# Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif} ${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif} # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif} ${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif} ${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif} ${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}

# Stop unique local unicast address on the outside interface ${fwcmd} add deny all from fc00::/7 to any via ${oif6} ${fwcmd} add deny all from any to fc00::/7 via ${oif6} # Stop site-local on the outside interface ${fwcmd} add deny all from fec0::/10 to any via ${oif6} ${fwcmd} add deny all from any to fec0::/10 via ${oif6} # Disallow "internal" addresses to appear on the wire. ${fwcmd} add deny all from ::ffff:0.0.0.0/96 to any \ via ${oif6} ${fwcmd} add deny all from any to ::ffff:0.0.0.0/96 \ via ${oif6} # Disallow packets to malicious IPv4 compatible prefix. ${fwcmd} add deny all from ::224.0.0.0/100 to any via ${oif6} ${fwcmd} add deny all from any to ::224.0.0.0/100 via ${oif6} ${fwcmd} add deny all from ::127.0.0.0/104 to any via ${oif6} ${fwcmd} add deny all from any to ::127.0.0.0/104 via ${oif6} ${fwcmd} add deny all from ::0.0.0.0/104 to any via ${oif6} ${fwcmd} add deny all from any to ::0.0.0.0/104 via ${oif6} ${fwcmd} add deny all from ::255.0.0.0/104 to any via ${oif6} ${fwcmd} add deny all from any to ::255.0.0.0/104 via ${oif6} ${fwcmd} add deny all from ::0.0.0.0/96 to any via ${oif6} ${fwcmd} add deny all from any to ::0.0.0.0/96 via ${oif6} # Disallow packets to malicious 6to4 prefix. ${fwcmd} add deny all from 2002:e000::/20 to any via ${oif6} ${fwcmd} add deny all from any to 2002:e000::/20 via ${oif6} ${fwcmd} add deny all from 2002:7f00::/24 to any via ${oif6} ${fwcmd} add deny all from any to 2002:7f00::/24 via ${oif6} ${fwcmd} add deny all from 2002:0000::/24 to any via ${oif6} ${fwcmd} add deny all from any to 2002:0000::/24 via ${oif6} ${fwcmd} add deny all from 2002:ff00::/24 to any via ${oif6} ${fwcmd} add deny all from any to 2002:ff00::/24 via ${oif6} ${fwcmd} add deny all from 2002:0a00::/24 to any via ${oif6} ${fwcmd} add deny all from any to 2002:0a00::/24 via ${oif6} ${fwcmd} add deny all from 2002:ac10::/28 to any via ${oif6} ${fwcmd} add deny all from any to 2002:ac10::/28 via ${oif6} ${fwcmd} add deny all from 2002:c0a8::/32 to any via ${oif6} ${fwcmd} add deny all from any to 2002:c0a8::/32 via ${oif6} ${fwcmd} add deny all from ff05::/16 to any via ${oif6} ${fwcmd} add deny all from any to ff05::/16 via ${oif6}

что это фил?

ты думаешь - мы станем это читать?

Я думаю, пора уже дать Филу пизды

это же ipv6 какой-то долбаный

это пример того что во фряхе в поставке. потому что без этого мой вопрос ни о чем. почему вот там это есть, а в iptables например нет ни у кого даже в примерах? вот со stateful я понял. а тут?

И бить мордой в монитор, на котором будет открыт gist.github.com, например

что ты понял со стейтфул?

Это какая-то хуйня из девяностых

Все эти спуфинги хуюфинги

Это какая-то хуйня из девяностых

обоснуй

Откуда у меня на внешнем сетевом интерфейсе возьмется трафик из частной подсети?

Все эти спуфинги хуюфинги

странно. а мне кажется нет.

Откуда у меня на внешнем сетевом интерфейсе возьмется трафик из частной подсети?

потому что твой провайдер дебил. а таких 145%

спуфинг должен закрыватьсчя на ближайшем к клиенту порту / виртуальном порту

Мой провайдер это servers.com

Они там такое пресекают

Там никаких соседей нет, каждый клиент в своем вилане

Они там такое пресекают

т.е. ты им веришь? :)

а себе?

и вообще фил, если не контролируешь трафик на блажайшем к нему порту, то пиши белый список своих сетей и фильтруй дополнительно на шлюзе, НО тогда один твой клиент начнёт спуфить адрес своего соседа и пиздец твоей сетке

т.е. ты им веришь? :)

А че мне им не верить? Если они так не сделают однажды, они просто нахер пойдут

да нет никакого шлюза. классический bare metal или вообще виртуалка

А че мне им не верить? Если они так не сделают однажды, они просто нахер пойдут

это ответ кстати

Миран вон с электропитанием обосрался, а мне же два раза повторять не надо

Но эти дебилы ведь успели два раза повторить

я тебе сказал, что antispoofing должен быть реализован ИЛИ на порту коммутатора, ИЛИ на хостовой системе гипервизора!!!

я тебе сказал, что antispoofing должен быть реализован ИЛИ на порту коммутатора, ИЛИ на хостовой системе гипервизора!!!

