Перейти к содержимому
Калькуляторы

Запретить ipv6 на коммутаторах доступа? DES-3200, желательно PCF ACL

Возможно хотелка странная для 21-го века, но..

Как бы вот этот мусор -

tcpdump -nn -i fxp0 ip6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
23:00:37.886793 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:40.886747 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:41.759772 IP6 fe80::c102:c40a:8078:1357.546 > ff02::1:2.547: dhcp6 solicit
23:00:43.886882 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:47.887190 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:50.887141 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:51.739685 IP6 fe80::5504:253d:70a7:c9ca.546 > ff02::1:2.547: dhcp6 solicit
23:00:52.753023 IP6 fe80::5504:253d:70a7:c9ca.546 > ff02::1:2.547: dhcp6 solicit
23:00:53.887276 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:54.765806 IP6 fe80::5504:253d:70a7:c9ca.546 > ff02::1:2.547: dhcp6 solicit
23:00:57.887565 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:00:58.774256 IP6 fe80::5504:253d:70a7:c9ca.546 > ff02::1:2.547: dhcp6 solicit
23:01:00.887544 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:01:03.887665 IP6 fe80::c102:c40a:8078:1357.59660 > ff02::c.1900: UDP, length 146
23:01:04.758976 IP6 fe80::c102:c40a:8078:1357.59080 > ff02::1:3.5355: UDP, length 33
23:01:04.858599 IP6 fe80::c102:c40a:8078:1357.59080 > ff02::1:3.5355: UDP, length 33
23:01:05.070304 IP6 fe80::c102:c40a:8078:1357.65468 > ff02::1:3.5355: UDP, length 33
23:01:05.169633 IP6 fe80::c102:c40a:8078:1357.65468 > ff02::1:3.5355: UDP, length 33
23:01:05.384695 IP6 fe80::c102:c40a:8078:1357.63810 > ff02::1:3.5355: UDP, length 33
23:01:05.484632 IP6 fe80::c102:c40a:8078:1357.63810 > ff02::1:3.5355: UDP, length 33
23:01:05.698726 IP6 fe80::c102:c40a:8078:1357.54882 > ff02::1:3.5355: UDP, length 33
23:01:05.798651 IP6 fe80::c102:c40a:8078:1357.54882 > ff02::1:3.5355: UDP, length 33p

пристрелить непосредственно на доступе?

Пока не особо достаёт, но есть один небольшой удалённый сегмент сети, подключенный к ядру по WIFI, вот оттуда очень хочется вычистить ipv6 мусор.

Существует ли вообще такой функционал на D-Link DES-3200? Хотелось бы реализовать с помощью PCF ACL-ей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

конечно на доступе !

у вас DES-3200 на доступе ?

отключать поддержку ipv6 пробовали на доступе ?

Изменено пользователем Vasmer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зафильтровать трафик по ethertype 0x86DD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отключать поддержку ipv6 пробовали на доступе ?

Не нашел такой буквы в этом слове(свитче).

зафильтровать трафик по ethertype 0x86DD

А вот это скорее всего самое тО, даже подходящий профиль в ACL уже есть.

create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF  offset1 l2 0 0xFFFF  profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0806 port 1-10 permit

Добавлю в него правило

config access_profile profile_id 3 add access_id 2 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x86dd port 1-10 deny

Проверил - не работает..

