fozz

Добавьте no ip source-route ip arp gratuitous none no ip gratuitous-arps ip icmp rate-limit unreachable 1 ip icmp rate-limit unreachable DF 1 на IP интерфейсы добавьте no ip redirect no ip proxy-arp Уберите ip default-gateway xx.xx.xx.xx

Никогда не берите это говно. 1. У него нет QinQ (заявленная поддержка это всего лишь возможность транзитного пропуска трафика с увеличенным MTU). 2. всего 128 вланов (да-да!) 3. при опросе через snmpwalk отваливается на раз-два 4. (это ж блин додуматься надо!!) При подключенной консоли при рестарте свитч просто вот вываливает всю конфигурацию на экран. Включая пароли и так далее. 5. при просмотре fdb виснет. 6. и так далее и тому подобное..

Коллеги, как можно реализовать задачу сниффинга трафика определенного пользователя в linux? Знаю, что iptables может матчить пакеты определенного пользователя, но что прописать в -j ACTION ? Хочется что-то типа зеркалирования трафика в некое что-то, откуда его можно снять tcpdump'ом.

Да, конечно так и сделал, но сам факт несколько напрягает... "это интернет, деточка, здесь могут и нах послать..."

поволжский мегафон пользуется rpls

Я немного удивлен, честно говоря, таким отношением со стороны ТТК. Ведь мы по сути платим за этот левый трафик. Скажите, во-первых, что это? Что-то типа DoS/DDoS? И нормально ли такое отношение со стороны апстримов к подделке SRC у себя в транзите? Обычно ТТК ставят на всех каналах URPF и такая ситуация должна была просто отсечься у них на роутерах. Странно. У Вас же хорошей практикой сделать на входящем интерфейсе что-то типа iptables -A FORWARD -i eth1.720 -s ваша.сеть/22 -j DROP

таких 1-2 процента и если стандартными средствами им помочь не получается, то опять же, повторюсь - кнопочка в биллинге "разрешить 25-й порт". p.s. вот глянул. Висят 3080 онлайн, из них всего 13 с открытым 25-м (значит им менеджеры по заявлению открыли). Люди, которые понимают, что почта ходит через 25-й, обычно и знают, к чему это может приводить, так что с ними неопасно. Все остальные делятся на две категории: не пользуются почтой вовсе, пользуются веб-мордами на том-же mail.ru.

А почему бы не избавиться от спама вовсе? Не претендую на идеал, но всеже послушайте: Закрываете 25/tcp наружу совсем, а разрешаете только на локальный релей с принудительной аутентификацией (SASL). Если кому-то надо все-таки очень отправить почту наружу не через ваш релей, то почти все современные публичные сервисы принимают почту на 587/tcp, специальный порт для получения мыла от клиентов, если что.. Если и этого недостаточно, то особо умным разрешаем слать почту напрямую (отдельная пипка в биллинге). При такой схеме за год у меня было два письма на abuse@, в одном случае хидеры показывали, что у абонента увели пароль на SASL и от его имени слали спам, во-втором случае какой-то редкий вирус отправил письмо через 465/tcp (over SSL). p.s. http://rfc2.ru/3013.rfc пункт 5.4

ну просто.. может все-же уточнить у бухгалтера

передавайте через запятую, все работает. Cisco-Avpair=ip:sub-qos-policy-out=client32k_out,ip:sub-qos-policy-in=client32k_in,ip:l4redirect=redirect list 198 to group ABONENT-DOLG,Session-Timeout=86400,Filter-Id=110.in,Filter-Id=111.out p.s. с этим "ppp authentication ms-chap-v2" натрахаетесь...

я не об этом. а о последней байке. у нее дата стоит 4 апреля, т.е. 4 дня спустя окончания приема материалов)

дата принятия баек на конкурс уже прошла.

А вопрос. Статья 217 налогового кодекса РФ (доходы, не подлежащие налогообложению), пункт 28. Заплатит ли НАГ налог самостоятельно или просто подаст сведения о получателе приза в налоговую?

что за нововведения про дополнительное двухнедельное голосование? нигде ранее этого написано не было.

ну что же не договариваете? он был с эр-теелкома?