1. Насколько ощущается нехватка IPv4 адресов непосредственно в работе ВАШЕЙ организации?

[edo]

21 минуту назад, st_re сказал:

Да!! в каждую квартиру по ПИ блоку!

я про офис с двумя аплинками, а не про каждую квартиру )))

хотя таблицы bgp распухнут всё равно быстро

[lugoblin]

1 hour ago, edo said:

ну не знаю, у меня психика сломана теми временами, когда выставлена «голой жопой» в интернет винда и пятнадцати минут не жила.

Можно подумать, что те времена прошли и винда с «голой жопой» в интернет живёт нормально.

[Ivan_83]

2 часа назад, lugoblin сказал:

Я бы сказал что да, настраиваю, но у меня абоненты другие.

Мой абонент это "внутренний клиент", администратор приложения которому требуется окружение для его детища. Типичный случай - дать доступ к виртуалке, право писать в специально обученную директорию в юзерспейс, поднимать сервис и слушать сеть на определённом порту.

Вы разработчик а не провайдыр инета, вам платят совсем другие деньги и продукт у вас совсем другой.

Да, вопрос от меня был не корректным, по отношению к вам лично.

 

 

1 час назад, edo сказал:

ну не знаю, у меня психика сломана теми временами, когда выставлена «голой жопой» в интернет винда и пятнадцати минут не жила.

Это кончилось в 2004 году с выходом SP1 для виндуст ХР, пора уже вылечить постравматически синдром :)

 

1 час назад, edo сказал:

и всегда будут необновляемые системы, в которых есть уязвимости. производитель выпустил лампочку и умер — ничего с этим не сделаешь.

Да и хрен с ними, хомяк купит новые дырявые через 2-5 лет, ибо старые сломаются. :)

 

1 час назад, edo сказал:

отдавать выбор канала на откуп устройству? мне привычнее, когда этим занимается роутер.

Так это ваши проблемы, обычному человеку дома два инета не надо, а если надо то мозгов на настройку нет.

И у меня мозгов нет чтобы адекватно разрулить для IPv4 канала, чтобы оно без костыльных скриптов работало как то и без странных маршрутизаций "половина сюда а другая туда", и разумеется свои блоки и бгп мне не упало.

В случае когда девайс получит два адреса - мне относительно понятно как это будет работать.

 

 

58 минут назад, st_re сказал:

Во времена разгула редкода на сеть /24 прилетало порядка 300 сканов за минуту.. ну тоесть если снять фаервол и поставить виндовый 2000 сервер next-next-next (тут ставился иис с "нужными" обработчиками) то он стал бы частью редкода за секунд 20-30. если очень повезло бы, то за минуту.

 

Еще весело было наблюдать msSQLи в некоторые моменты времени непуганых админов, неумеющих фаервол.. исходящитй канал UDP сканом он укладывал в полку вплоть до 100мб (при достаточно мощной железке на сервере, естественно.) 10Мбит убивалось до полной потери связи..

Дедушка, вторая мировая давно кончилась! те счастливые славные времена давно кончились.

Это был 2001-2003 год, когда инет массово стал заходить и когда писательство вирусов начало свой переход от фана к профиту.

После этого и венда отрастила себе фаирвол и другие системы сильно заматерели.

Сейчас 2020 год, у тебя и твоей семьи каждая мобила* напрямую часто доступна из инета и ещё сотни миллионов таких же мобилок так же имеют белый IP* адрес, венду уже давно не сломать если там выбран публичный профиль, да и с домашним поди тоже не всё так просто.

Где вы видели массовые эпидемии за последние 10 лет? Последний zerologon - огромная эпическая дырища и ничего. Всякие свежие дыры в RDP - опять ничего. И это при том что нынче это монетизируется.

 

И потом, моя позиция в том, что лучше не иметь в принципе дырявого софта который можно удалённо проэксплутировать, не давать возможности сервисам для локалки вылезать дальше роутера, она отличается от вашей "всё порезать фаирволом как диды резали" тем что меня лично напрягает поддерживать правила на домашнем фаере, и я предпочитаю не строить забор вокруг а не иметь потребности в его строительстве.

[st_re]

а вот РДП как раз было пюзано и ОЧЕНЬ много.. реального разноса машин. с разными результатами, но чаще как бьазу для дальнейшей работы.. возможно часть из них так и живет до сих пор, под чужим управлением..

