Последние статьи и обзоры
Новости
Інтернет = 1 Гбіт/с
-
Scoffer
Member
Правильний фаєрвол в домашніх умовах це дроп інпут на ван-портах як захист від кул-хацкерів зі сканерами і 0-дей вразливостями, та і аутпут в світ для камер і іншого дірявого іот майна теж підрізати треба щоб віщали тільки куди треба, без копії в особистий архів піня, а не оті ваші вигадки за 28 кілобаксів
-
Борщ
Member
- Откуда: Київ
Scoffer
Та ні, не вигадки, далеко не вигадки:)
Але згоден, тут кожному своє, якщо задача - чисто власна інфогігієна, то можна і чимось вбудованим обійтись на рівні iptables а якщо тобі треба капасіті в 12 мільйонів тср сесій, для прикладу, та по порядка 30к ip префіксів в ACL, по яким ці сесії фільтувати + обмеження по портам, то там цінники ростуть в геометричній прогресії. Я звісно не сумніваюсь, що ти спец і в апаратних FW, куди мені)
28 - це ще бюджетненько)
Та ні, не вигадки, далеко не вигадки:)
Але згоден, тут кожному своє, якщо задача - чисто власна інфогігієна, то можна і чимось вбудованим обійтись на рівні iptables а якщо тобі треба капасіті в 12 мільйонів тср сесій, для прикладу, та по порядка 30к ip префіксів в ACL, по яким ці сесії фільтувати + обмеження по портам, то там цінники ростуть в геометричній прогресії. Я звісно не сумніваюсь, що ти спец і в апаратних FW, куди мені)
28 - це ще бюджетненько)
-
Scoffer
Member
Борщ
І шо тобі це прям вдома треба тримати 12 мільйонів сесій? Щось дуже сумнівно.
Вдома куди більш приземлені завдання, котрі тим не менш потребують наявності фаєрвола як такого.
І шо тобі це прям вдома треба тримати 12 мільйонів сесій? Щось дуже сумнівно.
Вдома куди більш приземлені завдання, котрі тим не менш потребують наявності фаєрвола як такого.
-
Борщ
Member
- Откуда: Київ
Scoffer
То я ж про те в першому реченні й написав) мій вибір то й же iptables. Дьошево і сєрдіто:)))
То я ж про те в першому реченні й написав) мій вибір то й же iptables. Дьошево і сєрдіто:)))
-
sanya555
Member
- Откуда: Київ, Оболонь
Так это нереально сделать, во первых полного гигабита все равно не будет, хоть шнурком прямо в комп, хоть через роутер. Даже если вам будет раздавать сидбоксер с 10 гиговым каналом, максимум что я видел это 116 метров, а я торентщик со стажем на кинозале отданого трафика почти 716 терабайт. Сейчас у меня древний роутер Сяоми 3G, он гигабита не замечает, я могу качать кино 80-90 метров, при этом смотреть формулу на сетанте, мама в это время может на другом телике смотреть кино по самбе с диска подключенного к роутеруPCюк: ↑ 02.11.2024 15:00Кто-то может провести тест и выложить скрин с опровержением или доказательством?
-
BorisBrejcha
Member
- Откуда: Odessa
а зачем вам такой прибор дома?Борщ: ↑ 03.11.2024 01:23 S
Шо ліквідатор, що ти, повний нуль:) навіть без цитат. Ти взагалі знаєш що таке фаєрвол? Чи це для тебе галочка в налаштуваннях роутера? Правильний фаєрвол вартує не один десяток тисяч доларів. Даже поганий китайський одноюнітовий dptech fw1000 з ліцензією вартує 28куе.
какой у вас трафик чтобы иметь такой файрвол?
-
Евгений King
Member
- Откуда: Казна-де
Та шо Ви той "IoT" сюди приплітаєте, для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол? Може Ви його налаштовуєте по ману з інету або галочками на роутері, без розуміння що це і для чого?S: ↑ 03.11.2024 06:26И что, читал читал да недочитал раз такие глупости пишешь. Ты что не знаешь один из основных приципов ИБ, что ходить по сети должно только то что разрешено. Как ты собираешься это реализовать без фаервола? И не важно корпоративная сеть это или домашняя. Дома даже хуже поскольку всякого рода IoT устройства не имеют никакой защиты от слова вообще.Евгений King: ↑ 02.11.2024 23:28Ви це кажете власнику HAP ac2 і по сумісництву людині, котра з мережами працює, я прочитав мануалів і книжок по мережам більше, аніж Ви.
