Azamat Опубликовано 17 апреля, 2019 · Жалоба 31.148.63.0 - откуда то с Макеевки. Видать мы сильно погрязли в традиционализме, не то что соседи по глобусу :) Будем расти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 17 апреля, 2019 · Жалоба 22 минуты назад, ShyLion сказал: Если кто-то написал такой софт, то его клиенты _должны_ страдать, чтобы в итоге пошли к другому автору софта, у которого нет таких тараканов. А если подстраиваться под каждого дебила, то это только будет во вред индустрии. Если уж пишешь сетевой софт, будь добр узнай, для чего нужна маска сети. В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 апреля, 2019 · Жалоба 1 час назад, TheUser сказал: В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно. Как? Переходом к провайдеру с подходом сааба? Ну это правильное решение, вы или сделайте, чтобы сервер работал или дайте "нормальный" адрес. Клиенту плевать на ваши VLSM-ы, ему играть хочется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 17 апреля, 2019 · Жалоба 1 hour ago, TheUser said: В свое время сервер Couter Strike, если не ошибаюсь, отказывался принимать клиентов с нулевыми адресами. Предложение клиентам играть в Quake было воспринято неправильно. Нынче 2019 год. Не только лишь все пишут сетевой код руками. Мало кто пишет :) Но если вам хочется не выдавать такие адреса, то пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 апреля, 2019 · Жалоба Все таки те кто выше писали про всякие антиддос решения и странные решения для фильтрации трафика правы. Хз почему, но они не любят иногда 0 и 255 адрес. Встречается редко, но бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 апреля, 2019 · Жалоба Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет 14 минут назад, vurd сказал: Как? Переходом к провайдеру с подходом сааба? Ну это правильное решение, вы или сделайте, чтобы сервер работал или дайте "нормальный" адрес. Клиенту плевать на ваши VLSM-ы, ему играть хочется. ну ок, давайте рассмотрим реальные юз-кейсы: 1. вы даёте абоненту белую динамику, ему не повезло и выдался адрес .0. просто говорите ему - перезагрузите роутер (он ещё и будет думать что у него роутер глючный :) ) 2. вы делаете NAT, если у вас и правда есть пострадавшие от нулевого адреса, ну ок, исключаем из NAT-пула какие ещё кейсы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2019 · Жалоба 2 минуты назад, s.lobanov сказал: Кстати, а как блокируют подключения с нулевого IP? Нулевой в смысле с нулевым последним октетом? Хост a.b.c.0 (или a.b.c.0/32). Нулевой в смысле 0.0.0.0? Такой адрес в любом случае инвалидный, его нужно дропать на входе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 17 апреля, 2019 · Жалоба 9 минут назад, s.lobanov сказал: Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет ну ок, давайте рассмотрим реальные юз-кейсы: 1. вы даёте абоненту белую динамику, ему не повезло и выдался адрес .0. просто говорите ему - перезагрузите роутер (он ещё и будет думать что у него роутер глючный :) ) 2. вы делаете NAT, если у вас и правда есть пострадавшие от нулевого адреса, ну ок, исключаем из NAT-пула какие ещё кейсы? Кейс "говорю абоненту не играть в контру, а играть в квейк", прямо как указал автор чью цитату я приводил в посте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 17 апреля, 2019 · Жалоба 2 minutes ago, vurd said: Кейс "говорю абоненту не играть в контру, а играть в квейк", прямо как указал автор чью цитату я приводил в посте. Коллега, когда последний раз вы видели _популярное_ приложение с таким багом, который бы не исправлялся в течение разумного срока? Единственный реальный кейс - тараканы в голове абонента. Ну такому либо ликбез либо сменить адрес, если невменяемый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2019 · Жалоба У нас адреса выделяются динамически, там и *.0 бывает, и *.255. Если кто-то хочет другого, то есть выделенный IP за отдельную плату. Игроки часто выделенный IP берут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 17 апреля, 2019 · Жалоба Ставят на стык с маской длинее 24 привычные /24, вроде всё и работает, кроме адресов между реально смаршрутизированной и 24-ой, включая эти 0 и 255, вот и проблема. Исключать такие адреса - помогать таким конфигураторам не узнать о своей ошибке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 17 апреля, 2019 · Жалоба Выдаем 0 и 255 абонентам, никаких проблем не замечено. Нынче даже /31 используется для BGP стыков, экономия однако. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2019 · Жалоба Мы /31 не используем. Заманчиво, конечно, но часто вылезают проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 17 апреля, 2019 · Жалоба 2 часа назад, alibek сказал: Нулевой в смысле с нулевым последним октетом? Хост a.b.c.0 (или a.b.c.0/32). Нулевой в смысле 0.0.0.0? Такой адрес в любом случае инвалидный, его нужно дропать на входе. 