 

ну и опять же если не обновляться каждый месяц, а пропустить 2 разА, то живого админа полученого через веб мне тут показали этим летом.. (сам я имею БОЛЬШОЕ счастье винду не админить последние 9 лет вообще.). длинная многоходоворчка,  с мимикацем итд. (там реально было обновлено на -2 месяца всё. А сколько их годами не перегружаемых, до которых просто не дошли руки ? Эту конкретную ломали за деньги на тест. и после обнвления "на сегодня" оно уже так не ломалось. и второй раз не платили, может ребята бы и второй раз заехали бы.. но по результатам теста проект закрыт.) И в линуксах я в своё время рутов видел, через веб сделаных. 

 

Как часто вы обновляете ваши лампочки  ? Это в мобиле веб сервера обычно нету, а в утюге запросто. график с температуркой смотреть. а там говнокод дырявый будет - к гадалке не ходи. А уж в лампочке то... цветовую темпрературу то как иначе регулировать ?

 

ttl=1 ? опс, у вас несколько сетей дома и вы хотите лампочками в кухне управлять их комнаты, разработчик скорее всего решит, что вам будет не удобно с ттл=1 это делать, спец для вас ттл там будет 64 по умолчанию. Вы то лично межет и поменяете, если вам вообще такую крутилку оставят, а вот 99.99999999999999999% пользователей - нет..

 

вот прямо сейчас одного моего аплинка (ну я то думал что мои у них /24, но аплинк сказал что бы я не парился, сканят весь его /19 диапазон) сканят с полным перебором на коннект с любого порта на любой 65535*65535*2^13=35177929728000 вариантов.. судя по всему за месяц они управятся.. (у меня то хрен че найдут, ибо фаервол же, а вот у соседей, неизвестно) там несколько тысяч сканирующих, причем они меняются в широких пределах.. всякие хетзнеры итд представлены широко. я так понимаю сначала сканили тех и таки нашли чтото, как к ним заехать. а диапазоны там не /19, а явно поболе. 

 

а потом выяснится что сканить то /64 в6 сеть и не надо, и все ваши лампочки, исключительно для вашего удобства, регаются на сайте производителя, откуда их, вдруг, легко достать списком. (как с камерами уже было и не раз).. камеры, кстати тоже ломали не только чтобы  не профессиональное порно домашнее посмотреть, если та стоит в спальне, а и для более других целей. опять же, как платцдарм для поискать соседей рядом. если есть рут, то можно поснифать сеть и быстро получить всех соседей. тоесть достаточно сломать 1 устройство, чтобы дальше искать среди  всех ваших.

 

В 08.11.2020 в 02:21, Ivan_83 сказал:

 

И потом, моя позиция в том, что лучше не иметь в принципе дырявого софта который можно удалённо проэксплутировать, не давать возможности сервисам для локалки вылезать дальше роутера, она отличается от вашей "всё порезать фаирволом как диды резали" тем что меня лично напрягает поддерживать правила на домашнем фаере, и я предпочитаю не строить забор вокруг а не иметь потребности в его строительстве.

ну тоесть у вас в сети вообще нет ничего, не спаянноги и напрограммиированного лично вами ? ок, способ..  ибо большенство устройств для "интернета вещей", как модно сейчас говорить, дырявы как решето... и покупать и ставить будут именно их.

 

 

и ПО УМОЛЧАНИЮ фаервол обязан быть с deny all. Любой считающий что он лучше знает имеет полную возможность вырубить его к х...м.. Но вот большенство оставлять жопой в мир  не надо.

 

[lugoblin]

2 hours ago, Ivan_83 said:

5 hours ago, lugoblin said:

Я бы сказал что да, настраиваю, но у меня абоненты другие.

Мой абонент это "внутренний клиент", администратор приложения ...

Вы разработчик а не провайдыр инета, вам платят совсем другие деньги и продукт у вас совсем другой.

Я не разработчик, я поставщик по отношению к разработчику, хоть и "внутренний". Провайдер инета, локальной сети, вычислительной мощности и т.д. При этом слежу чтобы клиента его собственные соседи не задушили, дикие звери не покусали, и чтоб сам он никого не покалечил, включая себя. Мне кажется, демаркационная точка в принципе не сильно отличается от телекомовской.

 

Если абонента сломали, то это вина его, а не провайдера. Но реальность такова, что у провайдера больше возможности повлиять на эти риски, чем у абонента. Вы считаете, что нечего с ними нянчиться? Даже если это востребованно, как добавочная ценность?

