« Rev
@ntwrk   900
Fwd »


Tema
через apply-path или еще как
Tema
соотвественно в конце дискард
Ilya
Но ведь может быть, что и железо из белого списка с ума сойдёт
Pavel
И дидос-протекшен
Ilya
а там уже полисер
Можно совместить, да
Pavel
Но, да, дефолтовые значения дидос протекшена в свое время были ни о чем
Ilya
Сразу в фильтре и полисер сделать
Pavel
Не, не
Ilya
Почему не?
Misak
полисер то у меня и так есть на icmp
Misak
но в общем понятно все, надо подумать
Pavel
Почему не?
Ну я бы не стал в дополнение ко всем имеющимся полисерам по дефолты полисить нормальные бгп-пиры.
Ilya
Ilya
Я про это
Ilya
@onemorepash
Ilya
Не дропать, а полисить.
Pavel
А, если ты про то, что ddos-протекшен на MX (в идеале) надо тюнить, то разумеется.
Pavel
Дефолтовые настройки там ни о чем, это факт
Evgeniy
https://www.exploit-db.com/exploits/43986/
Pavel
Правда я не знаю, что именно ты хочешь не дропать, а полисить? Арп? а как его можно дропать?
Pavel
С другой стороны BGP от неизвестных пиров — ну как-то непонятно, зачем не дропать
Stanislav
https://www.exploit-db.com/exploits/43986/
уже проверял?)
Ilya
С другой стороны BGP от неизвестных пиров — ну как-то непонятно, зачем не дропать
Я про дополнение к фильтрам. Вдруг у тебя разрешенный нейбор с ума сошел, там же как правило полисер не делают. Соответственно либо сразу к фильтру добавлять полисер, либо тюнить ddos protection
Evgeniy
уже проверял?)
пока нет
Pavel
Проблема в том, что все это такое. В идеале надо полисить каждую сессию
Pavel
А это ddos-protection с flow разве что
Pavel
А просто если ты на BGP в фильтре полисер повесишь, то скорее хуже сделаешь, если у тебя один пир с ума сойдет
Misak
на что вы повесить хотите? на сессию с пиром?
Misak
или на линк на него?
Misak
БЖП замедлять наверное не стоит
Ilya
Надо почитать ещё, в общем
Ilya
Надо просто тестировать ещё, сколько pps будет в случае реальной аварии и т.п.
Илья
а че это сразу новый роут сервер?
Илья
может припиздывают
Илья
и это плановый апгрейд
Igor
Что может быть?
Он засрёт тебе всё и легетимные пиры, которые в адеквате будут схлопываться вместе с ним, когда бешенный полисер начнёт дропать
Volodymyr
Ну я бы не стал в дополнение ко всем имеющимся полисерам по дефолты полисить нормальные бгп-пиры.
а еще как минимум принимать только tcp-established. Из плохого : всякие exabgp не могут в пассив
Igor
даешь серые п2п !!!
на серых скорость меньше
Anonymous
так серые же. фальсификат
Misak
от них и отравление может быть
Ilya
т.е. он индивидуальным будет и не будет другие засирать
Volodymyr
еба вот это я вкинул про реджекты )
Igor
per flow, per subscriber — вот про это Паша и говорит
Igor
Проблема в том, что все это такое. В идеале надо полисить каждую сессию
Volodymyr
из плохого, я об этом узнал, когда у меня ддос протекшин сработал, ради вас страдал )
Igor
из плохого, я об этом узнал, когда у меня ддос протекшин сработал, ради вас страдал )
чувак один уже страдал за наши грехи, чем ты лучше него?
Igor
ну не наговаривай так на себя
Volodymyr
стартап с винишком не открыть мне
Igor
будешь говорить: всех спасу, а тебя не спасу
Misak
из плохого, я об этом узнал, когда у меня ддос протекшин сработал, ради вас страдал )
ну так ты что и где прописал? в глобале на всех рутерах дискард дефолт?
Volodymyr
да
Igor
Ну это типа из разряда "Не сдавал JNCIS-SP"
Igor
Volodymyr
надо было у Максима спрашивать
Volodymyr
(
Igor
Ну он тогда тож не знал(
Igor
Скифор знал наверн ток
Volodymyr
но молчал! )
Volodymyr
погодите-ка, еще @zi_rus
Volodymyr
тож знал и молчал
Igor
Скифор знал наверн ток
Он тут самый старый, некоторые говорят, что вообще ещё раньше того парня, что стартап с вином мутил, появился
Илья
что знал?
Илья
я все знаю
Volodymyr
Скифор уже забыл все, что другие никогда не знали
Igor
я все знаю
Продолжите фразу: "Сколько водки не бери, всё равно..."
Volodymyr
@zi_rus
Purrr
Проблема в том, что все это такое. В идеале надо полисить каждую сессию
зачем? можно же ацлем разрешить только сконфигуренные сессии. или месье мастер отстрелить себе ноги ?
Purrr
это же тцп
« Rev
@ntwrk   900
Fwd »