ne-vlezay80 Posted November 9, 2017 Posted November 9, 2017 Есть хостер, у которого в правилах есть: - Добавлять и использовать не принадлежащие вам IP адреса. В случае выявления таких злоупотреблений мы немедленно блокируем сервер и выставляем штраф от 500$ до 1000$ Короче, меня интерисует, как избежать случайное использование чужих ip адресов. Предположим, на vps у этого хостера поступит пакет, которые в себе содержит: source address 1.1.1.1 destination address 8.8.8.8 Будут ли какие либо санкции за это со стороны хостера. А также может ли его система подумать, что я использую чужие ip адреса. [br] [br] Я правда нашёл решение, это прописать в iptables все свои сети. Но, это решение не помогает, если на роутере используется nat, а на клиенте snat. Получаем мы примерно следующее: 18:37:34.237225 IP 100.64.7.73 > 8.8.8.8: ICMP echo request, id 2586, seq 218, length 64 18:37:34.250357 IP 8.8.8.8 > 100.64.7.73: ICMP echo reply, id 2586, seq 218, length 64 18:37:34.250992 IP 8.8.8.8 > 1.1.1.1: ICMP echo reply, id 2586, seq 218, length 64 И самое главное, что это практически невозможно зафильтровать. Вставить ник Quote
vop Posted November 9, 2017 Posted November 9, 2017 7 минут назад, ne-vlezay80 сказал: .... Будут ли какие либо санкции за это со стороны хостера. .... А спросить у хостера? Везде сидят нормальные люди. Вставить ник Quote
rdc Posted November 9, 2017 Posted November 9, 2017 1 час назад, ne-vlezay80 сказал: Предположим, на vps у этого хостера поступит пакет Это неважно. Конфликт ip-адресов выявляется через arp. А вообще, правильнее всего будет бежать от такого хостера подальше и побыстрее. Это какие-то нищеброды, которые не сумели распихать клиентов по вланам… Вставить ник Quote
ne-vlezay80 Posted November 9, 2017 Author Posted November 9, 2017 4 часа назад, vop сказал: А спросить у хостера? Везде сидят нормальные люди. Короче, спросил хостера. И в результате я получил предупреждение. Вставить ник Quote
RN3DCX Posted November 9, 2017 Posted November 9, 2017 29 минут назад, ne-vlezay80 сказал: И в результате я получил предупреждение. Страна должна знать своих героев.... Название хостера в студию!!! Вставить ник Quote
vop Posted November 9, 2017 Posted November 9, 2017 У нас манагер - немец - при любых проблемах с тех-площадкой, сразу хватал трубку, и прежде чем начать разговор о роблемах предлагал сразу выяснить, кто кому платит деньги... Я так не умею. :) Вставить ник Quote
ne-vlezay80 Posted November 10, 2017 Author Posted November 10, 2017 4 часа назад, RN3DCX сказал: Страна должна знать своих героев.... Название хостера в студию!!! Вот этот: http://cp.inferno.name/ Дело в том, что я хотел выяснить, можно ли такие пакеты посылать, или нельзя. А также хотел предложить реализовать хотя бы у них привязку по ip+mac, ip+port. Но, токого развития событий я не ожидал. Вставить ник Quote
ixi Posted November 10, 2017 Posted November 10, 2017 10 часов назад, ne-vlezay80 сказал: Короче, спросил хостера. И в результате я получил предупреждение. Предупреждение, не штраф? Это естественно. С их точки зрения тут два варианта: или вы собираетесь спуфить, что их не устраивает, или ваш софт настроен неправильно, что их также не устраивает. "Практически невозможно" -- совсем не аргумент. Вставить ник Quote
vlad11 Posted November 12, 2017 Posted November 12, 2017 На своих серверах настраиваете корректно правила firewall. Блокируйте все пакеты из приватных диапазонов и все исходящие пакеты с IP не от вашего сервера. А вообще, почитайте о инициативе Mutually Agreed Norms for Routing Security (MANRS). Вставить ник Quote
RN3DCX Posted November 12, 2017 Posted November 12, 2017 1 час назад, vlad11 сказал: Блокируйте все пакеты из приватных диапазонов Нормальный поставщик услуг, автоматом это делает за пользователя. Вставить ник Quote
vlad11 Posted November 12, 2017 Posted November 12, 2017 Это не всегда возможно, память маршрутизатора не безразмерная :) Вставить ник Quote
FATHER_FBI Posted November 12, 2017 Posted November 12, 2017 В 10.11.2017 в 03:32, ne-vlezay80 сказал: Вот этот: http://cp.inferno.name/ Дело в том, что я хотел выяснить, можно ли такие пакеты посылать, или нельзя. А также хотел предложить реализовать хотя бы у них привязку по ip+mac, ip+port. Но, токого развития событий я не ожидал. Что-то ценник через чур конский у этого хостера. Если вам нужен выделенный сервер, могу посоветовать вот этих пацанов цены смешные (не реклама) Вставить ник Quote
RN3DCX Posted November 12, 2017 Posted November 12, 2017 38 минут назад, vlad11 сказал: Это не всегда возможно, память маршрутизатора не безразмерная :) Сказки рассказываете.... Любой циске 7200 и старше это по плечу! Вставить ник Quote
ne-vlezay80 Posted November 13, 2017 Author Posted November 13, 2017 14 часов назад, FATHER_FBI сказал: Что-то ценник через чур конский у этого хостера. Если вам нужен выделенный сервер, могу посоветовать вот этих пацанов цены смешные (не реклама) У них запрошено использовать vpn. Вставить ник Quote