 

[korsakik]

Очень интересно наблюдать за тем, как вендор учит оператора. 

[Ivan_83]

3 часа назад, st_re сказал:

а вот РДП как раз было пюзано и ОЧЕНЬ много.. реального разноса машин.

Покажи сколько хомячков у себя на компе включили рдп?)

Хоть 1% наберётся?)

Даже если пару лямов таких счастливчиков набралось, это всё равно очень мало на общем фоне.

Опять же, это сильно не дефлотная конфигурация, всегда так было.

 

3 часа назад, st_re сказал:

Как часто вы обновляете ваши лампочки  ? Это в мобиле веб сервера обычно нету, а в утюге запросто. график с температуркой смотреть. а там говнокод дырявый будет - к гадалке не ходи. А уж в лампочке то... цветовую темпрературу то как иначе регулировать ?

Лампочки - как повезёт :)

Но думаю умные больше 5 лет не отходят.

Опять же это не моя проблема, это проблема производителя и его нужно дрючить а не жрать что дают с лопаты.

 

3 часа назад, st_re сказал:

ttl=1 ? опс, у вас несколько сетей дома и вы хотите лампочками в кухне управлять их комнаты, разработчик скорее всего решит, что вам будет не удобно с ттл=1 это делать, спец для вас ттл там будет 64 по умолчанию.

Ну ок, смотри.

Если ты злобный вендор который хочет всё себе то ты можешь ттл=1 ставить только для входящих соединений, исходящие не трогать, чтобы девайс мог сам до тебя достучатся.

Извне ты всё равно не достучишься.

Роутить дома между двумя подсетями - не типовая конфигурация, пройдите в лес.

И даже если там поставить ттл=4 это всё равно довольно мизерная часть инета по близости.

 

3 часа назад, st_re сказал:

вот прямо сейчас одного моего аплинка (ну я то думал что мои у них /24, но аплинк сказал что бы я не парился, сканят весь его /19 диапазон) сканят с полным перебором на коннект с любого порта на любой 65535*65535*2^13=35177929728000 вариантов.. судя по всему за месяц они управятся.. (у меня то хрен че найдут, ибо фаервол же, а вот у соседей, неизвестно)

И чо?

У меня в инет торчит много всего, и на фре пока ничего не припомню, кроме того случая с самбой о котором писал выше. И даже когда дырка была в ссш, я обновился раньше чем это заюзали.

А ты не думал что у тебя через фаирвол может случится тоннель и внезапно твои ссш в локалке с рут=11 окажутся лёгкой добычей, а сервисы без пароля ещё более лёгкой?

Пойми, ттл=1 - это ровно тоже самое что твой запрет, но оно для всех кто во вне запрет. Это поддерживать не надо, один раз выставил в настройках сервиса и всё.

 

3 часа назад, st_re сказал:

а потом выяснится что сканить то /64 в6 сеть и не надо, и все ваши лампочки, исключительно для вашего удобства, регаются на сайте производителя, откуда их, вдруг, легко достать списком.

Как я написал выше, можно выставить ттл=1 только для входящих, в итоге имея адрес девайса подключится извне ты не сможешь.

 

3 часа назад, st_re сказал:

ну тоесть у вас в сети вообще нет ничего, не спаянноги и напрограммиированного лично вами ?

https://github.com/rozhuk-im/ssdpd

вот это есть, есть ещё один мой сервис торчащий в инет.

Меня то как раз больше волнуют не мои сервисы :)

 

3 часа назад, st_re сказал:

и ПО УМОЛЧАНИЮ фаервол обязан быть с deny all.

Мне всё же больше нравится идея избавления от фаера, как от костыля который подпирает кучу чужих косяков.

 

 

1 час назад, lugoblin сказал:

Но реальность такова, что у провайдера больше возможности повлиять на эти риски, чем у абонента. Вы считаете, что нечего с ними нянчиться? Даже если это востребованно, как добавочная ценность?

Я считаю что пора уже двигаться дальше, и в плане IPv6 и в плане дырявых сервисов которым нужен костыль в виде фаера, нужно решать вопрос с авторами этих сервисов а не перекладывать это на других.

На самом деле количество сервисов и объём кода который нужен для исправления ситуации довольно смешной по мировым масштабам, просто у админов когнитивное искажения: они никак не могут принять тот факт что автора софта можно изнасиловать чтобы он что то исправил или прислать патч, вместо этого админ всегда оперирует тем что у него есть.

