Jump to content
Калькуляторы

Кто-то на эту заразу попал ? VPNFilter

26 минут назад, sfstudio сказал:

1) За что платить? За стопку правил автоматически генерируемых из ЛК на шлюзе? Зажрались. Оформите это как тарифную опцию, с ценой 50р. раз так жаба душит.

 

 Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа.

Share this post


Link to post
Share on other sites

Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. 

Share this post


Link to post
Share on other sites

Только что, sfstudio сказал:

Изменение дефолтовой политики на DROP с разрешением 3-4 портов выбранных в ЛК ? Или вы всё с NOTRACK гоните что будет прям существенное изменение т.к. потребуется контрак? Ладно не суть, дело ваше. Спорить не буду, не интересно на самом деле. 

 Я не имею дела с линуксом, мои сервера или аппаратные, или под freebsd. Городить аксесслисты в киско можно, и применять их к сессии клиента несложно, просто их надо прописать руками заранее. Писать правила с исключениями - да май дог, в страшном сне только... Т.о. я должен написать все возможные ограничения заранее, и затем в биллинге создать соотв тарифные планы, чтобы девочки сами в биллинге поменяли тарифный план клиенту. И если вдрюг клиент сам решит рулить своими ограничениями - да еще и из лк - будет жуткий кошмар поддержки и бухгалтерии заодно, если еще и драть деньги за изменение тарифного плана. Через лк это вообще не годится, потом не доказать заказ услуги в суде, ну был вход в лк, ну было изменение тарифа или допуслуги - клиент скажет, что его и дома не было, и пароль авторизации он никому не давал.

Share this post


Link to post
Share on other sites

Ладно. А то мы так далеко зайдём. Под Linux нет проблем, циска тоже думают умеет related/established и трэкать всё это дело. Но чесслово лень щас лезть смотреть.

 

Лучше присоединяйтесь https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487040

 

 

Видимо цирк приехал. 

Share this post


Link to post
Share on other sites

22 минуты назад, sfstudio сказал:

Видимо цирк приехал. 

 В блинке он и не уезжал. Как цыгане с поддельным золотом.

Share this post


Link to post
Share on other sites

2 часа назад, sfstudio сказал:

Разделение прав в подобных прошивках реализовано исключительно на уровне WEB (прям на жабоскрипте обычно) при этом за 3 минуты выколупывается рутовый пароль и поехали.

 

Такое извращение у всех почти типа многоюзверных фирмварей. Достаточно иметь хоть какой-то доступ в рожу, а дальше с помощью банального firebug расколупывается всё. Так что на подобные ограничения кулхацкеры клали, кладут и класть будут.

А ты не думал TTL поставить в 1 или 2 для 80 порта по дефолту?

После этого как его не открывай оно далеко не уйдёт.

 

1 час назад, YuryD сказал:

Вы удивитесь, насколько такой правильный макретологический ход удавит производительность сервера доступа.

Шо!?

Наколупать ACL в любом коммутаторе чтобы по л2 офсетам резал нужные пакеты и всё.

Ваир спид прямо в железе чипа.

Share this post


Link to post
Share on other sites

Например у моего провайдера каждый свитч - роутер. Т.е. что бы до центра даже сети доползти будет далеко не один хоп.

 

Да и возможность открыть рожу с WAN не только провайдеру может быть нужно внезапно. Но опцию думаю вкрутим. Аля limit ttl, хотя у нас с безопасностью и так всё на мази.

Share this post


Link to post
Share on other sites

Ну это скорее совет всяким рязанским бэкдоро строителям, какойнить ттл=5 полюбому далеко из сети не уйдёт а своим админам хватит.

Насколько nginx ужался?

Share this post


Link to post
Share on other sites

До 600кб примерно.

 

Вот тут ещё по стопам касперского https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487052

 

Share this post


Link to post
Share on other sites

Нам письмо пришло от местного "отдела К" со списком ip  клиентов у кторых были зараженные роутеры (старые netgear) отделались малой кровью из меньшн десятка было. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.