10:16:49.891674 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:16:53.891980 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:16:56.891968 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:16:59.892079 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:17:00.148097 50:e5:49:29:82:09 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 152: (hlim 1, next-header UDP (17) payload length: 98) fe80::21ca:b230
:d3f2:f138.546 > ff02::1:2.547: dhcp6 solicit (xid=459255 (elapsed time 0) (client ID hwaddr/time type 1 time 380318533 50e549298209)[|dhcp6ext])
       0x0000:  3333 0001 0002 50e5 4929 8209 86dd 6000  33....P.I)....`.
       0x0010:  0000 0062 1101 fe80 0000 0000 0000 21ca  ...b..........!.
       0x0020:  b230 d3f2 f138 ff02 0000 0000 0000 0000  .0...8..........
       0x0030:  0000 0001 0002 0222 0223 0062 ce7f 0145  .......".#.b...E
       0x0040:  9255 0008 0002 0000 0001 000e 0001 0001  .U..............
       0x0050:  16ab 3345 50e5 4929 8209 0003 000c 1450  ..3EP.I).......P
10:17:01.148159 50:e5:49:29:82:09 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 152: (hlim 1, next-header UDP (17) payload length: 98) fe80::21ca:b230
:d3f2:f138.546 > ff02::1:2.547: dhcp6 solicit (xid=459255 (elapsed time 100) (client ID hwaddr/time type 1 time 380318533 50e549298209)[|dhcp6ext])
       0x0000:  3333 0001 0002 50e5 4929 8209 86dd 6000  33....P.I)....`.
       0x0010:  0000 0062 1101 fe80 0000 0000 0000 21ca  ...b..........!.
       0x0020:  b230 d3f2 f138 ff02 0000 0000 0000 0000  .0...8..........
       0x0030:  0000 0001 0002 0222 0223 0062 ce1b 0145  .......".#.b...E
       0x0040:  9255 0008 0002 0064 0001 000e 0001 0001  .U.....d........
       0x0050:  16ab 3345 50e5 4929 8209 0003 000c 1450  ..3EP.I).......P
10:17:03.148315 50:e5:49:29:82:09 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 152: (hlim 1, next-header UDP (17) payload length: 98) fe80::21ca:b230
:d3f2:f138.546 > ff02::1:2.547: dhcp6 solicit (xid=459255 (elapsed time 300) (client ID hwaddr/time type 1 time 380318533 50e549298209)[|dhcp6ext])
       0x0000:  3333 0001 0002 50e5 4929 8209 86dd 6000  33....P.I)....`.
       0x0010:  0000 0062 1101 fe80 0000 0000 0000 21ca  ...b..........!.
       0x0020:  b230 d3f2 f138 ff02 0000 0000 0000 0000  .0...8..........
       0x0030:  0000 0001 0002 0222 0223 0062 cd53 0145  .......".#.b.S.E
       0x0040:  9255 0008 0002 012c 0001 000e 0001 0001  .U.....,........
       0x0050:  16ab 3345 50e5 4929 8209 0003 000c 1450  ..3EP.I).......P
10:17:03.892362 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:17:06.177548 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:06.892302 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:17:06.893208 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:07.148512 50:e5:49:29:82:09 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 152: (hlim 1, next-header UDP (17) payload length: 98) fe80::21ca:b230
:d3f2:f138.546 > ff02::1:2.547: dhcp6 solicit (xid=459255 (elapsed time 700) (client ID hwaddr/time type 1 time 380318533 50e549298209)[|dhcp6ext])
       0x0000:  3333 0001 0002 50e5 4929 8209 86dd 6000  33....P.I)....`.
       0x0010:  0000 0062 1101 fe80 0000 0000 0000 21ca  ...b..........!.
       0x0020:  b230 d3f2 f138 ff02 0000 0000 0000 0000  .0...8..........
       0x0030:  0000 0001 0002 0222 0223 0062 cbc3 0145  .......".#.b...E
       0x0040:  9255 0008 0002 02bc 0001 000e 0001 0001  .U..............
       0x0050:  16ab 3345 50e5 4929 8209 0003 000c 1450  ..3EP.I).......P
10:17:07.893002 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:09.178152 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:09.892444 f4:6d:04:2f:e5:c7 > 33:33:00:00:00:0c, ethertype IPv6 (0x86dd), length 208: (hlim 1, next-header UDP (17) payload length: 154) fe80::c102:c40
a:8078:1357.51015 > ff02::c.1900: UDP, length 146
       0x0000:  3333 0000 000c f46d 042f e5c7 86dd 6000  33.....m./....`.
       0x0010:  0000 009a 1101 fe80 0000 0000 0000 c102  ................
       0x0020:  c40a 8078 1357 ff02 0000 0000 0000 0000  ...x.W..........
       0x0030:  0000 0000 000c c747 076c 009a b73a 4d2d  .......G.l...:M-
       0x0040:  5345 4152 4348 202a 2048 5454 502f 312e  SEARCH.*.HTTP/1.
       0x0050:  310d 0a48 6f73 743a 5b46 4630 323a 3a43  1..Host:[FF02::C
10:17:09.892904 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:10.892904 00:24:21:03:9c:20 > 33:33:ff:ff:ff:fe, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffff:fffe: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ffff:ffff:fffe
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffff fffe 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffff fffe 8700 d685 0000 0000 fe80  ................
       0x0040:  0000 0000 0000 0000 ffff ffff fffe 0101  ................
       0x0050:  0024 2103 9c20                           .$!...
10:17:11.155389 00:24:21:03:9c:20 > 33:33:ff:cd:b4:20, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::8d78:
b42a:794c:2ce3 > ff02::1:ffcd:b420: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::fd8b:d9f:1fcd:b420
         source link-address option (1), length 8 (1): 00:24:21:03:9c:20
       0x0000:  3333 ffcd b420 0024 2103 9c20 86dd 6000  33.....$!.....`.
       0x0010:  0000 0020 3aff fe80 0000 0000 0000 8d78  ....:..........x
       0x0020:  b42a 794c 2ce3 ff02 0000 0000 0000 0000  .*yL,...........
       0x0030:  0001 ffcd b420 8700 437c 0000 0000 fe80  ........C|......
       0x0040:  0000 0000 0000 fd8b 0d9f 1fcd b420 0101  ................
       0x0050:  0024 2103 9c20

