YuryD Опубликовано 29 мая, 2018 · Жалоба 26 минут назад, sfstudio сказал: 1) За что платить? За стопку правил автоматически генерируемых из ЛК на шлюзе? Зажрались. Оформите это как тарифную опцию, с ценой 50р. раз так жаба душит. Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 мая, 2018 · Жалоба Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 мая, 2018 · Жалоба Только что, sfstudio сказал: Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. Я не имею дела с линуксом, мои сервера или аппаратные, или под freebsd. Городить аксесслисты в киско можно, и применять их к сессии клиента несложно, просто их надо прописать руками заранее. Писать правила с исключениями - да май дог, в страшном сне только... Т.о. я должен написать все возможные ограничения заранее, и затем в биллинге создать соотв тарифные планы, чтобы девочки сами в биллинге поменяли тарифный план клиенту. И если вдрюг клиент сам решит рулить своими ограничениями - да еще и из лк - будет жуткий кошмар поддержки и бухгалтерии заодно, если еще и драть деньги за изменение тарифного плана. Через лк это вообще не годится, потом не доказать заказ услуги в суде, ну был вход в лк, ну было изменение тарифа или допуслуги - клиент скажет, что его и дома не было, и пароль авторизации он никому не давал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 мая, 2018 · Жалоба Ладно. А то мы так далеко зайдём. Под Linux нет проблем, циска тоже думают умеет related/established и трэкать всё это дело. Но чесслово лень щас лезть смотреть. Лучше присоединяйтесь https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487040 Видимо цирк приехал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 мая, 2018 · Жалоба 22 минуты назад, sfstudio сказал: Видимо цирк приехал. В блинке он и не уезжал. Как цыгане с поддельным золотом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 мая, 2018 · Жалоба Я в смысле на НАГ приехал. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 мая, 2018 · Жалоба 2 часа назад, sfstudio сказал: Разделение прав в подобных прошивках реализовано исключительно на уровне WEB (прям на жабоскрипте обычно) при этом за 3 минуты выколупывается рутовый пароль и поехали. Такое извращение у всех почти типа многоюзверных фирмварей. Достаточно иметь хоть какой-то доступ в рожу, а дальше с помощью банального firebug расколупывается всё. Так что на подобные ограничения кулхацкеры клали, кладут и класть будут. А ты не думал TTL поставить в 1 или 2 для 80 порта по дефолту? После этого как его не открывай оно далеко не уйдёт. 1 час назад, YuryD сказал: Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа. Шо!? Наколупать ACL в любом коммутаторе чтобы по л2 офсетам резал нужные пакеты и всё. Ваир спид прямо в железе чипа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 мая, 2018 · Жалоба Например у моего провайдера каждый свитч - роутер. Т.е. что бы до центра даже сети доползти будет далеко не один хоп. Да и возможность открыть рожу с WAN не только провайдеру может быть нужно внезапно. Но опцию думаю вкрутим. Аля limit ttl, хотя у нас с безопасностью и так всё на мази. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 мая, 2018 · Жалоба Ну это скорее совет всяким рязанским бэкдоро строителям, какойнить ттл=5 полюбому далеко из сети не уйдёт а своим админам хватит. Насколько nginx ужался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 29 мая, 2018 · Жалоба До 600кб примерно. Вот тут ещё по стопам касперского https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487052 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_kha Опубликовано 30 мая, 2018 · Жалоба Нам письмо пришло от местного "отдела К" со списком ip клиентов у кторых были зараженные роутеры (старые netgear) отделались малой кровью из меньшн десятка было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...