привет, может расскажу в каком нибудь проекте, дело не мудренное, но ввиду того что я слаботочник у меня нет разветвленных сетей филиалов и кучи маршрутизаторов, поэтому статики с головой хватает ))
Микрот использовать как маршрутизатор и систему безопасности первого эшелона, а далее можно добавить NGFW фаервол. Хорошим вариантом так же будет использовать порт кнокинг, но после попадания в белый список, чтобы разрешалось подключаться к узлу через другой IP, а не на который вы стучитесь.
Спасибо за совет по NGFW, серьезный заслон, но опять же как слаботочник наврятли когда то с ним столкнусь. Думаю это прерагатива админов и ИБ специалистов в более серьезных системах. Скажи есть ли какая ни будь триал версия в софтовом исполнении NGFW, которую можно потестить или оно только в хардовом исполнении?
@@bpkuban Конечно же есть софт для установки на железо либо на виртуалку. Как вариант, на просторах интернета можно найти Kerio control с таблеткой. Либо есть вполне себе не плохой Ideco UTM, который можно использовать с триальной версией в которой почти весь функционал, за исключением Антивируса касперского для вэб трафика и отсутствие правил IPS от лаборатории касперского.
чтобы разрешалось подключаться к узлу через другой IP, а не на который вы стучитесь. чего за бред? через какой другой ип? ты думаеш адреса внешние нахаляву ч то ли дают, чтобы их как попало использовать?
круто! но для меня придётся смотреть несколько раз!) (я про понимание) подскажите как vless конфиг для дома в микротике прописать для обхода блокировок? валяется старенький 952
Что-то я мысль упустил). Зачем делать чёрный список, который банит на конкретном порту?) DROP так или иначе будет работать на неправильном порту, а так мы ещё и память будет тратить на это). Порткнокинг как по мне самое надёжное будет, правда надо бы сделать правила которые будут исключать злоумышленников из списка порткнокинг, если они будут стучаться на разные порты вне правильном порядке, я такое показывал у себя на канале на чистом nftables).
ну смотр у меня были случаи когда пытается обрабатывать именно один белый ip, конкретно один ip долбит, вот для таких случаев я и делаю хотя бы одну ловушку по известному порту в фаерволе. Это актуально когда у тебя как ни крути есть открытые порты на ружу, даже если нестандартные но по ним могут отработать Порткнокинг да вещь прикольная, поэтому разные варианты показал nftables круто, но тут попытался простыми словами показать логику работы простых цепочек, а так это можно было бы и в микроте показать в cli и в iptables.....но это сложнее новечкам в восприятии......
@@bpkuban Забыл что хотел спросить по микроту, вроде только помнил)). Микрот вроде напрямую с NetFilter общается, у него нет прослойки iptables или nftables?) В nftables добавили таблицу netdev она работает ещё до raw, я пробовал ддосить и drop делать в filter, raw и netdev, прям большая разница).
@@bpkuban Вспомнил)). Вот недавно, меня ддосили на порту 443 без указания домена, просто запросы на порт 443). Состряпал скрипт на bash который выясняет адреса, добавлял всех нарушителей в список, в nftables и делал им drop, почти как у тебя). В итоге оказалось не эффективно, список за пару суток вырос до около 200к адресов, ну и это же VDS там памяти по больше, и вроде как не критично, но мне этого было мало). В итоге я на python запустил ловушку TARPIT, она есть в репах, но именно на питоне вроде как она меньше ресурсов кушает, сейчас список в бан уже не 100-200к адресов, а около просто 50 ). Есть возможность на микроте, отправлять нехороший трафик в TARPIT?)
@@LinuxbyDmitry да микрот думаю напрямую с ядром общается netfilter .....имел ввиду другое....в видосе для простоты объяснял в понятном оконном режиме. Хотя ты в микроте можешь в cli так же писать например add chain=input protocol=tcp dst-port=8989 action=accept comment="WIN" что будет понятно всем кто работает в то й же утилите iptables в линухе Хороший коммент сделал, про тарпит нужно было тоже упомянуть, да такая возможность есть вешать соединения, для любителей посканить и подгадить. Но то как тебя бомбили 200к это круто, мой бы микрот тупо по памяти уже думаю лег. Я кстати на питоне тоже писал утилиты на scapy для tcp и udp флуда многопоточные.....проверял свое железо....когда был микрот 941й подобная атака изнутри сети ложила микрот просто влет (видос помоему даже на канале есть поищи). Снаружи таких налетов у меня не было поэтому интересно было бы послушать админов как правильно с крупным ddos бороться, полагаю когда количество запросов в единицу времени бешенное нужно либо на резервный канал провайдера уходить либо перед твоим добром хардовый файервол стоять должен Е
@@bpkuban У меня под ддос попал скажем так не значительный ресурс, которым по сути только я и пользуюсь, поэтому я в праве сделать там очень жёсткие ограничения). Изначально сделал ограничение в 10к соединений, то есть динамический список адресов пополнялся на час и всё что не попадало в этот список, в DROP, поэтому завалить сервер и не удалось изначально). Но правда они постоянно бомбили, да и сейчас пытаются заполнить этот список, что бы остальной трафик уходил в DROP). Сейчас скриптом из логов выясняю нормальные адреса, исключаю их из бан списка для нормального прохождения, ну остальное уже писал, сначала отправлял в DROP, что оказалось не эффективно, а сейчас в TARPIT). Тут как бы и DROP конечно не плохо справляется, если делать его в netdev таблице, но список большой накапливается и не хочу память на это расходовать, поэтому TARPIT лучше, они уже не могут бомбить как им хотелось бы).
