[YuryD]

26 минут назад, sfstudio сказал:

1) За что платить? За стопку правил автоматически генерируемых из ЛК на шлюзе? Зажрались. Оформите это как тарифную опцию, с ценой 50р. раз так жаба душит.

 

 Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа.

[sfstudio]

Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. 

[YuryD]

Только что, sfstudio сказал:

Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. 

 Я не имею дела с линуксом, мои сервера или аппаратные, или под freebsd. Городить аксесслисты в киско можно, и применять их к сессии клиента несложно, просто их надо прописать руками заранее. Писать правила с исключениями - да май дог, в страшном сне только... Т.о. я должен написать все возможные ограничения заранее, и затем в биллинге создать соотв тарифные планы, чтобы девочки сами в биллинге поменяли тарифный план клиенту. И если вдрюг клиент сам решит рулить своими ограничениями - да еще и из лк - будет жуткий кошмар поддержки и бухгалтерии заодно, если еще и драть деньги за изменение тарифного плана. Через лк это вообще не годится, потом не доказать заказ услуги в суде, ну был вход в лк, ну было изменение тарифа или допуслуги - клиент скажет, что его и дома не было, и пароль авторизации он никому не давал.

[sfstudio]

Ладно. А то мы так далеко зайдём. Под Linux нет проблем, циска тоже думают умеет related/established и трэкать всё это дело. Но чесслово лень щас лезть смотреть.

 

Лучше присоединяйтесь https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487040

 

 

Видимо цирк приехал. 

[YuryD]

22 минуты назад, sfstudio сказал:

Видимо цирк приехал. 

 В блинке он и не уезжал. Как цыгане с поддельным золотом.

[sfstudio]

Я в смысле на НАГ приехал. =)

[Ivan_83]

2 часа назад, sfstudio сказал:

Разделение прав в подобных прошивках реализовано исключительно на уровне WEB (прям на жабоскрипте обычно) при этом за 3 минуты выколупывается рутовый пароль и поехали.

 

Такое извращение у всех почти типа многоюзверных фирмварей. Достаточно иметь хоть какой-то доступ в рожу, а дальше с помощью банального firebug расколупывается всё. Так что на подобные ограничения кулхацкеры клали, кладут и класть будут.

А ты не думал TTL поставить в 1 или 2 для 80 порта по дефолту?

После этого как его не открывай оно далеко не уйдёт.

 

1 час назад, YuryD сказал:

Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа.

Шо!?

Наколупать ACL в любом коммутаторе чтобы по л2 офсетам резал нужные пакеты и всё.

Ваир спид прямо в железе чипа.

[sfstudio]

Например у моего провайдера каждый свитч - роутер. Т.е. что бы до центра даже сети доползти будет далеко не один хоп.

 

Да и возможность открыть рожу с WAN не только провайдеру может быть нужно внезапно. Но опцию думаю вкрутим. Аля limit ttl, хотя у нас с безопасностью и так всё на мази.

[Ivan_83]

Ну это скорее совет всяким рязанским бэкдоро строителям, какойнить ттл=5 полюбому далеко из сети не уйдёт а своим админам хватит.

Насколько nginx ужался?

[sfstudio]

До 600кб примерно.

 

Вот тут ещё по стопам касперского https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487052

 

[Sergey_kha]

Нам письмо пришло от местного "отдела К" со списком ip  клиентов у кторых были зараженные роутеры (старые netgear) отделались малой кровью из меньшн десятка было.