vlad11 Posted November 13, 2017 Posted November 13, 2017 15 часов назад, RN3DCX сказал: Сказки рассказываете.... Любой циске 7200 и старше это по плечу! Деклариуется 1Гбит и 2Mpps, а это Датацентр, там 10Г и выше. Никто ради 10 долларового клиента не будет тратить время на написания правил. Заварачивают траф на snort и настраивают варнинги на разные профили трафа. ТС гоняет траф с разных ДЦ через VPN, чтоб не вычислили локацию его/клиентских ферм ботов-спаммеров. Вставить ник Quote
FATHER_FBI Posted November 13, 2017 Posted November 13, 2017 (edited) 1 час назад, ne-vlezay80 сказал: У них запрошено использовать vpn. Крутится у меня там пару машин с GRE, после того как в Украине запретили vk. Поднял систему настроил GRE, завернул свой трафик и еще с десятка человек. Они об этом знают и нормально. А был случай, поднял для одного клиента там винду, он подключился и сразу с его компа приземлилась вирусня. Сервер стал DDOS машиной с гигабитным каналом. Пару дней сервер доссил все живое на этой планете, когда начал разбираться, ребятам вообще наплевать какая там активность. Спросил у них графики порта, они их не ведут, попросил дамп трафика, у них их нет. Edited November 13, 2017 by FATHER_FBI Вставить ник Quote
RN3DCX Posted November 13, 2017 Posted November 13, 2017 4 часа назад, vlad11 сказал: Деклариуется 1Гбит и 2Mpps, а это Датацентр, там 10Г и выше. Не понятен полет вашей мысли? При чем здесь ДатаЦентр? Услуги то предоставляет хостер! На площадке ДатаЦентров ... Может быть у Ник.РУ или Рег.РУ, я еще поверю в пропускную возможность по берсту в 10Г. А вот у таких как указал ТС (cp.inferno), вряд ли, им в жизни не выйти на такие скоростя.... Вставить ник Quote
ne-vlezay80 Posted November 13, 2017 Author Posted November 13, 2017 4 часа назад, FATHER_FBI сказал: Крутится у меня там пару машин с GRE, после того как в Украине запретили vk. Поднял систему настроил GRE, завернул свой трафик и еще с десятка человек. Они об этом знают и нормально. А был случай, поднял для одного клиента там винду, он подключился и сразу с его компа приземлилась вирусня. Сервер стал DDOS машиной с гигабитным каналом. Пару дней сервер доссил все живое на этой планете, когда начал разбираться, ребятам вообще наплевать какая там активность. Спросил у них графики порта, они их не ведут, попросил дамп трафика, у них их нет. Вопрос отправлен хостеру. Ожидайте ответ в ближайшее время. Вставить ник Quote
ne-vlezay80 Posted November 13, 2017 Author Posted November 13, 2017 Ответ - VPN, TOR, Torrent использовать можно. Вставить ник Quote
ne-vlezay80 Posted November 13, 2017 Author Posted November 13, 2017 1 час назад, RN3DCX сказал: А вот у таких как указал ТС (cp.inferno), вряд ли, им в жизни не выйти на такие скоростя.... Зато штрафы до 1k зелени. Вставить ник Quote
RN3DCX Posted November 13, 2017 Posted November 13, 2017 Очень интересно, как они этот 1К у пользователей отжымают? Вставить ник Quote
ne-vlezay80 Posted November 13, 2017 Author Posted November 13, 2017 1 минуту назад, RN3DCX сказал: Очень интересно, как они этот 1К у пользователей отжымают? Мне тоже интересно. Вставить ник Quote
vlad11 Posted November 14, 2017 Posted November 14, 2017 В 13.11.2017 в 18:47, RN3DCX сказал: Не понятен полет вашей мысли? При чем здесь ДатаЦентр? Услуги то предоставляет хостер! На площадке ДатаЦентров ... Может быть у Ник.РУ или Рег.РУ, я еще поверю в пропускную возможность по берсту в 10Г. А вот у таких как указал ТС (cp.inferno), вряд ли, им в жизни не выйти на такие скоростя.... Вы серьезно не сталкивались ни с датацентрами, ни с хостерами? Большинство хостеров виртуальные. Только некоторые из них имеют немного своего оборудования, и то, только сервера. В Европе ДЦ спокойно предоставляет хостеру и 10Г и выше на порт, а вот дальше такой хостер перепродает очередному клиенту или мелкому реселлеру. По факту, такой виртуальный хостер не может проконтролировать траф субклиентов. И вынужден зеркалить порты на свой сервер и анализировать продуктами типа Snort. Да. И сети ipv4, и сервера, и коммутаторы, и кеширователи предоставляет в аренду сам ДЦ. В наших ДЦ иногда можно взять оборудование с правом выкупа. Вставить ник Quote
vlad11 Posted November 14, 2017 Posted November 14, 2017 В 13.11.2017 в 20:06, RN3DCX сказал: Очень интересно, как они этот 1К у пользователей отжымают? Обычно снимают сумму штрафа с баланса пользователя, если он положительный. Если нет денег, то предупреждают клиента о необходимости оплатить штраф, иначе через сутки-трое арендованные сервера отключают от сети. Вставить ник Quote
ne-vlezay80 Posted November 14, 2017 Author Posted November 14, 2017 1 минуту назад, vlad11 сказал: Обычно снимают сумму штрафа с баланса пользователя, если он положительный. Если нет денег, то предупреждают клиента о необходимости оплатить штраф, иначе через сутки-трое арендованные сервера отключают от сети. А могут ли пользовательский штраф передать коллекторам к примеру или на пользователя подать в суд? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.