Jump to content
Калькуляторы

Блокировка все различного зла

Навеяно ранее созданными темами, об атаках на сетИ, на различные сервисы и хомяковые устройства.

И вот хотелось бы собрать в этой теме, лучшую практику блокировки все различного зла,

на доступе и на бордюре.

 

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

 

 

На бордюре:
Сети: 10.0.0.0 0.255.255.255
     127.0.0.0 0.255.255.255
     169.254.0.0 0.0.255.255
     172.16.0.0 0.15.255.255
     192.168.0.0 0.0.255.255
     224.0.0.0 15.255.255.255
     240.0.0.0 15.255.255.255

порты: 53 на приход с UPlink'a

 

P.S. Буду благодарен всем, кто не полениться и дополнит данный список!

Edited by RN3DCX

Share this post


Link to post
Share on other sites

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

Share this post


Link to post
Share on other sites

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

deny ip 91.214.68.0/22 any 
deny ip 185.97.252.0/22 any 
deny ip 80.87.204.0/24 any 
deny ip 80.87.207.0/24 any
deny ip 224.0.0.0/3 any
deny ip 0.0.0.0/8 any
deny ip 10.0.0.0/8 any
deny ip 127.0.0.0/8 any
deny ip 192.168.0.0/16 any
deny ip 100.64.0.0/10 any
deny ip 172.16.0.0/12 any 
deny ip 198.18.0.0/15 any 
permit ip any any 

Share this post


Link to post
Share on other sites

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

Share this post


Link to post
Share on other sites

Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом.

Если правильно выбрать точку съема, то и так сойдёт. Выдавание белого IP каждому клиенту динамически из пула - это еще больший геморрой. Пул рано или поздно залетит в блэклисты, целиком. Так что - проще статиком ip пользователю выдавать, за деньги, и себе и для всякой орд.

 

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

 

Ну стандартые acl для bgp нетранзитных.

Share this post


Link to post
Share on other sites

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

 

 

Да, надо было сразу указать, что данная тема включает в себя выдачу белых IP.

 

 

YuryD, сдесь вы правы, что среднестатистическому хомяку пофиг как его выпускают в мир.

NAT не NAT, VK и ОК работают, порнушка качается, казалось бы что еще нужно!

 

Реалники по сути нужен тем, кто делает что возмездное в интернете,

а это по сути юрики законспирируешиеся под физиков, чтоб получить дешевый тариф с белым IP.

 

Итого, скажу за себя, да бы у всех расклад разный.

Сорм нынче в цене. Проще белые IP выдавать, чем в ипотеку вступить, с этим СОРМом.

 

Карусель и белых IP самое оно.

А чтоб пул в блэк листы не попали, нужно в первую очередь создать пару заградительных линий.

Что как раз соответствует данной теме.

Share this post


Link to post
Share on other sites

Вы это, когда сервисы блочите хотя бы 1-2 линию ТП в курсе держите. А то был недавно прецедент с одним из "местныхмегапровайдеров": юрлицо среднего размера поднимали свой почтовик для домена, а почта не ходила. IP-белый, "чистый".

ТП провайдера в две линии пела "у нас всё хорошо", а штатный админ юрлица день-два получал люлей за якобы криворукость. Пока не пригласили меня как "внешнего консультанта" и не стали дотошно рыть со всех сторон в т.ч. извне. Когда взяли на зад "главного" админа у провайдера, он признался "Ну да tcp 25,110 всем блочим с прошлого месяца. Завтра пришлите письмо на бумаге или скан, послезавтра открою если успею".

Почему ТП была не в курсе "нововведений" - вопрос административный.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Ancient, ужас ситуации в том, что он еще до меня нашел косяк с закрытыми портами, но парню никто не верил. Тем более, техподдержка провайдера клятвенно заверяла, что "никаких ограничений на доступ к службам нет", "мы ничего не фильтруем" и "вышлите подробности на e-mail help@... ".

Меня потому и позвали, что админ конторы и техподдержка провайдера "уперлись лбами". Клиент видит факт. Техподдержка о "нововведениях" ни ухом ни рылом.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

 

Мож тогда и заодно:

UDP 3540 - PNRP

UDP 3702 - WS-Discovery

UDP 5355 - LLMNR

Share this post


Link to post
Share on other sites

Зафиксировано было внутри сети или из мира прилетело?

Из внешки, конечно:

 

Jan 11 11:25:32 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.XXX(520), 1 packet
Jan 11 11:31:17 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.YYY(520), 1 packet

Share this post


Link to post
Share on other sites

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

Share this post


Link to post
Share on other sites

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Edited by basterik

Share this post


Link to post
Share on other sites

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Действительно, вам же для работы в сети Internet, эти порты обязательно нужны!

Не подскажите для каких целей?

 

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Подобными не несущими смыла фразами тут каждый 2-й бросается...

Приведите факты, ссылки на ликбез?

Share this post


Link to post
Share on other sites

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

Вот за резку Ethernet фреймов, действительно надо расстреливать.

 

Не подскажите для каких целей?

 

Я не спрашиваю Вас, куда Вы тратите мои деньги, а Вы не интересуйтесь как я пользуюсь Вашей услугой. Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

 

Приведите факты, ссылки на ликбез?

 

https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8

Share this post


Link to post
Share on other sites

Само то для изучения диванными хомячками и приходящими эникеями. :-)

 

Желающие могут протестировать предложение прочитать это на первом попавшемся владельце выставленного голой жопой в интернет кетайского видеорегистратора.

Share this post


Link to post
Share on other sites

....

А в чем проблема ? Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

Share this post


Link to post
Share on other sites

Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному.

ПЫСЫ. Кейн 2?

Share this post


Link to post
Share on other sites

А в чем проблема ?

Антарктику не открою, но еще раз повторюсь,

основная проблема это увеличении трафика + бесполезная нагрузка на железо.

 

Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

И именно в этой теме я и ищу пути решения подобных ситуаций.

 

 

Но пока благодаря молчунам, тема не особо развивается....

P.S. Спасибо тем, кто уже внес вклад, поделившись опытом!

Share this post


Link to post
Share on other sites

Не подскажите для каких целей?

А вы с какой целью интересуетесь?

В смысле работает - не трож.

Я же уже писал - делайте рейтлимит на входящие пакеты из инета на порты которые используются для амплификации: 53, 123.

Накой хер резать остальное, если оно и вам не мешает и вас никто не просил?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.