Если роутер софтовый все там нагрузится. Достаточно у гугла спросить про vpn tunnel 100% cpu.Евгений King: ↑ 02.11.2024 23:28VPN тунелі не балансуються по ядрам, як і ряд інших функцій, так що роутер цілком буде нормально собі жити навіть з шифрованим тунелем в повну заявлену полосу у 400М.Если будут интенсивно качать то на гигабитном порту L2TP/IPSec туннеля в удаленный офис вполне достаточно что бы положить на лопатки любой домашний или околодомашний роутер. Спеки на сайте Микротик тому подтверждение.Евгений King: ↑ 02.11.2024 23:28 Зовсім інша справа це те, що ви не навели сценарію такого тунелю і де б він Вам був у нагоді. Просте "я зашифрую увесь свій трафік просто тому що" звучить як наркоманія)
От ви пане майстер язиком ляпати, кажете у гугла спитати, спитав, ось ВАМ чітке підтвердження, що шифрований тунель в ROS юзає одне ядро: Якщо Вам треба ганяти великі об'єми даних поміж офісами по L2TP/IPSec на інфраструктурі HAP ac2 - це звучить дуже сумно, а така компанія виглядає дуже погано, бо не виділили достатньо коштів на нормальну інфраструктуру. Якщо ж мова про те, що у Вас вдома HAP ac2 і ви додому по тунелю з роботи дані переганяєте і назад - то тут великі питання до органцізації робочого процессу і знову таки, якщо таке дозволяється - компанія дуже погано виглядає в моєму розумінні. Не знаю навіть, чи то приклад у Вас поганий вийшов, чи Ваші реалії настільки сумні)
-
tablestikus
Member
- Откуда: Київ
Взагалі то фаєрвол є в кожному роутері, у більшості домашніх просто його керування урізано по повній і частину речей автоматизованов в налаштуваннях без користувача.Евгений King: ↑ 03.11.2024 15:13 для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол? Може Ви його налаштовуєте по ману з інету або галочками на роутері, без розуміння що це і для чого?
-
Scoffer
Member
Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.Евгений King: ↑ 03.11.2024 15:13для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?
-
Ekz0rcyst
Member
- Откуда: Місцевий
Евгений King
Чи треба firewall взагалі? Чи ви маєте на увазі нащо він в роутерах? Не зовсім розумію суті вашого питання. Уточніть про що йде мова.
Чи треба firewall взагалі? Чи ви маєте на увазі нащо він в роутерах? Не зовсім розумію суті вашого питання. Уточніть про що йде мова.
-
tablestikus
Member
- Откуда: Київ
Я якось мережу сканив і побачив такий комп - там щей пошарені диски були. Ну я злив трохи домашнього _ з нього)))Scoffer: ↑ 03.11.2024 17:52Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.Евгений King: ↑ 03.11.2024 15:13для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?
-
Rucha
Member
- Откуда: Київ
tablestikus
"Кому я потрібен..."
Тем не менш я б таким не хизувався, бо це явка з повинною в скоїнні криминального злочину.
"Кому я потрібен..."
Тем не менш я б таким не хизувався, бо це явка з повинною в скоїнні криминального злочину.
-
artko
Member
- Откуда: Dnipro
так дефолтна вінда наче вже давно ставить після встановлення параметрі фаервола на публічну мережу та блочить усе..Scoffer: ↑ 03.11.2024 17:52 Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.
-
tablestikus
Member
- Откуда: Київ
Нічого не відбувалосяRucha: ↑ 03.11.2024 19:20 tablestikus
"Кому я потрібен..."
Тем не менш я б таким не хизувався, бо це явка з повинною в скоїнні криминального злочину.
-
Scoffer
Member
artko
Ага, і юзер не відходячи від каси вмикає шару все для всіх шоб скинути домашнє відео tablestikus'у
Налаштування прав це куди як більш складна концепція ніж файрвол на роутері все дропає без розбору, а юзер про те ні сном ні духом.
