[myst]

Myst, GRE это проприетарный цисковский протокол!

 

Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec?

1000 цисок совершенно невозможно сопровождать.

по многим причинам невозможно.

Прелесть микротика в том что их на каждый из 1000 объектов можно запулить хоть вязанку в холодном резерве.

циска со стоимостью и своими сервисными контрактами сосет.

 

Что же до GRE, я вообще не вижу причин по которым он должен не работать.

Ну и что это разработка Циско Системс? Он вполне стандартен и поддерживается стопицот лет на том же линупсе.

 

Да и к тому же. Сам GRE туннель работает. Бъется база поверх туннеля.

Хотя IPIP в точно такой же конфигурации работает.

[myst]

 

Нужно придерживаться одного вендора и проблем не будет, переведите всю сеть на микротики - сразу уйдут все проблемы.

 

Нужно, но не микротика. Мы сейчас наоборот вычищаем микротики из ядра.

1100AHx2 тупо не справляются уже на 100 мегабитов. там шейпинг/полисинг захлебывается.

[snvoronkov]

1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло?

 

Ну так делайте ее внутри сети - поставьте отдельный микротик, имеющий доступ в интернет через НАТ и всего делов.

 

А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да?

Или доступ с реальными IP не нужен?

 

2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея.

 

Видели, только часто тыкают просто по стандартным и все, на все адреса не будет столько времени сканить.

 

Точно не видели. Зафиксированный лично мной рекорд медленности скана: по 5-10 портов в сутки. Полный скан моего сервера уже шел около двух недель, когда я его засек.

 

3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-)

 

У вас есть реальные случаи взлома микротика?

У меня? Не. Я их не использую.

 

DNS/NTP усилений - хоть попой жуй.

[DRiVen]

Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-)

И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда?

Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте.

У вас есть реальные случаи взлома микротика?

У меня? Не. Я их не использую.

Так это вам в другом месте надо рассказывать.

[NiTr0]

И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда?

Вы считаете нормальным, что нужно рубить все сервисы наружу вместо того, чтобы просто залатать дыры в них? :) Почему админ должен страдать от криворуких разработчиков софта?

[Sergeylo]

Ну я считаю, что снаружи надо рубить все сервисы, которые с этой самой "наружи" не нужны для работоспособности сети. Вне зависимости от потенциального наличия дыр.

Маршрутизатор - не сервер, его собственный трафик нужно минимизировать. Но это, конечно, всего лишь мнение.

[snvoronkov]

И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда?

Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-)))

[DRiVen]

Вы считаете нормальным, что нужно рубить все сервисы наружу вместо того, чтобы просто залатать дыры в них? :) Почему админ должен страдать от криворуких разработчиков софта?

"Это не бага - это фича"(с)

Если open dns-relay еще можно было в баги записать, то NTP уж совсем нехорошо. Возможность поднять его для зафильтрованного (или локального) пула и/или тот же релэй на этих же исходных - имхо больше фича.

Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-)))

Ну NTP по умолчанию не поднят, а релэй незафильтрованым оставлять... ))

P.S>Кстати, есть вкряченый SNTP-клиент, с pool.ntp.org работает без претензий.

[pppoetest]

Нужно придерживаться одного вендора и проблем не будет, переведите всю сеть на микротики - сразу уйдут все проблемы.

Сразу видно человека, не имевшего дела с реальными сетями.

 

А у микротика внутри что за ось такая стоит ?

Честно спиукраденный линух

[YuryD]

Myst, GRE это проприетарный цисковский протокол!

 

Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec?

1000 цисок совершенно невозможно сопровождать.

по многим причинам невозможно.

 

А чегойто бывшие ноготковские салоны на них живут ? И всякие конторы типа деньгидаром, за 360% годовых? У нас вообще хохма, третью киску эти денежники у нас палят уже в одной точке ... Может попа им уже вызвать, типа место нехорошее. В нашем кстати здании сидят, не промзона, никаких проблем с электро нет вообще.

[NiTr0]

Если open dns-relay еще можно было в баги записать, то NTP уж совсем нехорошо.

NTP - monlist зарезать какбы достаточно. Это сильно ослабит амплификацию. Но - не сложилось...

[Saab95]

А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да?

Или доступ с реальными IP не нужен?

 

В сети на микротиках можно себе позволить распределить нагрузку и разнести все так, что те сервисы, которые не требуют белых адресов, рулятся на серых и никаких проблем не возникает.

 

У меня? Не. Я их не использую.

 

Тогда что же даете советы и комментируете?