расскажи об этом 145% типа крутых хостингов. ну кроме server.com. и то кстати не факт что не из-за нас

я тебе сказал, что antispoofing должен быть реализован ИЛИ на порту коммутатора, ИЛИ на хостовой системе гипервизора!!!

я кстати и гипервизор могу не контролировать

тогда что ты собрался защищать?

расскажи об этом 145% типа крутых хостингов. ну кроме server.com. и то кстати не факт что не из-за нас

ключевое слово "типа"?

ну это их проблем

тогда что ты собрался защищать?

в смысле? себя

если хочешь делать защиту. то делай её нормально, то что пытаешься сделать ты ни кому не надо, это должно быть прописано у вышестоящего провайдера для защиты от тебя, а твоё дело защищтиться от каждого конкретного клиенты. Спасай свою сеть. Провадйер свою защитит сам.

и иногда от себя )

как запустить playbook из playbook?

как запустить playbook из playbook?

include

через - include: playbook.yml ?

ага

если хочешь делать защиту. то делай её нормально, то что пытаешься сделать ты ни кому не надо, это должно быть прописано у вышестоящего провайдера для защиты от тебя, а твоё дело защищтиться от каждого конкретного клиенты. Спасай свою сеть. Провадйер свою защитит сам.

ну ок. давай возьмём конкретику - я например перепродаю DO

эм, ну тогда защита от спуфинга это их дело, каким боком ты-то тут?

объясните мне

что такое эта ваша защита от спуфинга?

всмысле? что бы клиент не мог слать пакеты с source ip не своим

(я знаю, что такое спуфинг)

если железно то это защита на порту коммутатору mac+ip, и другое не пускать

Я ж говорю Это хуйня из 90-х

с чего это, alex?

Этим всем должно заниматься активное оборудование провайдера

когда было принято реальные адреса машинам во внутренней сети раздавать, а

(И оно этим занимается)

Пусть об этом бедняги сетевые инженеры беспокоятся

А если нет, мы их повесим

Сетевой инженер должен страдать

когда nat был экзотикой, и мы socks5 пожнимали, и хамминг-мать-его-берд

сегодня откуда взяться спуфингу?

а в твоей сети? вот, например, у тебя виртуальный хостинг, ты должен сделать защиту от спуфинга для каждой виртуалки

мне зачем вообще связь между виртуалками?

да пусть у тебя даже офисная сеть, не надо давать в ней волю юзверям

В моей сети у меня crossbow не допускает подобного

По умолчанию прям

да причём тут связь? у тебя к пограничному маршрутизатору придёт трафик от виртуалки А, а ip у неё будет виртуалки B и ты блин выпустишь этот трафик наружу

да пусть у тебя даже офисная сеть, не надо давать в ней волю юзверям

я делал такое для гомонета 8 лет назад. и там этим, сюрприз, занимались свитчи

Так этим и должны заниматься свитчи

ERROR: S client not available

Вот уж и правда, сюрприз

так а настраивать их кто будет, Пупкин?

В SmartOS этим занимается виртуальный свитч

И его не надо настраивать

Он там так делает всегда

я сразу начал что делается это на коммутаторе (физическом или виртуальном)

Там чтобы иначе это сделать, надо документацию вдоль и поперек прочесть

ну у кого как, у меня это делается iptables'ом, т.к. нету виртуального свитча, то проверка включена через ipset на каждом tap'е

суть не меняется от этого

защита есть и она выполнена на ближайшей точке соприкосновения моей сети и клинтской виртуалки, а не как предлагал Фил, на пограничном шлюзе что-то писать

эээ... я на виртуалке. это отдельная нода гостевая. какой шлюз

какие нахрен общие правила для серых сетей ты нам постил, anispoofing всегда вещь персональная, под каждого клиента.

вернемся, коллеги, к теме сообщества

я тут болею, и хочу аниме какое-нибудь засмотреть

по теме сообщества новостей нету ? зато аниме, это про Linux ?

последний анимешный сериал, который мне понравился, был last exile

Но есть и хорошие новости:

https://twitter.com/FreeBSDHelp/status/716833382290690048

зочу че-нибудь подобное

я тут болею, и хочу аниме какое-нибудь засмотреть

Галактический футбол

Галактический футбол

о, ни чо такая старая тема

https://twitter.com/FreeBSDHelp/status/716833382290690048

Годно.

lol. как в CentOS 7 поиметь pip для python3.4

Никто FreeBSD через пару релизов не обновлял сразу? с 8 до 10 например?

lol. как в CentOS 7 поиметь pip для python3.4

pip3.4 ?

Никто FreeBSD через пару релизов не обновлял сразу? с 8 до 10 например?

усрешься

pip3.4 ?

вот да. как его сделать? я что-то стандартным способом не понял

усрешься

нереал? не охота дважды мир собирать

вот да. как его сделать? я что-то стандартным способом не понял

а оно с python3.4 не поставилось?

если нет, то yum provides */pip3.4

нереал? не охота дважды мир собирать

нуууу.... дап фря вообще туго обновляется. линукс-то почти никак, а фря ещё хуже. ты съешь все проблемы с переходом на bmake, pkgng и clang

а оно с python3.4 не поставилось?

вот я тоже удивился