Ага, і юзер не відходячи від каси вмикає шару все для всіх шоб скинути домашнє відео tablestikus'у
Налаштування прав це куди як більш складна концепція ніж файрвол на роутері все дропає без розбору, а юзер про те ні сном ні духом.
-
Евгений King
Member
- Откуда: Казна-де
Прямо якийсь дитсадок.Scoffer: ↑ 03.11.2024 17:52Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.Евгений King: ↑ 03.11.2024 15:13для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?
ПК за роутером це не те саме, що пк напряму з білою адресою, роутер дропне 99% зайвого вже банальною своєю наявністю.
Те що ви фаерволом прикриєте, то звісно добре, але практично безкорисно, лише зайве навантаження на роутер.
А те що у вас півгіга якогось трафіку дропається - то питання до провайдера, видно у провайдера схема мережі з минулого століття і ви сидите у VLAN з кількома сотнями інших клієнтів, от вони і розсилають вам броадкаст і інше сміття.
Мільйони людей сидять з гівно роутерами апріорі без фаєрволів і щось я не бачив щоденних витоків данних, зломів і іншої ахінеї через це.
Задля закриття питання в цілому, поясню в трьох словах свою позицію:
Фактичний реальний фаєрвол на роутері не потрібен, він дропає все те, що роутер і так проігнорує. Немає сенсу писати кілометрові правила фаєрволу, це не раціонально і не доцільно. Якщо все ж бажаєте якийсь фаєрвол - цілком достатньо дефолтного, котрий пропонує виробник девайсу.
Більш важливо, аби роутер мав актуальне ПО і не світив в мережу інтерфейсом, на котрий реально зайти ззовні, а також мав гарний лог/пасс без усіляких admin/admin і т.д.
Без додаткового налаштування роутера зловмисник нічого кримінального не зробить. Мається на увазі, поки ви самі не відкриєте якусь діру.
Ну і важливо прикрити усі відомі діри, веб інтерфейс, FTP, etc, змінити порти, вимкнути зайві сервіси, задати інше ім'я девайсу, це просто зменшить потенційну цікавість до вашого роутера у брутфорс мереж і інших допитливих персон.
Що я маю на увазі реально, з прикладу мого роутера:
- вимкнено всі ip -> services окрім SSH та winbox, останні доступні виключно з локалки, встановлено власний лог/пасс
- вимкнено DNS "сервер" самого роутера, оскільки раніше він мав вразливості, та й ніколи не розумів користі від кешу DNS коли RTT до Cloudflare/Google 1-5 ms
- замінено ssh та winbox порти
- роутер автоматично оновлюється на актуальний софт
- для додаткової безпеки можна прикрутити скріпт, котрий буде всі спроби авторизації і інше сміття одразу ловити і блокувати
Як результат, я бачу за останній місяць рівно 6 спроб авторизації від допитливих ботнетів, на цьому все. Зламати роутер фактично не можливо, навіть якщо буде якась вразливість на рівні ПО роутера - зловмисник тупо не авторизується.
Якщо навіть і прилетить інший раз якийсь лівий пакет, роутер його просто дропне, бо пакет фактично не має кінцевого адресату.
PS: загалом в 99.9% ситуацій ваш роутер чи ПК чи інше устаткування потрібні зловмисникам для розширення власної ботнет мережі, що опісля буде приймати участь в DDoS, звісно я не виключаю, що можливі сценарії коли вас хочуть прямо таргетно взяти за дупу, отримати доступ до ПК або вкрасти якісь дані, та без саме в першу чергу вашої допомоги, зробити це все не реально.
PSPS: це все не стосується китай техніки, реєстраторів, камер і іншого IoT, їх бажано виокремлювати в іншу мережу чи реально крити фаєрволами вдоль та в поперек.
-
Scoffer
Member
Евгений King
Я не справжній сварщик в мережах, просто мимо проходив, але ти щось плутаєш. Береш видаляєш/дісейблиш всі правила в /ip firewall на своїй мікроті -> вітаю, маршрутизатор нічого не дропає з усіма відповідними наслідками
Відправлено через 8 хвилин 37 секунд:
Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.