0.0.0.0 вполне валидный, но не для глобальной маршрутизации https://tools.ietf.org/html/rfc6890 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 17 апреля, 2019 · Жалоба 2 часа назад, ShyLion сказал: Нынче 2019 год. Не только лишь все пишут сетевой код руками. Мало кто пишет :) Но если вам хочется не выдавать такие адреса, то пожалуйста. Те программисты уже доросли до сеньоров, тимлидов и даже архитекторов (которые айвори тауэр), перешли с ANSI C++ на С++17, с пива на смузи, но ничего кардинально не поменялось. Ну и менять что-то, настроенное 10 лет назад, ради "высвобождения" 2-ух IP на каждую /24 - сомнительное занятие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 17 апреля, 2019 · Жалоба Почему именно /24 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 17 апреля, 2019 · Жалоба 2 часа назад, s.lobanov сказал: но на большинстве "hw" фаерволах такого нет Все-таки уровень разработчиков hw файерволов повыше будет. Там, поди, и про CCNA кто-нибудь что-то слышал. Вот и не страдают такой херней, берегут вентилЯ. Только что, andryas сказал: Почему именно /24 ? Вы шутите? Адреса 0 и 255 появляются у клиентов, если пул адресов >=/24 (условие равенства работает только для всяких pppoe/l2tp/pptp). Вот и выносят проблемные адреса либо путем разбивки на /24 (ну, либо ставят запрет в ААА на выдачу "проблемных" адресов). 41 минуту назад, alibek сказал: Мы /31 не используем. Заманчиво, конечно, но часто вылезают проблемы. Что за проблемы, если не секрет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2019 · Жалоба Некоторые устройства не принимают такую маску или ругаются на некорректный адрес. Некоторые принимают, но работают странно или некорректно, например не пингуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 апреля, 2019 · Жалоба 8 часов назад, GrandPr1de сказал: 0.0.0.0 вполне валидный, но не для глобальной маршрутизации Не будет работать, потому что это константа INVALID_ADDR. В софте такое точно не проканает, может в ядре пакеты и будут ходить. 11 часов назад, s.lobanov сказал: Кстати, а как блокируют подключения с нулевого IP? ну ладно для iptables можно сделать ненепрерывную маску и спокойно дропать iptables -I INPUT -s 0.0.0.0/0.0.0.255 -j DROP, но на большинстве "hw" фаерволах такого нет Полагаю относительно легко накидать ACL на такое даже для коммутатора. 12 часов назад, ShyLion сказал: Волею судеб очень часто возле меня собеседуют кандидатов на должность эникея. Еще не один ни разу не сказал для чего нужна маска сети и может ли быть в конце адреса нолик :) Это не уровень эникея, это админы то не все понимают. И я долго недопонимал это, примерно знал но почему именно так не понимал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 18 апреля, 2019 · Жалоба 5 часов назад, Ivan_83 сказал: Полагаю относительно легко накидать ACL на такое даже для коммутатора. как именно? свитчи ругаются на маски типа 0.0.0.255 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 апреля, 2019 · Жалоба DES-3200-26:5#create access_profile ip source_ip 0.0.0.255 profile_id 159 Command: create access_profile ip source_ip_mask 0.0.0.255 profile_id 159 Success. DES-3200-26:5#config access_profile profile_id 159 add access_id 1 ip source_ip 1.1.1.0 port 1-24 deny Command: config access_profile profile_id 159 add access_id 1 ip source_ip 1.1.1.0 port 1-24 deny Success. DES-3200-26:5#show access_profile profile_id 159 Command: show access_profile profile_id 159 Access Profile Table ================================================================================ Profile ID: 159 Type: IPv4 Frame Filter ================================================================================ Owner: ACL Masks Option Source IP --------------- 0.0.0.255 -------------------------------------------------------------------------------- Access ID : 1 Ports : 1-24 Mode : Deny Source IP Mask --------------- 1.1.1.0 Длинки умеют маски типа 255.255.0.192 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 18 апреля, 2019 · Жалоба dig hh.ru +short 94.124.200.0 ретрограды боятся 0/255 ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2019 · Жалоба Кстати, можно еще резать адреса типа 1.1.1.1, 8.8.8.8 и т.д. А то они какие-то подозрительные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 18 апреля, 2019 (изменено) · Жалоба у hh.ru route: 94.124.200.0/24 как они на интерфейс назначили IP адрес ? изнутри получится пинг на 0 адрес сети - по идее все должны откликнуться ? вот у себя сделал пинг на 0 адрес: ping 192.168.0.0 PING 192.168.0.0 (192.168.0.0): 56 data bytes 64 bytes from 192.168.1.106: icmp_seq=0 ttl=255 time=0.814 ms 64 bytes from 192.168.0.237: icmp_seq=0 ttl=255 time=0.816 ms (DUP!) 64 bytes from 192.168.1.237: icmp_seq=0 ttl=255 time=0.819 ms (DUP!) 64 bytes from 192.168.0.179: icmp_seq=0 ttl=255 time=0.821 ms (DUP!) 64 bytes from 192.168.0.54: icmp_seq=0 ttl=255 time=0.943 ms (DUP!) 64 bytes from 192.168.1.22: icmp_seq=0 ttl=255 time=0.945 ms (DUP!) 64 bytes from 192.168.1.19: icmp_seq=0 ttl=255 time=1.075 ms (DUP!) 64 bytes from 192.168.1.107: icmp_seq=0 ttl=255 time=1.076 ms (DUP!) 64 bytes from 192.168.1.92: icmp_seq=0 ttl=255 time=1.206 ms (DUP!) Изменено 18 апреля, 2019 пользователем Azamat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2019 · Жалоба 3 минуты назад, Azamat сказал: route: 94.124.200.0/24 route — это как блок анонсируется в BGP. Совсем не обязательно, что внутри маршрутизация будет такая же. Может быть там большой блок, может быть ip unnumbered или статика. У меня раньше транспортный сегмент был /30, а клиентская подсеть /21 была на него смаршрутизирована статикой. Да и сейчас некоторые клиенты просят именно так сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...