 

Сразу видно человека, не имевшего дела с реальными сетями.

 

Да тут все кругом админы одного домашнего роутера.

 

Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-)))

 

На микротике все критичные службы отключены из коробки после сброса начального конфига.

 

Точно не видели. Зафиксированный лично мной рекорд медленности скана: по 5-10 портов в сутки. Полный скан моего сервера уже шел около двух недель, когда я его засек.

 

А я не видел. Т.к. на микротик на винбокс никто пароли не перебирает, ломятся обычно по телнет и ссш, при этом даже если и подберут пароль, то там работает ПО, которое зайдет и начнет пулять линуксовые команды, которые микротик не понимает. Поэтому и тут никто его не выведет из строя и пароль не поменяет.

[ChargeSet]

Сааб, ты на глазах деградируешь. При удачном входе по ssh/telnet проверяются все известные синтаксисы. И микротика в том числе.

[snvoronkov]

А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да?

Или доступ с реальными IP не нужен?

 

В сети на микротиках можно себе позволить распределить нагрузку и разнести все так, что те сервисы, которые не требуют белых адресов, рулятся на серых и никаких проблем не возникает.

 

И много таких применительно к предоставлению РЕАЛЬНЫХ IP клиентам? Ну, чтоб фильтры-то на сервис не ставить.

 

У меня? Не. Я их не использую.

 

Тогда что же даете советы и комментируете?

 

Меня раздражают идиотия и очковтирательство.

 

Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-)))

 

На микротике все критичные службы отключены из коробки после сброса начального конфига.

Еще раз:

1) Вы написали, что службы NTP/DNS не нужны и их можно отключить/они отключены по умолчанию.

2) Я Вас спросил, насколько нужны корректное время и разрешение имен на устройствах, предоставляющих доступ абонентам.

 

Я таки не дождался ответа.

[Saab95]

И много таких применительно к предоставлению РЕАЛЬНЫХ IP клиентам? Ну, чтоб фильтры-то на сервис не ставить.

 

У меня L3 сеть.

 

Меня раздражают идиотия и очковтирательство.

 

Да тут некоторые люди любят писать чепуху.

 

Еще раз:

1) Вы написали, что службы NTP/DNS не нужны и их можно отключить/они отключены по умолчанию.

2) Я Вас спросил, насколько нужны корректное время и разрешение имен на устройствах, предоставляющих доступ абонентам.

 

Я таки не дождался ответа.

 

У меня на всех устройствах точное время, но NTP сервер работает на отдельном микротике, который имеет серый IP адрес.

 

Сааб, ты на глазах деградируешь. При удачном входе по ssh/telnet проверяются все известные синтаксисы. И микротика в том числе.

 

Если бы это было так, то хоть один мой микротик взломали, но этого так и не случилось.

[ChargeSet]

Если бы это было так, то хоть один мой микротик взломали, но этого так и не случилось.

Твои воображаемые микротики действительно трудно взломать.

[MMM]

У вас есть реальные случаи взлома микротика?

как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси.

 

примерно такой список

http://pastebin.com/WTgyLDjk

[Sergeylo]

Ну, тот факт, что прокся не биндится куда-то в конкретное место, а слушает все интерфейсы - это здорово, в своё время горсть гвоздей сожрал, когда на удалённой точке без удалённого доступа такая особенность выявилась.

[DRiVen]

как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси.

Это не взлом, а в очередной раз кривые руки.

[BETEPAH]

Вчера письмо из Микротика пришло.

Дескать потерялось ваше предыдущее письмо, не могли бы вы прислать ещё раз описание проблемы и supout.rif?

Я в шоке. Почти год прошёл. Стал бы их ждать, пока они gre наладят и мои клиенты сидели бы без выделенных ip. Полный писец. Я ещё летом продал винты с лицензией.

[Saab95]

как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси.

Это не взлом, а в очередной раз кривые руки.

 

Да, так и нет ответов что кому-то микротик взломали, получили доступ и что-то накрутили в настройках.

[MMM]

вы посмотрите количество хостов

[DRiVen]

Посмотрел. С вероятностью, близкой к максимальной, 1,5к индивидуумов не удосужились для web-proxy два правила доступа в access добавить, разума только на галку "Enabled" хватило и это банально открытый прокси, а не взломанный MT.

 

P.S>Можно и за существование ботнетов в десятки и сотни тысяч нод производителей РС виноватить, а не прокладку между моником и клавой.

P.P.S>Не фанат МТ, просто объективной оценки заслуживает любой объект обсуждения.

Изменено 19 февраля, 2015 пользователем DRiVen