Именно поэтому тут подход к ситуации что ничего поделать нельзя и только фаервол единственное средство спасения.

 

Мой поинт в том что я:

1. хочу прямые соединения между любыми девайсами

2. не хочу настраивать фаер и вообще его иметь (но к сожалению PF слишком хорош, а инет слишком злобен, и как минимум он останется для размазывания отпечатков, но без фильтров и списков сетей и портов)

3. хочу иметь сервисы которые не вылезают за пределы локалки

4. хочу не иметь дырявых сервисов или лимитировать их локалкой

5. Я считаю что ттл=1 крайне недооценённый механизм который бы решил кучу проблем в принципе, при этом внедрение копеечное, эксплуатация бесплатная

И вот ттл=1 это всё решает.

Да, надо проводить кучу работы с разрабами но всё реально.

 

И я никого не призываю отказываьтся от фаера, хотите страдать - страдайте :)

 

Например, вот я посмотрел что бы я щас зарезал с помощью ттл=1 из того что у меня торчит:

tcp:

- nginx (только один из биндингов)

- cupsd

- apcupsd

- smbd

- unbound

- mysqld (тут бы вообще ттл=0 чтобы только в пределах хоста, хотя для себя я могу просто перевешать на lo)

- dnsmasq

udp:

- syslogd

- chronyd

- nmbd

 

Это всё пропатчить - вполне реально в одного, чуть муторнее пропихивать патчи в апстрим, ещё сложнее пропихнуть в апстрим чтобы ттл=1 по дефолту, все будут ныть что это сломает юзерам привычную жизнь.

И самое неприятное с точки зрения кода тут это mysqld, потом самба - видел я их внутренности, не радуют )

 

32 минуты назад, korsakik сказал:

Очень интересно наблюдать за тем, как вендор учит оператора.

Забавно что оператор не видит дальше тех инструментов которые он заучил :)

[Sergey Gilfanov]

10 часов назад, Ivan_83 сказал:

В случае когда девайс получит два адреса - мне относительно понятно как это будет работать.

По SCTP multihoming? :-)

 

5 часов назад, Ivan_83 сказал:

4. хочу не иметь дырявых сервисов или лимитировать их локалкой

5. Я считаю что ттл=1 крайне недооценённый механизм который бы решил кучу проблем в принципе, при этом внедрение копеечное, эксплуатация бесплатная

И вот ттл=1 это всё решает.

Да, надо проводить кучу работы с разрабами но всё реально.

Еще использование link-local адресов, что для IPv6, что для IPv4 забыл. Тоже не должны никуда уходить за пределы локалки.

[edo]

@Ivan_83 
для вас автор софта обязан принимать патчи, а в реальной жизни зачастую прошивки (ну или бинарники под винду) не обновляются годами (а то и десятилетиями), а исходных текстов нет даже у производителя (или уже нет самого производителя).

 

да и если даже есть контакт с автором — кто сказал, что он не пропустил уязвимости? или даже не внёс их намеренно.

 

5 часов назад, Ivan_83 сказал:

И я никого не призываю отказываьтся от фаера, хотите страдать - страдайте :)

так и мы не против ттл=1. просто наивно считать, что в ближайшие 10 лет оно будет везде-везде-везде. да и не от всего оно защищает, некоторые уязвимости/бэкдоры будут работать и при ттл=1.

 

заметьте, про всё это вам уже написали не раз, но вы игнорируете аргументы, которые вам приводят, из-за этого беседа идёт по кругу.

 

[Sergey Gilfanov]

6 часов назад, Ivan_83 сказал:

просто у админов когнитивное искажения: они никак не могут принять тот факт что автора софта можно изнасиловать чтобы он что то исправил или прислать патч, вместо этого админ всегда оперирует тем что у него есть.

У тебя искажение в другую сторону, т.к. слишком много opensource системами, причем самодельными, пользуешься. А админ как бы в курсе, что вот на этот принтер с принт-сервером, производитель не выпустить прошивку с заделанными дырами уже никогда. Даже если софтовая часть этого принтера формально OpenSource и дыры в текущей версии софта уже исправлены. И я так и не понял, почему "не хочу настраивать фаер и вообще его иметь ". Проблем с настройкой же никаких - просто тыкаешь в GUI интерфейсе "вот этой железке в интернет-можно". А если это у тебя напряжной последовательностью CLI заклинаний делается - то это исключительно из мазохизма. Сложно-непонятные конфигурации файрволов, которые требуют ручного конфигурирования на низком уровне, в быту и мелком бизнесе не нужны.