 

Похоже я погорячился насчет того, что профиль 3 подходит для этой задачи.. Или накосячил в самом правиле (с destination_mac).

Попробую вот так:

config access_profile profile_id 3 add access_id 2 packet_content destination_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x86dd port 1-10 deny

 

P.S. Кстати, destination МАС в пакетах какой-то странный..

 

UPD: Переписал правило, все ок - tcpdump молчит..

 

P.P.S. Ну теперь можно смело идти праздновать. :)

 

Всех с Днем Победы!!

Изменено пользователем AlKov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем dest_mac ?

 

Так не проще ли?

 

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 3
config access_profile profile_id 3  add access_id 1  packet_content   offset1 0x86dd   mask 0xffff port 1-10 deny

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно хотелка странная для 21-го века, но..

 

Очень странная, его включать надо, а не выключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а к нам хомячьё бегает, как так они чужие компы в сетевом окружении видят

 

ipv6 это очень опасно, когда к компьютеру настроенному среднестатистическим юзером, есть доступ из любой точки мира

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а к нам хомячьё бегает, как так они чужие компы в сетевом окружении видят

так вот откуда это полезло... спасибо за наводку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видят - их проблемы. Им дали дырку с интернетом, а дальше пущай сами себе админят или зовут мастеров за "пиво".

 

PS: было смешнее когда америкосовские компы с гос органов так были видны - ихние админы тогда ещё были не в курсе всяких тередо и прочих туннелинговых автотехнологий в новых виндах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видят - их проблемы.

В общем, так и отболтались, мы предоставляем коннективити, а дальше проблемы юзера, почему он не пользуется фаерволом, но ведь проще один раз запретить, чем сто раз объяснить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а к нам хомячьё бегает, как так они чужие компы в сетевом окружении видят

tcp/139 и tcp/445 им закройте

 

к компьютеру настроенному среднестатистическим юзером, есть доступ из любой точки мира

Неправда ваша. К компьютеру с Win7, настроенному среднестатистическим юзером, нет доступа из любой точки мира. Если конечно этот юзер специально не отключил фаервол, или если не перевёл фаервол в режим Home network (супротив дефолтной Public network), или если чего ещё хуже не поставил какую-нибудь сборку ZverCD. Но тогда этот юзверь уже не среднестатистический.

Изменено пользователем dr Tr0jan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Новейшие разработки от MS такие как HomeGroup использует другие номера портов, а еще она использует ipv6

 

только win7 при подключении спрашивает к какой сети она подключена, и что должен выбрать юзер если комп стоит у него дома? а если у него будет домашняя сеть за роутером и все на ipv6 - какой профиль выберет юзер? параноидальный или тот, где домашние компы смогут друг с другом взаимодействовать?

Изменено пользователем zi_rus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zi_rus, HomeGroup защищена паролем. Не зная пароля, не увидишь в своей сети чужие машины.

