feeman Опубликовано 11 января, 2017 · Жалоба Согласен, что рейтлимит целесообразен на тех портах которые действительно нужны, а это 53 и 123, других пока не знаю. Но вот лимитировать остальные порты которые участвуют только в спаме, это лишняя трата ресурсов железа. Так, что для спам портов, которые по факту не нужны пользователю и не влияют на качество услуги, drop или deny самое то! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 января, 2017 · Жалоба Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах. Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному. ПЫСЫ. Кейн 2? Ну у меня все ограничения описаны для тарифа "видеорегистратор со статическим реальным ип". Клиент сам выбирает, что ему надо. А ограничения - они и ТП оберегают от злобных клиентов, когда их железка или виснет, или выжирает всю тарифную полосу. Да и пикантность ситуации в том, что регистратор клиенту впаривают и настраивают вообще не сотрудники провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 11 января, 2017 · Жалоба Господа, подскажите, а стоим ли игра свечь? Вот думаю запретить фрагментацию пакетов? С теоретической стороны вроде как гуд, злые дядьки не смогут переполнить буфер, а вот с практической ХЗ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2017 · Жалоба Так, что для спам портов, которые по факту не нужны пользователю и не влияют на качество услуги, drop или deny самое то! Ну вот откуда тебе знать что юзеру надо!? А завтра вот точно так же доктор в клинике решит что у тебя пальцев сильно много, хватило бы и по два на каждой руке. Да и два уха перебор, одного достаточно. Вот думаю запретить фрагментацию пакетов? НА_ХЕ_РА? С теоретической стороны вроде как гуд, злые дядьки не смогут переполнить буфер, а вот с практической ХЗ... Чей буфер? Ты в курсе что оно собирается только на конечных хостах или там где перепад MTU/MRU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 11 января, 2017 · Жалоба Тут уже умные дядьки написали - резать сурово полисить только то что используется при амплификации - dns и ntp. Все остальное трогать тупо бессмысленно. Если кого из абонентов и поломают, то это исключительно проблемы самого абонента. Вдобавок ломают и угоняют в ботнет, не поверите, в основном soho роутеры и подобную фигню, пользуясь при этом технологическими отверстиями в реализациях ssh, telnet, http итд. Их тоже закрывать предлагается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба Во-во, полисить порты без разбора, это верный путь проца в полку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 11 января, 2017 · Жалоба Тут уже умные дядьки написали - резать сурово полисить только то что используется при амплификации - dns и ntp. Все остальное трогать тупо бессмысленно. Список СИЛЬНО неполный: https://www.us-cert.gov/ncas/alerts/TA14-017A Потому RIP и докинул. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 11 января, 2017 · Жалоба Вот думаю запретить фрагментацию пакетов? С теоретической стороны вроде как гуд Не гуд. Не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 11 января, 2017 · Жалоба Ну вот откуда тебе знать что юзеру надо!? Хомяку, нужен интернет без деградаций. И он точно у себя не чего настраивать не будет, ибо в падлу. Если работает плохо, меняем провайдеров по кругу, пока нормально не заработает. Далее по тексту переходим к сервисам которые запущены у хомяка. А это 90% виндовые сервисы: MICROSOFT-DS, SSDP, PNRP, WS-Discovery, LLMN, WSDAPI и т.д. Выход в мир им не нужен, у них задачи локальные. Но имея выход в мир, данные сервисы превращаются в источник разного рода атак. Что в итоге приведет к засёру выделенной хомяку полосы. А дальше еще интересней. Хомяк напрягает 3-ю линию ТП. ТП скидывает вопрос на 1-ю линию. 1-я линия применяет меры по фильтрации трафика хомяка. После выполнения заявки, у хомяка начините работать инэт в штатном режиме, но хомяк все рано считает что провайдер говно. Т.к. стандартная фраза хомяка: у меня все в порядке, это у вас там проблемы. И вот вопрос, нужно ли фильтровать порты или лучше постоянные негативные отзывы хомяков? Вот думаю запретить фрагментацию пакетов? С теоретической стороны вроде как гуд Не гуд. Не надо. Спасибо! Т.к. очень не хотелось проходить эпизод с граблями... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 января, 2017 · Жалоба Ну опять пошла тема не в туда.... Многие ли частным лицам дают услугу статического реальника ? Я - не даю, нету у меня их столько. Хочешь реальник - пожалуйста на pptp динамический за доп деньги. Статические реальники у меня могут получить ИП и юрлица, с соотв тарифами и соотв отношением. Вот тут то и корень проблемы, ну нету у ИП квалифицированных админов, а реальник им хочется, в 90% для видеонаблюдения(оно-же дырявый регистратор). Настроить эти нонейм регистраторы могут совершенно посторонние люди. Сколько в них дыр безопасности, и как их закрыть - настройшики и понятия не имеют. И многократные нервотрёпки с этой категорией пользователей привели к необходимости ввести именно этот тариф для видеонаблюдения, с соотв acl. С юрлицами как правило проще, у них есть админ какой-никакой... Ну и отношение к их хотелкам лучше, ввиду индивидуальности тарифов :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 января, 2017 · Жалоба Когда клиент у нас просит статический реальник, я просто с ним беседую, или с его админом, с указанием всех бяк... И если админ адекватный, то просто уточняю, чего бы ему оставить, а чего заблочить. Если клиент неадекватный и хочет смотреть на свой магазин из дома - настоятельно ему рекомендую тариф для видеонаблюдения с соотв acl. Пока помогает ТП жить спокойно, без воплей "отчего я не вижу кто в моём магазине в сортир пошел?" Кстати - эти продаваны говнорегистраторов - редкостные негодяи. Внедряют регистратор на 4-8 камер, радостно из локалки показывают изумительное качество картинки, а потом говорят - да вам всего 1Мбит хватит :) И хозяин доволен, сэкономил :) А потом снаружи - что-то не видно нихрена, да и люди как блохи скачут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 11 января, 2017 · Жалоба На бордюре: Сети: 10.0.0.0 0.255.255.255 127.0.0.0 0.255.255.255 169.254.0.0 0.0.255.255 172.16.0.0 0.15.255.255 192.168.0.0 0.0.255.255 224.0.0.0 15.255.255.255 240.0.0.0 15.255.255.255 Извиняюсь за возможный оффтоп. Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 января, 2017 · Жалоба Извиняюсь за возможный оффтоп. Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ? Если есть bgp с несколькими пирами, то это стандартно для bgp. Если только дефолт - то и на uplink повесить на out. Если нету bgp - то на out во внешний мир. Ну не должны серые сети вылезать внаружу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 11 января, 2017 · Жалоба YuryD, благодарствую за развернутый ответ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 января, 2017 · Жалоба вообще на ин ) чтобы фейки не прилетели со стороны апстрима.. а внутри сети на каждом л3 интерфейсе (куда абоны сходятся) должен висеть urpf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2017 · Жалоба А это 90% виндовые сервисы: MICROSOFT-DS, SSDP, PNRP, WS-Discovery, LLMN, WSDAPI и т.д. Выход в мир им не нужен, у них задачи локальные. Бред же. Хомяки нынче закрыты фаерами, мс у них всё поблочило. А кто незакрыт - того вирусами быстро накрывает и он переставляет венду. На роутерах этого нет почти никогда. Собственно SSDP вообще по мультикасту ходит а он не маршрутизируется. Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ? В /dev/null ибо три подсети из них вообще не маршрутизируемые. Остальное никуда не приземлится ибо для этого маршрута нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 11 января, 2017 · Жалоба Собственно SSDP вообще по мультикасту ходит а он не маршрутизируется. Уверен? Сеть посканируй или тут почитай: https://www.corero.com/blog/597-ssdp-amplified-attacks-a-sitting-duck-against-sophisticated-ddos-analytics-.html (Сам нескольким клиентам закрывал.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 11 января, 2017 · Жалоба Господа, подскажите. По ходу развития данной темы, пришло просветление, что надо бы за полисить распространенные порты: DNS, NTP, SNMP которые подвергаются амплификации. Если я правило понял, нужно указать полосу, которая считалась бы оптимальным знанием, а всё что выше drop. И вот вопрос, какую полосу указать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 11 января, 2017 · Жалоба NTP мизерную полосу утилизирует. Мало что из железа сейчас умеет меньше 64 килобит нарезать, а этого вполне за глаза. SNMP вообще исчезающе мало где у хомяков поддерживается как класс, смысла нет особенного. Кто это в состоянии включить, тот обычно уже и сам соображает доступ с мира прикрыть. DNS сходу не скажу, это сильно зависит от конкретной сети. Хомяки нынче закрыты фаерами, мс у них всё поблочило. Плюсую. А у большинства вообще роутеры стоят. И если уж вырезаете пачками порты, то об этом не просто техподдержка должна знать. Это должно быть как минимум указано в личном кабинете, и желательно вообще дать абоненту возможность фильтрацию отключать там же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 11 января, 2017 · Жалоба sexst, благодарю за комментарий. Остался самый интересный вопрос, про полосу для DNS !? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 11 января, 2017 · Жалоба Остался самый интересный вопрос, про полосу для DNS !? Полосу для DNS смысла резать немного, там трафик мизерный. Даже 128KBpS на клиента - c головой хватит. Рейт надо резать, а ещё лучше редиректить все запросы на свой DNS, приняв там соответствующие меры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 11 января, 2017 · Жалоба редиректить все запросы на свой DNS, приняв там соответствующие меры. +1. Так и делаем. Там же и ркн фильтруем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба А редирект каким образом выполняется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 11 января, 2017 · Жалоба iptables -t nat -I PREROUTING -i ppp+ -s 0/0 -p udp --dport 53 -j DNAT --to-destination XXX.XXX.XXX.XXX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 11 января, 2017 · Жалоба Полосу для DNS смысла резать немного, там трафик мизерный. Даже 128KBpS на клиента - c головой хватит. Рейт надо резать, а ещё лучше редиректить все запросы на свой DNS, приняв там соответствующие меры. На нас за вариант "заворачивать все к себе" несколько раз подавали жалобу в соответствующие надзорные организации. Так что на свой страх и риск. DNS лучше не полисить, а шейпить с достаточно большим размером ведра и маленькой скоростью наполнения (по мне так 128k отлично выглядит). Ибо DNS запросы обычно летят плотной пачкой (кто-то лезет на любимый ресурс, а там в коде еще куча хлама с разных доменов тянется), потом наступает достаточно длительное затишье. Шейпинг даст возможность нормально пропустить всплеск за счет емкости ведра; полисинг же обязательно выкинет что-то валидное, а хомяку придется ждать пока сообразится и слетает туда-обратно повторный запрос. Это все сильно снижает т.н. user experience и вызывает недовольства "медленным интернетом". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...