[jffulcrum]

12 часов назад, Ivan_83 сказал:

Где вы видели массовые эпидемии за последние 10 лет?

Petya и NotPetya не считаем? Только в этом году https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200005  , SigRed (поломали многих), и ongoing https://sensorstechforum.com/cve-2020-16898-bad-neighbour-flaw/ (отличный пример сочетания говна в протоколе и говна в реализации BTW). К слову, в последних случаях файерволл L4 бесполезен...

 

 

[-Px-]

8 hours ago, Ivan_83 said:

Покажи сколько хомячков у себя на компе включили рдп?)

Все. В настольных системах по-умолчанию включен "Удалённый помощник", внутри которого тот самый RDP ;)

 

12 hours ago, st_re said:

а вот РДП как раз было пюзано и ОЧЕНЬ много..

Разве что у тех дятлов, которые месяцами не ставят обновления )

[lugoblin]

1 hour ago, Ivan_83 said:

просто у админов когнитивное искажения: они никак не могут принять тот факт что автора софта можно изнасиловать чтобы он что то исправил или прислать патч, вместо этого админ всегда оперирует тем что у него есть.

Где это так?

Совершенно не вижу рычагов влияния, кроме как протащить решение через бизнес (что нетривиально) и серьёзно забашлять $$. Но файервол и его поддержка обычно оказываются тупо дешевле.

 

1 hour ago, Ivan_83 said:

5. Я считаю что ттл=1 крайне недооценённый механизм который бы решил кучу проблем в принципе, при этом внедрение копеечное, эксплуатация бесплатная

Да, это, разумеется, необходимо взять на заметку. Как route ... blackhole вместо блокирования через ACL.

 

[st_re]

9 часов назад, -Px- сказал:

Разве что у тех дятлов, которые месяцами не ставят обновления )

так я разве против, что дятлы.. но реальность такова, что в мире миллиард пользователей интернета, из которых только 0.001% немного понимают как оно работает и уж совсем не многие умеют это настраивать и поддерживать.. среди остальных массово покупают рутер по цвету к обоям и телефон к цвету кофточки... и на этом его настройка заканчивается. там включено все как было по умолчанию сделано производителем или продавцом. Никаких обновлений, если они не будут ставиться сами, не будет. (да и те, в массе своей, через пару лет кончатся.) "надо компостировать мозг производителю, чтобы сделал ТТЛ=1", это удел единиц. А пользователей интернета миллиард. и производитель легко положит болт на такого капающего на мозг, и выпустит версию в новом цвете... теперь с бананчиками..!! но со старыми версиями всего чтот только можно в прошивке, с известными дырами на момент запуска в серию, да еще с неслучайным инженерным паролем, который быстро утечет в сеть.

 

Я не против, что тот, кто понимает, нажмет 3 кнопки и выключит фаервол, но я против чтобы в интернете голой жопой вдруг оказалось не миллион а  миллиард устройств за которыми  никто  не следил и следить не будет.. Поэтому по умолчанию фаервол должен быть. Да это не панацея, но оно здорово снижает размерности ботнетов.  Почемуто каждый новый класс устройств вылезает на рынок даже не с дырами а с воротами в плане  безопасности. И история идет по кругу, ззавтра появятся пылесоы, которые будут управляться каждым желающим, т.к. программитс забыл в половине форм вставить вообще проверку, а логнулись ли мы.. а через год выпустят коферварки, опять с такими же багами.. И они все уже были в рутерах, в принтерах, итд итп. но они будут появляться снова и снова. да это не плохо, это ужасно.  но сломать позыв "давайте быстрее и дешевле" у каждого нового продавана каждой новой идеи невозможно.

 

у нас были клиенты, у которых "вдруг" стал утекать тогда еще диалап.. оказалась тетя расшарила диск С от корня.. вин 95, там есть файл с паролями от всего, включая диалап. "Но я же Васе его расшарила".. А, б..ь где ты это компьютеру сказала, что Васе только и можно, а остальным нельзя ? ой... Ты дверь дома на ключ закрываешь ? Да.. А тут че на закрываешь ? вот иди теперь и оплачивай 10000 часов в месяц диалапа, если ой.