 

Если у юзверя сеть за роутером, то среднестатистично - это NAT (а если не NAT, то проблема провайдера); если NAT, то и по ipv6 юзверь из другой сети никого не увидит при любых настройках фаерволла. Проблемы "хомячьё бегает, как так они чужие компы в сетевом окружении видят" возникают из-за multihomed компов (с несколькими сетевухами: одна - инет, вторая - домашняя локалка) с кривонастроенным фаерволом (Home network на интернетовском интерфейсе).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 dr Tr0jan Эээ ipv6 как бы и придумывался чтобы не было бедных НАТа. Все домашние устройства будут доступны из внешнего мира. Спасет только настроенный фаервол. Другой вопрос что 10 домашних устройств в его /64 не найдут перебором (ну или очень не скоро).. Ну так найдут по активности. есть много мест где логи светятся в мир, достаточно туда разок зайти.

 

зы. В винде фаервол научили фильтровать v6 ? Некоторое время назад оно этого не делало (как минимум по умолчанию).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zi_rus, HomeGroup защищена паролем. Не зная пароля, не увидишь в своей сети чужие машины.

про видят чужие компы, это я не в тему ляпнул, к ipv6 отношения не имеет, просто почему-то в голове всплыл случай, нам даже пытались нарушение конфиденциальности приплести

 

я вот homegroup не тестировал и не знаю что он сам по себе может показать без ipv4 примочек старых времен. пароль-то есть, но что мы видим пока пароль еще не введен?

 

мы четко обрисовали свою позицию и фильтровать что-либо отказались, мне кажется это правильно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

st_re, я ошибся, ниже расскажу почему.

 

В винде фаервол научили фильтровать v6 ? Некоторое время назад оно этого не делало (как минимум по умолчанию).

В win7 всегда фильтровало v6. По умолчанию не фильтровало в winxp, но там и v6 по умолчанию не было вообще.

 

про видят чужие компы, это я не в тему ляпнул, к ipv6 отношения не имеет

Ага, и меня что-то понесло. В win7 по умолчанию в Home network (он же Firewall Private profile) SMB/CIFS фильтруется по localsubnet. Т.е. супостаты из интернета не пройдут в любом случае. st_re, т.е. можно не париться и спокойно ставить Home профиль хоть с роутером, хоть без него.

 

я вот homegroup не тестировал и не знаю что он сам по себе может показать без ipv4 примочек старых времен. пароль-то есть, но что мы видим пока пароль еще не введен?

Ничего не видим. Вас просто не пустят в группу без пароля. Точнее вы даже найти её без пароля не сможете.

Изменено пользователем dr Tr0jan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уу.. если в конце шарки поставить $ то ее не видно... ага. В эксплорере. В остальных местах видно однако. Если на фай фай рутере поставить не анонсировать ssid то его не видно.. Но находится она на раз-два. Тут также ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего не видим. Вас просто не пустят в группу без пароля. Точнее вы даже найти её без пароля не сможете.

вот это не верно

 

http://www.techdays.ru/videos/1404.html

видео с момента 14:00 рассказывается как идет работа с хоумгруп

 

в двух словах, как только кто-то в локальной сети кто-то создаст группу, другие машины автоматически ее обнаруживают и они уже не могут ничего создать, а могут только присоединиться к созданной и для того чтобы узнать, что в сети создана группа, не надо знать пароля

Изменено пользователем zi_rus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

st_re, нет, речь идёт о другой технологии - о Homegroup, а не Network Neighbors.

 

zi_rus, забавно, пришли к тому, что сеть надо либо сегментировать по L2, либо резать Homegroup.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я и спрашиваю "не видно" реализовано так же, как в примерах выше ? а пароль поди в 90% случаем qwerty или подобный? достаточно чтобы было видно саму группу, пароль подберут не к 1-й так к 3-й найденной сети, ибо человек ленив.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

st_re, по умолчанию что-то вроде "k9gH4pj18G".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

st_re, там есть кнопка "распечатать на принтере", а если нет принтера, советуют написать на бумажке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zi_rus, HomeGroup защищена паролем. Не зная пароля, не увидишь в своей сети чужие машины.

Там и другие протоколы используются, найти не проблема.

И заплатки постоянно выходят для дыр как с прошедшими проверку так и не прошедшими -левыми юзерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ivan_83, тоже самое справедливо и для ipv4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.