Перейти к содержимому
Калькуляторы

Блокировка все различного зла

Навеяно ранее созданными темами, об атаках на сетИ, на различные сервисы и хомяковые устройства.

И вот хотелось бы собрать в этой теме, лучшую практику блокировки все различного зла,

на доступе и на бордюре.

 

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

 

 

На бордюре:
Сети: 10.0.0.0 0.255.255.255
     127.0.0.0 0.255.255.255
     169.254.0.0 0.0.255.255
     172.16.0.0 0.15.255.255
     192.168.0.0 0.0.255.255
     224.0.0.0 15.255.255.255
     240.0.0.0 15.255.255.255

порты: 53 на приход с UPlink'a

 

P.S. Буду благодарен всем, кто не полениться и дополнит данный список!

Изменено пользователем RN3DCX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

deny ip 91.214.68.0/22 any 
deny ip 185.97.252.0/22 any 
deny ip 80.87.204.0/24 any 
deny ip 80.87.207.0/24 any
deny ip 224.0.0.0/3 any
deny ip 0.0.0.0/8 any
deny ip 10.0.0.0/8 any
deny ip 127.0.0.0/8 any
deny ip 192.168.0.0/16 any
deny ip 100.64.0.0/10 any
deny ip 172.16.0.0/12 any 
deny ip 198.18.0.0/15 any 
permit ip any any 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом.

Если правильно выбрать точку съема, то и так сойдёт. Выдавание белого IP каждому клиенту динамически из пула - это еще больший геморрой. Пул рано или поздно залетит в блэклисты, целиком. Так что - проще статиком ip пользователю выдавать, за деньги, и себе и для всякой орд.

 

у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика.

 

Ну стандартые acl для bgp нетранзитных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мы еще 111 udp (PORTMAP) тоже усилители юзаються

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор.

Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву.

 

 

Да, надо было сразу указать, что данная тема включает в себя выдачу белых IP.

 

 

YuryD, сдесь вы правы, что среднестатистическому хомяку пофиг как его выпускают в мир.

NAT не NAT, VK и ОК работают, порнушка качается, казалось бы что еще нужно!

 

Реалники по сути нужен тем, кто делает что возмездное в интернете,

а это по сути юрики законспирируешиеся под физиков, чтоб получить дешевый тариф с белым IP.

 

Итого, скажу за себя, да бы у всех расклад разный.

Сорм нынче в цене. Проще белые IP выдавать, чем в ипотеку вступить, с этим СОРМом.

 

Карусель и белых IP самое оно.

А чтоб пул в блэк листы не попали, нужно в первую очередь создать пару заградительных линий.

Что как раз соответствует данной теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы это, когда сервисы блочите хотя бы 1-2 линию ТП в курсе держите. А то был недавно прецедент с одним из "местныхмегапровайдеров": юрлицо среднего размера поднимали свой почтовик для домена, а почта не ходила. IP-белый, "чистый".

ТП провайдера в две линии пела "у нас всё хорошо", а штатный админ юрлица день-два получал люлей за якобы криворукость. Пока не пригласили меня как "внешнего консультанта" и не стали дотошно рыть со всех сторон в т.ч. извне. Когда взяли на зад "главного" админа у провайдера, он признался "Ну да tcp 25,110 всем блочим с прошлого месяца. Завтра пришлите письмо на бумаге или скан, послезавтра открою если успею".

Почему ТП была не в курсе "нововведений" - вопрос административный.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну штатный админ юрлица не зря люлей получал раз даже nmap запустить не смог

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ancient, ужас ситуации в том, что он еще до меня нашел косяк с закрытыми портами, но парню никто не верил. Тем более, техподдержка провайдера клятвенно заверяла, что "никаких ограничений на доступ к службам нет", "мы ничего не фильтруем" и "вышлите подробности на e-mail help@... ".

Меня потому и позвали, что админ конторы и техподдержка провайдера "уперлись лбами". Клиент видит факт. Техподдержка о "нововведениях" ни ухом ни рылом.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот собственно первая редакция:

 

На доступе:
порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900

+2869, 3587, 5357, 5358

 

Мож тогда и заодно:

UDP 3540 - PNRP

UDP 3702 - WS-Discovery

UDP 5355 - LLMNR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из сегодняшних сканов:

 

+ UDP 520 - RIP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зафиксировано было внутри сети или из мира прилетело?

Из внешки, конечно:

 

Jan 11 11:25:32 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.XXX(520), 1 packet
Jan 11 11:31:17 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.YYY(520), 1 packet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Изменено пользователем basterik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете.

Действительно, вам же для работы в сети Internet, эти порты обязательно нужны!

Не подскажите для каких целей?

 

Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас.

Подобными не несущими смыла фразами тут каждый 2-й бросается...

Приведите факты, ссылки на ликбез?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы не поверите, еще есть и привела которые режут длину пакета.

За это наверное уже расстрел!

 

Вот за резку Ethernet фреймов, действительно надо расстреливать.

 

Не подскажите для каких целей?

 

Я не спрашиваю Вас, куда Вы тратите мои деньги, а Вы не интересуйтесь как я пользуюсь Вашей услугой. Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

 

Приведите факты, ссылки на ликбез?

 

https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Само то для изучения диванными хомячками и приходящими эникеями. :-)

 

Желающие могут протестировать предложение прочитать это на первом попавшемся владельце выставленного голой жопой в интернет кетайского видеорегистратора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

....

А в чем проблема ? Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному.

ПЫСЫ. Кейн 2?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем проблема ?

Антарктику не открою, но еще раз повторюсь,

основная проблема это увеличении трафика + бесполезная нагрузка на железо.

 

Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ?

И именно в этой теме я и ищу пути решения подобных ситуаций.

 

 

Но пока благодаря молчунам, тема не особо развивается....

P.S. Спасибо тем, кто уже внес вклад, поделившись опытом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не подскажите для каких целей?

А вы с какой целью интересуетесь?

В смысле работает - не трож.

Я же уже писал - делайте рейтлимит на входящие пакеты из инета на порты которые используются для амплификации: 53, 123.

Накой хер резать остальное, если оно и вам не мешает и вас никто не просил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.