 

да наверное правильнее было бы писать софт без дыр, законодательно обязать выпускать секьюрные обноления, пока живо устройство, запретить полный отказ от отвественности производителя за использование их дырявого софта в немирных целях, и вообще объяснять как и что с 1 класса школы. но реальность не такая.

 

 

[sdy_moscow]

Друзья, не забываем голосовать (сверху страницы)!!!!

[Ivan_83]

19 часов назад, edo сказал:

для вас автор софта обязан принимать патчи, а в реальной жизни зачастую прошивки (ну или бинарники под винду) не обновляются годами (а то и десятилетиями), а исходных текстов нет даже у производителя (или уже нет самого производителя).

 

18 часов назад, Sergey Gilfanov сказал:

А админ как бы в курсе, что вот на этот принтер с принт-сервером, производитель не выпустить прошивку с заделанными дырами уже никогда.

Да и хрен с ними.

Речь не про кровавый ынтырпрайз где хотя бы рукожопый админ есть, а про хомяков, которые через 3-5 лет могут выкинуть а то и раньше сломается.

 

 

18 часов назад, Sergey Gilfanov сказал:

И я так и не понял, почему "не хочу настраивать фаер и вообще его иметь ". Проблем с настройкой же никаких - просто тыкаешь в GUI интерфейсе "вот этой железке в интернет-можно".

Потому что поднадоело уже латать дыры только фаером.

У меня pf.conf выглядит как сборник issue софта и админа извращенца.

Хочется немного расслабится и не думать что нужно вообще всё в этом несчастном фаере контролировать.

 

Немного переформулирую мысль: я бы предпочёл не настраивать в фаерволе ничего что касается тех сервисов что я уже сконигурировал в их конфигах, аналогично со всеми мобильными девайсами - они уже и так защищены.

Конкретно на домашнем сервере я бы хотел придти к тому чтобы не фильтровать входящие совсем, те "allow to self from any", исходящий у меня на нём от него же (allow from self to any) и так есть.

Там вон выше список чего у меня крутится, я это сконфигурял, но приходится это ещё раз прописывать в фаер - это какой то даблмаразм.

 

По идее, достаточно выборочно фильтровать транзит.

Да, злоипучие девайсы/подсети позапрещать или поотключать от сети но в целом дефолтный deny all а потом разрешать по одному - уже выглядит перебором.

 

Опять же возвращаясь к топику, вот пришёл IPv6.

Он у меня есть и работает.

Как - хер его знает. Он сам "как то" получает адреса, хосты сами генерят 100500 временных/одноразовых. Те он практически unmanaged. DHCPv6 нет.

У меня тоже общие фильтры вида из: дома можно, домой низя.

При этом как порезать инет отдельному девайсу - я хз.

Сейчас телек с саундбаром в инет не ходят потому что ипв4 им порезан, и в днс их любимые адреса не резолвятся, так что им даже по ипв6 ходить некуда.

 

Наверное правильная домашняя IPv6 должна иметь dhcp6+dns, чтобы имя сразу в днс регалось и можно было его использовать для подключения к хосту, при необходимости.

И как то это ещё в фаер вливалось, чтобы он хотя бы фильтры применить мог правильно.

 

Раздача IPv4 статикой или жёсткими биндами в дхцп и потом использование этих адресов на память - это пережиток прошлого.

 

 

17 часов назад, jffulcrum сказал:

Petya и NotPetya не считаем? Только в этом году https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200005  , SigRed (поломали многих), и ongoing https://sensorstechforum.com/cve-2020-16898-bad-neighbour-flaw/

Это доли процента от всех ебанентов инета. Основная масса это уже андройд.

 

 

12 часов назад, lugoblin сказал:

Где это так?

Совершенно не вижу рычагов влияния, кроме как протащить решение через бизнес (что нетривиально) и серьёзно забашлять $$. Но файервол и его поддержка обычно оказываются тупо дешевле.

Такое ощущение что вы про защиту прав потребителя не слышали.

И админ тоже может клевать моск тех поддержке, тк уплочено - работайте там.

 

7 часов назад, st_re сказал:

А пользователей интернета миллиард. и производитель легко положит болт на такого капающего на мозг, и выпустит версию в новом цвете... теперь с бананчиками..!!

Рабское мышление пользователя перацкой виндовс :)

[edo]

26 минут назад, Ivan_83 сказал:

Речь не про кровавый ынтырпрайз где хотя бы рукожопый админ есть, а про хомяков, которые через 3-5 лет могут выкинуть а то и раньше сломается.

