Kirill
Ты по 90 порту заходишь ?
Андрей
сейчас пытался через ssh
Андрей
Зашёл, подскажите как на этом аппарате правильно пробросить 80 и 443 порты?
Kirill
https://support.zyxel.eu/hc/ru/articles/360001390934-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB-NAT-%D0%BD%D0%B0-USG-%D0%BF%D0%B5%D1%80%D0%B5%D0%BD%D0%B0%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-Port-
Андрей
Благодарю
Александр
Крайне рекомендую на зюхеле сменить штатные порты на https, а http в принципе отключить.
Александр
В меню: configure - system -www
Александр
Крайне рекомендую на зюхеле сменить штатные порты на https, а http в принципе отключить.
ещё добавлю совет. Включить Гео IP для входящих подключений по HTTPS или прописать IP, с которых будете подключаться к шлюзу с оповещением по e-mail о входящих соединениях. И добавить ещё расписание, активирующее такое правило, чтобы по ночам никто не мог подключиться.
Александр
Это при наличии железа поновее ))
Александр
у меня 60 шт ZywallUSG 100 ))
Александр
последняя прошивка от 15 года
Александр
Kirill
У меня таких же куча
Kirill
Хожу на них не посредственно с впн
Kirill
Смысла нет ходить через внёшку на них
Александр
у меня ограничение по доступу с WAN
Александр
с 11 года инцидентов небыло, тьфу тьфу )
Александр
Хожу на них не посредственно с впн
https же тоже зашифрованный трафик или всё-таки VPN "посильнее" шифрует?
Kirill
Зачем вообще там https/http наружу выводить?
Kirill
Какой смысл от этого
Александр
Зачем вообще там https/http наружу выводить?
Проверить состояние, промониторить логи, критические ошибки.
Александр
Хороший вопрос.. скорее всего религиозный смысл )
Kirill
Проверить состояние, промониторить логи, критические ошибки.
Тобись по внутренней сети никак ))
Kirill
Если оно сдохнит, то сдохнит окончательно, а логи можно и заббиксом снимать
Kirill
Ходишь на них по впн
Александр
у меня вторая сеть на Континентах, соотвественно ноут с континентАП.. оттуда в условно открытую сеть ...
Александр
А причём тут отпуск, какая разница))
Ну звонят прям на море, слушай, а wi-fi гостевой почему не работает?
Александр
)))
Александр
именно так
Kirill
Смысл лезть на железку, залезу на неё через впн))
Александр
Ну звонят прям на море, слушай, а wi-fi гостевой почему не работает?
А так для подобных вопросов есть первая линия
Kirill
А он покажет онлайн состояние подключённых точек доступа?
У вас что в отпуске прописана статика?
Kirill
Железо древнее, там нет геоИП
Kirill
хотя вы можете заворачивать на себя, завести в л2тп и везде прописать на всех шлюзах правило
Александр
Но так-то я согласен.. отключить стоит, я просто не задумывался..
Александр
Железо древнее, там нет геоИП
вручную добавить IP своего сотового оператора в разрешающее правило с алертами на е-майл, что коннекты есть.
Kirill
😂😂😂 на сотнях устройств, ну ок, не ищем лёгких путей
Gennady
Железо древнее, там нет геоИП
разговор стартовал с USG Flex 200 новее устройства не придумать
Kirill
разговор стартовал с USG Flex 200 новее устройства не придумать
Не у всех 200. Выше пишем же тб этом
Александр
😂😂😂 на сотнях устройств, ну ок, не ищем лёгких путей
Корп сеть, да, согласен, внешку не стоит включать. Пусть инженеры сами мониторят её внутри сети.
Александр
О.. я вспонил аргумент... почему WWW стоит таки держать, дважды в практике было, провайдер проводил перенастройку своего оборудования после чего начинался резаться трафик ipsec и L2tp да и SIP и на разборки уходило много времени
Александр
доказывать что ты не верблюд иногда проблемно
Александр
Я выше спрашивал, что безопаснее работать с вебом шлюза? Через https или vpn ?
Александр
впн больше уровней шифрования имеют
Kirill
А в http как видно по последним патчам дыра
Александр
доказывать что ты не верблюд иногда проблемно
Например, проброс портов на сайт внутри сети не работал. Поменяли провайдера, помогло. Но проблему так и не починили.
Александр
А в http как видно по последним патчам дыра
Я про httpS интересовался, тк HTTP не шифруется никак.
Kirill
https://support.zyxel.eu/hc/en-us/articles/4402786248466-Security-Vulnerability-Alert-and-Firmware-Patches-Firewall-Series
Kirill
Было же
Александр
А что за дыра?
была тема.. сейчас конкретный пример не приведу, но на АТП 800 да и на 310 после последней прошивки прям как реклама вывалилась - "ограничь доступ по WAN" )))
Александр
была тема.. сейчас конкретный пример не приведу, но на АТП 800 да и на 310 после последней прошивки прям как реклама вывалилась - "ограничь доступ по WAN" )))
Это помню, но там всеобщие рекомендации были из-за несанкционированных внесённых учёток и созданных тоннелей VPN.
Kirill
Это помню, но там всеобщие рекомендации были из-за несанкционированных внесённых учёток и созданных тоннелей VPN.
Так какой бакдор был, https использовали?
Kirill
Если https закрыт был, проблем не наблюдалось
Александр
Так какой бакдор был, https использовали?
Точно не знаю, вроде бы из-за системной учётки, по которой шлюзы самообновлялись.
Kirill
Точно не знаю, вроде бы из-за системной учётки, по которой шлюзы самообновлялись.
Это прошлый был вроде баг
Kirill
Его они чинили в версии 35 или типо того
Kirill
Не суть, пока не закрыл https на внешку, проблемы наблюдал
Kirill
Спецом оставил пару устройст, но там беда ещё в чем, в том что устройства легами и аплейты там с 2014 года последние
Александр
https://support.zyxel.eu/hc/en-us/articles/4402786248466-Security-Vulnerability-Alert-and-Firmware-Patches-Firewall-Series
Прочитал, он же самый баг с учётками и тоннелями VPN.
Александр
Нас обошло на шлюзе VPN, ничего не прописалось.
Kirill
Хотя разобрались в течение 10 минут, но осадочек остался
Kirill
Сидишь этак пьёшь пивко, Хоббс сети рухнули, трафик не идёт
Александр
Свезло, поймали косяк нежданчиком
Zyxel Предупреждал активно, много писем от всех сотрудников Zyxel пришло, проверил сразу, но всё обошлось. Думаю, повезло.
Kirill
Ну это хорошо
Ftfgh
Есть ли кейсы по переделке старых зайволов юсджи во что-то другое?
Александр
А зачем переделывать то?
Александр
Они шикарно справляются, нет новых модных фишек и бог с нимим
Александр
ВПН держат, фильтры работают