[feeman]

Согласен, что рейтлимит целесообразен на тех портах которые действительно нужны, а это 53 и 123, других пока не знаю.

Но вот лимитировать остальные порты которые участвуют только в спаме, это лишняя трата ресурсов железа.

Так, что для спам портов, которые по факту не нужны пользователю и не влияют на качество услуги, drop или deny самое то!

[YuryD]

Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах.

Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному.

ПЫСЫ. Кейн 2?

 

Ну у меня все ограничения описаны для тарифа "видеорегистратор со статическим реальным ип". Клиент сам выбирает, что ему надо. А ограничения - они и ТП оберегают от злобных клиентов, когда их железка или виснет, или выжирает всю тарифную полосу. Да и пикантность ситуации в том, что регистратор клиенту впаривают и настраивают вообще не сотрудники провайдера.

[feeman]

Господа, подскажите, а стоим ли игра свечь?

Вот думаю запретить фрагментацию пакетов?

С теоретической стороны вроде как гуд, злые дядьки не смогут переполнить буфер, а вот с практической ХЗ...

[Ivan_83]

Так, что для спам портов, которые по факту не нужны пользователю и не влияют на качество услуги, drop или deny самое то!

Ну вот откуда тебе знать что юзеру надо!?

А завтра вот точно так же доктор в клинике решит что у тебя пальцев сильно много, хватило бы и по два на каждой руке.

Да и два уха перебор, одного достаточно.

 

Вот думаю запретить фрагментацию пакетов?

НА_ХЕ_РА?

 

С теоретической стороны вроде как гуд, злые дядьки не смогут переполнить буфер, а вот с практической ХЗ...

Чей буфер?

Ты в курсе что оно собирается только на конечных хостах или там где перепад MTU/MRU?

[sexst]

Тут уже умные дядьки написали - резать сурово полисить только то что используется при амплификации - dns и ntp. Все остальное трогать тупо бессмысленно. Если кого из абонентов и поломают, то это исключительно проблемы самого абонента. Вдобавок ломают и угоняют в ботнет, не поверите, в основном soho роутеры и подобную фигню, пользуясь при этом технологическими отверстиями в реализациях ssh, telnet, http итд. Их тоже закрывать предлагается?

[RN3DCX]

Во-во, полисить порты без разбора, это верный путь проца в полку.

[snvoronkov]

Тут уже умные дядьки написали - резать сурово полисить только то что используется при амплификации - dns и ntp. Все остальное трогать тупо бессмысленно.

Список СИЛЬНО неполный:

 

https://www.us-cert.gov/ncas/alerts/TA14-017A

 

Потому RIP и докинул.

[pppoetest]

Вот думаю запретить фрагментацию пакетов?

С теоретической стороны вроде как гуд

Не гуд. Не надо.

[feeman]

Ну вот откуда тебе знать что юзеру надо!?

Хомяку, нужен интернет без деградаций.

И он точно у себя не чего настраивать не будет, ибо в падлу.

Если работает плохо, меняем провайдеров по кругу, пока нормально не заработает.

 

Далее по тексту переходим к сервисам которые запущены у хомяка.

А это 90% виндовые сервисы: MICROSOFT-DS, SSDP, PNRP, WS-Discovery, LLMN, WSDAPI и т.д.

Выход в мир им не нужен, у них задачи локальные.

Но имея выход в мир, данные сервисы превращаются в источник разного рода атак.

Что в итоге приведет к засёру выделенной хомяку полосы.

А дальше еще интересней.

Хомяк напрягает 3-ю линию ТП.

ТП скидывает вопрос на 1-ю линию.

1-я линия применяет меры по фильтрации трафика хомяка.

После выполнения заявки, у хомяка начините работать инэт в штатном режиме, но хомяк все рано считает что провайдер говно.

Т.к. стандартная фраза хомяка: у меня все в порядке, это у вас там проблемы.

 

И вот вопрос, нужно ли фильтровать порты или лучше постоянные негативные отзывы хомяков?

 

 

Вот думаю запретить фрагментацию пакетов?

С теоретической стороны вроде как гуд

Не гуд. Не надо.

 

Спасибо!

Т.к. очень не хотелось проходить эпизод с граблями...

[YuryD]

Ну опять пошла тема не в туда.... Многие ли частным лицам дают услугу статического реальника ? Я - не даю, нету у меня их столько. Хочешь реальник - пожалуйста на pptp динамический за доп деньги. Статические реальники у меня могут получить ИП и юрлица, с соотв тарифами и соотв отношением. Вот тут то и корень проблемы, ну нету у ИП квалифицированных админов, а реальник им хочется, в 90% для видеонаблюдения(оно-же дырявый регистратор). Настроить эти нонейм регистраторы могут совершенно посторонние люди. Сколько в них дыр безопасности, и как их закрыть - настройшики и понятия не имеют. И многократные нервотрёпки с этой категорией пользователей привели к необходимости ввести именно этот тариф для видеонаблюдения, с соотв acl. С юрлицами как правило проще, у них есть админ какой-никакой... Ну и отношение к их хотелкам лучше, ввиду индивидуальности тарифов :)

[YuryD]

Когда клиент у нас просит статический реальник, я просто с ним беседую, или с его админом, с указанием всех бяк... И если админ адекватный, то просто уточняю, чего бы ему оставить, а чего заблочить. Если клиент неадекватный и хочет смотреть на свой магазин из дома - настоятельно ему рекомендую тариф для видеонаблюдения с соотв acl. Пока помогает ТП жить спокойно, без воплей "отчего я не вижу кто в моём магазине в сортир пошел?" Кстати - эти продаваны говнорегистраторов - редкостные негодяи. Внедряют регистратор на 4-8 камер, радостно из локалки показывают изумительное качество картинки, а потом говорят - да вам всего 1Мбит хватит :) И хозяин доволен, сэкономил :) А потом снаружи - что-то не видно нихрена, да и люди как блохи скачут...