 

27 минут назад, Ivan_83 сказал:

в целом дефолтный deny all а потом разрешать по одному - уже выглядит перебором

так вот хомякам в 99% случаев нормально deny all без «разрешать по одному»

[Ivan_83]

5 минут назад, edo сказал:

так вот хомякам в 99% случаев нормально deny all без «разрешать по одному»

У хомяка дома мобила, планшет, ноут, принтер, телек и примерно всё. Может приставка и ещё какая то хрень.

Всё это прекрасно живёт и само по себе без фильтраций на роутерах, ну максимум на принтер что то напечатают пару раз :)

[lugoblin]

@Ivan_83 Соглашусь, удручает. К сожалению, другого глобуса для нас нет.

 

[edo]

43 минуты назад, Ivan_83 сказал:

У хомяка дома мобила, планшет, ноут, принтер, телек и примерно всё. Может приставка и ещё какая то хрень.

и ни к чему из этого доступ из интернета не нужен

[Ivan_83]

6 минут назад, edo сказал:

и ни к чему из этого доступ из интернета не нужен

А как же видеоконференции и прочие звонки с мобилок/планшетиков/ноутов!?

Сколько бы там не дрочили, а через чужие сервера всё равно ходит хуже чем напрямую, да и за эти сервера обычно кто то платит...

 

Потом, я выше обозначил, что именно дебильный нат постоянно ограничивал хомяков от распространения прона и вирусов в реализации многих штук, взять какойнить домашний нас-облако, видеокамеры и прочий хлам к которому бы неплохо иметь доступ из инета.

Для хомяка каждый раз что то протащить в инет - это просто какой то нереальный научный труд.

В целом производители тоже не от хорошей жизни всех начали тянуть в облака и всё запускать через свои сервера, в основном потому что больше никак хомячелло не мог достучатся до своей вандервафли из инета домой. И это всё привело к рождению уродских железок которые умирают когда вендору надоедает платить за сервер.

Эта модель - не злой умысел, по крайней мере в случаях когда это не мегакорпорации от анб, а какие то обычные производители кондеев/котлов и прочего чем захотелось порулить ещё и через инет.

[Sergey Gilfanov]

1 час назад, Ivan_83 сказал:

Немного переформулирую мысль: я бы предпочёл не настраивать в фаерволе ничего что касается тех сервисов что я уже сконигурировал в их конфигах, аналогично со всеми мобильными девайсами - они уже и так защищены.

Конкретно на домашнем сервере я бы хотел придти к тому чтобы не фильтровать входящие совсем, те "allow to self from any", исходящий у меня на нём от него же (allow from self to any) и так есть.

Очень неправильный подход. Правильный - считать, что у себя самого руки таки кривые и ты в 'и так защищены' ты что-то забыл. И поэтому накладывать сверху еще один слой защиты в виде firewall.

 

1 час назад, Ivan_83 сказал:

У меня pf.conf выглядит как сборник issue софта и админа извращенца.

Какие такие issue? Ты что, закрываешь порты и службы, если не можешь починить сам сервис? Так не надо так. deny all по умолчанию и открываем только то, к чему из интернет-а можно. Если не хочешь на самом файрволле настраивать отдельно по портам и адресам - делаешь подседку, на которую из интернета можно и включаешь нужные устройства туда уже конфигурацией самого устройства или DHCP.

 

17 минут назад, Ivan_83 сказал:

Для хомяка каждый раз что то протащить в инет - это просто какой то нереальный научный труд.

Нет никого труда. Тыкается кнопочка в GUI 'этой железке в Интернет можно'.

[Sergey Gilfanov]

1 час назад, Ivan_83 сказал:

Потом, я выше обозначил, что именно дебильный нат постоянно ограничивал хомяков от распространения прона и вирусов в реализации многих штук, взять какойнить домашний нас-облако, видеокамеры и прочий хлам к которому бы неплохо иметь доступ из инета.

Хорошо бы. Но ни разу не напрямую. А через какой-нибудь сервис(на домашнем сервере), который хотя бы проверит, что лезет тот, кому разрешено.

Кроме того, управление учетными записями на всех этих железках по отдельность - задолбаешься. А централизованно получать учетки домашние варианты железок не очень умеют.

 

 

[jffulcrum]

@Sergey Gilfanov SDN for Home нужен, короче.