет в телекоме, никаких проблем с ацл не исптываю. что ты хочешь сказать?
Yury
нет, ты поясни, я вроде не студент, семь лет в телекоме, никаких проблем с ацл не исптываю. что ты хочешь сказать?
Тут выше говорили. Они у циски тоже хуевые, слетают, пропускают, отваливаются и ещё что-то
Илья
я свои acl проверяю через nmap из внешнего мира
Yury
Не хотят в общем работать так, как голова придумала