myst Опубликовано 16 февраля, 2015 · Жалоба Myst, GRE это проприетарный цисковский протокол! Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec? 1000 цисок совершенно невозможно сопровождать. по многим причинам невозможно. Прелесть микротика в том что их на каждый из 1000 объектов можно запулить хоть вязанку в холодном резерве. циска со стоимостью и своими сервисными контрактами сосет. Что же до GRE, я вообще не вижу причин по которым он должен не работать. Ну и что это разработка Циско Системс? Он вполне стандартен и поддерживается стопицот лет на том же линупсе. Да и к тому же. Сам GRE туннель работает. Бъется база поверх туннеля. Хотя IPIP в точно такой же конфигурации работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 16 февраля, 2015 · Жалоба Нужно придерживаться одного вендора и проблем не будет, переведите всю сеть на микротики - сразу уйдут все проблемы. Нужно, но не микротика. Мы сейчас наоборот вычищаем микротики из ядра. 1100AHx2 тупо не справляются уже на 100 мегабитов. там шейпинг/полисинг захлебывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 февраля, 2015 · Жалоба 1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло? Ну так делайте ее внутри сети - поставьте отдельный микротик, имеющий доступ в интернет через НАТ и всего делов. А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да? Или доступ с реальными IP не нужен? 2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея. Видели, только часто тыкают просто по стандартным и все, на все адреса не будет столько времени сканить. Точно не видели. Зафиксированный лично мной рекорд медленности скана: по 5-10 портов в сутки. Полный скан моего сервера уже шел около двух недель, когда я его засек. 3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-) У вас есть реальные случаи взлома микротика? У меня? Не. Я их не использую. DNS/NTP усилений - хоть попой жуй. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 февраля, 2015 · Жалоба Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-) И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда? Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. У вас есть реальные случаи взлома микротика? У меня? Не. Я их не использую. Так это вам в другом месте надо рассказывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 февраля, 2015 · Жалоба И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда? Вы считаете нормальным, что нужно рубить все сервисы наружу вместо того, чтобы просто залатать дыры в них? :) Почему админ должен страдать от криворуких разработчиков софта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 16 февраля, 2015 · Жалоба Ну я считаю, что снаружи надо рубить все сервисы, которые с этой самой "наружи" не нужны для работоспособности сети. Вне зависимости от потенциального наличия дыр. Маршрутизатор - не сервер, его собственный трафик нужно минимизировать. Но это, конечно, всего лишь мнение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 февраля, 2015 · Жалоба И виноват в открытых вовне портах конечно производитель, а не криворукий админ, правда? Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 февраля, 2015 · Жалоба Вы считаете нормальным, что нужно рубить все сервисы наружу вместо того, чтобы просто залатать дыры в них? :) Почему админ должен страдать от криворуких разработчиков софта? "Это не бага - это фича"(с) Если open dns-relay еще можно было в баги записать, то NTP уж совсем нехорошо. Возможность поднять его для зафильтрованного (или локального) пула и/или тот же релэй на этих же исходных - имхо больше фича. Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-))) Ну NTP по умолчанию не поднят, а релэй незафильтрованым оставлять... )) P.S>Кстати, есть вкряченый SNTP-клиент, с pool.ntp.org работает без претензий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 февраля, 2015 · Жалоба Нужно придерживаться одного вендора и проблем не будет, переведите всю сеть на микротики - сразу уйдут все проблемы. Сразу видно человека, не имевшего дела с реальными сетями. А у микротика внутри что за ось такая стоит ? Честно спиукраденный линух Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 февраля, 2015 · Жалоба Myst, GRE это проприетарный цисковский протокол! Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec? 1000 цисок совершенно невозможно сопровождать. по многим причинам невозможно. А чегойто бывшие ноготковские салоны на них живут ? И всякие конторы типа деньгидаром, за 360% годовых? У нас вообще хохма, третью киску эти денежники у нас палят уже в одной точке ... Может попа им уже вызвать, типа место нехорошее. В нашем кстати здании сидят, не промзона, никаких проблем с электро нет вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 февраля, 2015 · Жалоба Если open dns-relay еще можно было в баги записать, то NTP уж совсем нехорошо. NTP - monlist зарезать какбы достаточно. Это сильно ослабит амплификацию. Но - не сложилось... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 февраля, 2015 · Жалоба А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да? Или доступ с реальными IP не нужен? В сети на микротиках можно себе позволить распределить нагрузку и разнести все так, что те сервисы, которые не требуют белых адресов, рулятся на серых и никаких проблем не возникает. У меня? Не. Я их не использую. Тогда что же даете советы и комментируете? Сразу видно человека, не имевшего дела с реальными сетями. Да тут все кругом админы одного домашнего роутера. Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-))) На микротике все критичные службы отключены из коробки после сброса начального конфига. Точно не видели. Зафиксированный лично мной рекорд медленности скана: по 5-10 портов в сутки. Полный скан моего сервера уже шел около двух недель, когда я его засек. А я не видел. Т.к. на микротик на винбокс никто пароли не перебирает, ломятся обычно по телнет и ссш, при этом даже если и подберут пароль, то там работает ПО, которое зайдет и начнет пулять линуксовые команды, которые микротик не понимает. Поэтому и тут никто его не выведет из строя и пароль не поменяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 17 февраля, 2015 · Жалоба Сааб, ты на глазах деградируешь. При удачном входе по ssh/telnet проверяются все известные синтаксисы. И микротика в том числе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 февраля, 2015 · Жалоба А на тех роутерах, что реальные IP обслуживают, DNS/NTP/syslog не нужен, да? Или доступ с реальными IP не нужен? В сети на микротиках можно себе позволить распределить нагрузку и разнести все так, что те сервисы, которые не требуют белых адресов, рулятся на серых и никаких проблем не возникает. И много таких применительно к предоставлению РЕАЛЬНЫХ IP клиентам? Ну, чтоб фильтры-то на сервис не ставить. У меня? Не. Я их не использую. Тогда что же даете советы и комментируете? Меня раздражают идиотия и очковтирательство. Месье Saab95 написал, что они не нужны и фильтровать ничего не надо. :-))) На микротике все критичные службы отключены из коробки после сброса начального конфига. Еще раз: 1) Вы написали, что службы NTP/DNS не нужны и их можно отключить/они отключены по умолчанию. 2) Я Вас спросил, насколько нужны корректное время и разрешение имен на устройствах, предоставляющих доступ абонентам. Я таки не дождался ответа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 февраля, 2015 · Жалоба И много таких применительно к предоставлению РЕАЛЬНЫХ IP клиентам? Ну, чтоб фильтры-то на сервис не ставить. У меня L3 сеть. Меня раздражают идиотия и очковтирательство. Да тут некоторые люди любят писать чепуху. Еще раз: 1) Вы написали, что службы NTP/DNS не нужны и их можно отключить/они отключены по умолчанию. 2) Я Вас спросил, насколько нужны корректное время и разрешение имен на устройствах, предоставляющих доступ абонентам. Я таки не дождался ответа. У меня на всех устройствах точное время, но NTP сервер работает на отдельном микротике, который имеет серый IP адрес. Сааб, ты на глазах деградируешь. При удачном входе по ssh/telnet проверяются все известные синтаксисы. И микротика в том числе. Если бы это было так, то хоть один мой микротик взломали, но этого так и не случилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 17 февраля, 2015 · Жалоба Если бы это было так, то хоть один мой микротик взломали, но этого так и не случилось. Твои воображаемые микротики действительно трудно взломать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 17 февраля, 2015 · Жалоба У вас есть реальные случаи взлома микротика? как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси. примерно такой список http://pastebin.com/WTgyLDjk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 18 февраля, 2015 · Жалоба Ну, тот факт, что прокся не биндится куда-то в конкретное место, а слушает все интерфейсы - это здорово, в своё время горсть гвоздей сожрал, когда на удалённой точке без удалённого доступа такая особенность выявилась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 18 февраля, 2015 · Жалоба как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси. Это не взлом, а в очередной раз кривые руки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 18 февраля, 2015 · Жалоба Вчера письмо из Микротика пришло. Дескать потерялось ваше предыдущее письмо, не могли бы вы прислать ещё раз описание проблемы и supout.rif? Я в шоке. Почти год прошёл. Стал бы их ждать, пока они gre наладят и мои клиенты сидели бы без выделенных ip. Полный писец. Я ещё летом продал винты с лицензией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2015 · Жалоба как-то прилетала "атака" на соседний сайт, там 100500 обращений по http через микротик прокси. Это не взлом, а в очередной раз кривые руки. Да, так и нет ответов что кому-то микротик взломали, получили доступ и что-то накрутили в настройках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 19 февраля, 2015 · Жалоба вы посмотрите количество хостов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 февраля, 2015 (изменено) · Жалоба Посмотрел. С вероятностью, близкой к максимальной, 1,5к индивидуумов не удосужились для web-proxy два правила доступа в access добавить, разума только на галку "Enabled" хватило и это банально открытый прокси, а не взломанный MT. P.S>Можно и за существование ботнетов в десятки и сотни тысяч нод производителей РС виноватить, а не прокладку между моником и клавой. P.P.S>Не фанат МТ, просто объективной оценки заслуживает любой объект обсуждения. Изменено 19 февраля, 2015 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...