Я не справжній сварщик в мережах, просто мимо проходив, але ти щось плутаєш. Береш видаляєш/дісейблиш всі правила в /ip firewall на своїй мікроті -> вітаю, маршрутизатор нічого не дропає з усіма відповідними наслідками
Відправлено через 8 хвилин 37 секунд:
Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.
-
Евгений King
Member
- Откуда: Казна-де
Якщо пакет не має фактичного адресата, він дропнеться.Scoffer: ↑ 04.11.2024 01:45 Евгений King
Я не справжній сварщик в мережах, просто мимо проходив, але ти щось плутаєш. Береш видаляєш/дісейблиш всі правила в /ip firewall на своїй мікроті -> вітаю, маршрутизатор нічого не дропає з усіма відповідними наслідками
Відправлено через 8 хвилин 37 секунд:
Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.
Отримавши пакет з зовнішньої мережі роутер шукає в таблиці трансляцій порт призначення, в заголовку пакета. Якщо буде співпадіння, IP адреса призначення та номер порта заміняються значеннями таблиці і пакет піде у внутрішню мережу. Якщо співпадінь немає - пакет проігнорується.
Суто для свідків корисності фаєрволу, підняв собі, таки впевнили в його корисності
От тільки чогось за пів години він нічого вагомого не піймав, вивів в логи всі дропи, пара якихось гадів сканують порти роутера і на цьому все :
- спойлер
-
tablestikus
Member
- Откуда: Київ
Перетворення адреси методом NAT може виконувати майже будь-який маршрутизаційний пристрій — маршрутизатор, сервер доступу, міжмережевий екран (фаєрвол).Scoffer: ↑ 04.11.2024 01:45 Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.
Відправлено через 50 секунд:
Я погледів що там у мене є з відкритого на вході, так тіки пару портів для впн та прокидання порта для торрент-клієнта. Все інше дропається)
-
Евгений King
Member
- Откуда: Казна-де
Ну ось Вам за півдня статистика фаєрволу:
Навіть додав правило, аби ловимти їх і блокувати одразу. За пів дня всього 5 активних сканерів піймало, а весь фаєрвол наловив аж 3Мб трафіку, це ніщо, це реально дуже мало, враховуючи що я поставив десятикратно більший таймер відлову, ніж був в дефолтному скріпті.
У декотрих людей скріпт наловлює до 200-500 хостів на день.
З цього я роблю висновок, що чомусь мій роутер ботнетам не сильно то й цікавий, Видно всьго два відкриті порти в кінці діапазону більшість сканерів не нащупують
А от варто виставити на вінбокс/SSH дефолтний порт, або лишити включену вебку роутера, або пробити порт на ПК чи IoT, ботнети будуть Вас домагатись товпами)
ВСЕ ЩЕ не зрозумів, навіщо треба Ваш фаєрвол і все ще потребую пояснень
У мене відкрито всього 2 порти, про котрі я знаю, через котрі зламати роутер не реалістично. Тому те, що хтось там сканує якісь порти, ну таке, хай сканує. Блокуй не блокуй його, він буде їх сканувати постійно бо це скріпт, а не людина, головне, як і писав раніше - це згасити цікавість цих зловмисників.
- спойлер
Навіть додав правило, аби ловимти їх і блокувати одразу. За пів дня всього 5 активних сканерів піймало, а весь фаєрвол наловив аж 3Мб трафіку, це ніщо, це реально дуже мало, враховуючи що я поставив десятикратно більший таймер відлову, ніж був в дефолтному скріпті.
У декотрих людей скріпт наловлює до 200-500 хостів на день.
З цього я роблю висновок, що чомусь мій роутер ботнетам не сильно то й цікавий, Видно всьго два відкриті порти в кінці діапазону більшість сканерів не нащупують
А от варто виставити на вінбокс/SSH дефолтний порт, або лишити включену вебку роутера, або пробити порт на ПК чи IoT, ботнети будуть Вас домагатись товпами)
ВСЕ ЩЕ не зрозумів, навіщо треба Ваш фаєрвол і все ще потребую пояснень
У мене відкрито всього 2 порти, про котрі я знаю, через котрі зламати роутер не реалістично. Тому те, що хтось там сканує якісь порти, ну таке, хай сканує. Блокуй не блокуй його, він буде їх сканувати постійно бо це скріпт, а не людина, головне, як і писав раніше - це згасити цікавість цих зловмисників.