[Jora_Cornev]

На бордюре:
Сети: 10.0.0.0 0.255.255.255
     127.0.0.0 0.255.255.255
     169.254.0.0 0.0.255.255
     172.16.0.0 0.15.255.255
     192.168.0.0 0.0.255.255
     224.0.0.0 15.255.255.255
     240.0.0.0 15.255.255.255

Извиняюсь за возможный оффтоп.

Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ?

[YuryD]

Извиняюсь за возможный оффтоп.

Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ?

 

Если есть bgp с несколькими пирами, то это стандартно для bgp. Если только дефолт - то и на uplink повесить на out. Если нету bgp - то на out во внешний мир. Ну не должны серые сети вылезать внаружу.

[Jora_Cornev]

YuryD, благодарствую за развернутый ответ!

[zhenya`]

вообще на ин ) чтобы фейки не прилетели со стороны апстрима..

 

а внутри сети на каждом л3 интерфейсе (куда абоны сходятся) должен висеть urpf.

[Ivan_83]

А это 90% виндовые сервисы: MICROSOFT-DS, SSDP, PNRP, WS-Discovery, LLMN, WSDAPI и т.д. Выход в мир им не нужен, у них задачи локальные.

Бред же.

Хомяки нынче закрыты фаерами, мс у них всё поблочило.

А кто незакрыт - того вирусами быстро накрывает и он переставляет венду.

На роутерах этого нет почти никогда.

Собственно SSDP вообще по мультикасту ходит а он не маршрутизируется.

 

Куда лучше эти правила повесить? ACL-ем на UPlink интерфейс или ip prefix-list'ом в BGP ?

В /dev/null ибо три подсети из них вообще не маршрутизируемые.

Остальное никуда не приземлится ибо для этого маршрута нет.

[snvoronkov]

Собственно SSDP вообще по мультикасту ходит а он не маршрутизируется.

Уверен? Сеть посканируй или тут почитай: https://www.corero.com/blog/597-ssdp-amplified-attacks-a-sitting-duck-against-sophisticated-ddos-analytics-.html

 

(Сам нескольким клиентам закрывал.)

[Jora_Cornev]

Господа, подскажите.

По ходу развития данной темы, пришло просветление, что надо бы за полисить распространенные порты: DNS, NTP, SNMP которые подвергаются амплификации.

Если я правило понял, нужно указать полосу, которая считалась бы оптимальным знанием, а всё что выше drop.

И вот вопрос, какую полосу указать?

[sexst]

NTP мизерную полосу утилизирует. Мало что из железа сейчас умеет меньше 64 килобит нарезать, а этого вполне за глаза.

SNMP вообще исчезающе мало где у хомяков поддерживается как класс, смысла нет особенного. Кто это в состоянии включить, тот обычно уже и сам соображает доступ с мира прикрыть.

DNS сходу не скажу, это сильно зависит от конкретной сети.

Хомяки нынче закрыты фаерами, мс у них всё поблочило.

Плюсую. А у большинства вообще роутеры стоят.

 

И если уж вырезаете пачками порты, то об этом не просто техподдержка должна знать. Это должно быть как минимум указано в личном кабинете, и желательно вообще дать абоненту возможность фильтрацию отключать там же.

[Jora_Cornev]

sexst, благодарю за комментарий.

Остался самый интересный вопрос, про полосу для DNS !?

[andryas]

Остался самый интересный вопрос, про полосу для DNS !?

 

Полосу для DNS смысла резать немного, там трафик мизерный. Даже 128KBpS на клиента - c головой хватит. Рейт надо резать, а ещё лучше редиректить все запросы на свой DNS, приняв там соответствующие меры.

[myth]

редиректить все запросы на свой DNS, приняв там соответствующие меры.

+1. Так и делаем. Там же и ркн фильтруем.

[RN3DCX]

А редирект каким образом выполняется?

[myth]

iptables -t nat -I PREROUTING -i ppp+ -s 0/0 -p udp --dport 53 -j DNAT --to-destination XXX.XXX.XXX.XXX

[sexst]

Полосу для DNS смысла резать немного, там трафик мизерный. Даже 128KBpS на клиента - c головой хватит. Рейт надо резать, а ещё лучше редиректить все запросы на свой DNS, приняв там соответствующие меры.

На нас за вариант "заворачивать все к себе" несколько раз подавали жалобу в соответствующие надзорные организации. Так что на свой страх и риск.

 

DNS лучше не полисить, а шейпить с достаточно большим размером ведра и маленькой скоростью наполнения (по мне так 128k отлично выглядит). Ибо DNS запросы обычно летят плотной пачкой (кто-то лезет на любимый ресурс, а там в коде еще куча хлама с разных доменов тянется), потом наступает достаточно длительное затишье. Шейпинг даст возможность нормально пропустить всплеск за счет емкости ведра; полисинг же обязательно выкинет что-то валидное, а хомяку придется ждать пока сообразится и слетает туда-обратно повторный запрос. Это все сильно снижает т.н. user experience и вызывает недовольства "медленным интернетом".