смотря про что речь, если реверс шел, то это netcat админы и нехорошие дяди используют, если про софт на питоне, нигде...самописная прога под мои нужды
Да ты крут "мастер", но тут так не работает, ты или предлагай варианты чтобы всем интересно было или указывай на ошибки ...а просто так ляля .... заблочу
Спасибо, действительно полезный видос для новичков, кто начинает знакомиться с Микротик. У меня вся домашняя сеть построена на Микротик.
Гениальное объяснение
Привет! Расскажи в каком-нибудь видео о ospf, как ты его настраиваешь на микротик? Как изначально делаешь связность роутеров, нужен ли gre для ospf
привет, может расскажу в каком нибудь проекте, дело не мудренное, но ввиду того что я слаботочник у меня нет разветвленных сетей филиалов и кучи маршрутизаторов, поэтому статики с головой хватает ))
Микрот использовать как маршрутизатор и систему безопасности первого эшелона, а далее можно добавить NGFW фаервол. Хорошим вариантом так же будет использовать порт кнокинг, но после попадания в белый список, чтобы разрешалось подключаться к узлу через другой IP, а не на который вы стучитесь.
Спасибо за совет по NGFW, серьезный заслон, но опять же как слаботочник наврятли когда то с ним столкнусь. Думаю это прерагатива админов и ИБ специалистов в более серьезных системах. Скажи есть ли какая ни будь триал версия в софтовом исполнении NGFW, которую можно потестить или оно только в хардовом исполнении?
@@bpkuban Конечно же есть софт для установки на железо либо на виртуалку. Как вариант, на просторах интернета можно найти Kerio control с таблеткой. Либо есть вполне себе не плохой Ideco UTM, который можно использовать с триальной версией в которой почти весь функционал, за исключением Антивируса касперского для вэб трафика и отсутствие правил IPS от лаборатории касперского.
чтобы разрешалось подключаться к узлу через другой IP, а не на который вы стучитесь.
чего за бред? через какой другой ип? ты думаеш адреса внешние нахаляву ч то ли дают, чтобы их как попало использовать?
@@kalobyte Кому надо, тот понял о чем речь. Учите матчасть.
@@Dreadlock9000 ну давай, расскажи мне матчасть 🥸
круто! но для меня придётся смотреть несколько раз!) (я про понимание) подскажите как vless конфиг для дома в микротике прописать для обхода блокировок? валяется старенький 952
Круто, кратенько не надо, даже наоборот с большим количеством подробностей)
Что-то я мысль упустил). Зачем делать чёрный список, который банит на конкретном порту?) DROP так или иначе будет работать на неправильном порту, а так мы ещё и память будет тратить на это). Порткнокинг как по мне самое надёжное будет, правда надо бы сделать правила которые будут исключать злоумышленников из списка порткнокинг, если они будут стучаться на разные порты вне правильном порядке, я такое показывал у себя на канале на чистом nftables).
ну смотр у меня были случаи когда пытается обрабатывать именно один белый ip, конкретно один ip долбит, вот для таких случаев я и делаю хотя бы одну ловушку по известному порту в фаерволе. Это актуально когда у тебя как ни крути есть открытые порты на ружу, даже если нестандартные но по ним могут отработать
Порткнокинг да вещь прикольная, поэтому
разные варианты показал
nftables круто, но тут попытался простыми словами показать логику работы простых цепочек, а так это можно было бы и в микроте показать в cli и в iptables.....но это сложнее новечкам в восприятии......
@@bpkuban Забыл что хотел спросить по микроту, вроде только помнил)). Микрот вроде напрямую с NetFilter общается, у него нет прослойки iptables или nftables?) В nftables добавили таблицу netdev она работает ещё до raw, я пробовал ддосить и drop делать в filter, raw и netdev, прям большая разница).
@@bpkuban Вспомнил)). Вот недавно, меня ддосили на порту 443 без указания домена, просто запросы на порт 443). Состряпал скрипт на bash который выясняет адреса, добавлял всех нарушителей в список, в nftables и делал им drop, почти как у тебя). В итоге оказалось не эффективно, список за пару суток вырос до около 200к адресов, ну и это же VDS там памяти по больше, и вроде как не критично, но мне этого было мало).
В итоге я на python запустил ловушку TARPIT, она есть в репах, но именно на питоне вроде как она меньше ресурсов кушает, сейчас список в бан уже не 100-200к адресов, а около просто 50 ).
Есть возможность на микроте, отправлять нехороший трафик в TARPIT?)
@@LinuxbyDmitry да микрот думаю напрямую с ядром общается netfilter .....имел ввиду другое....в видосе для простоты объяснял в понятном оконном режиме. Хотя ты в микроте можешь в cli так же писать например add chain=input protocol=tcp dst-port=8989 action=accept comment="WIN" что будет понятно всем кто работает в то й же утилите iptables в линухе
Хороший коммент сделал, про тарпит нужно было тоже упомянуть, да такая возможность есть вешать соединения, для любителей посканить и подгадить. Но то как тебя бомбили 200к это круто, мой бы микрот тупо по памяти уже думаю лег.
Я кстати на питоне тоже писал утилиты на scapy для tcp и udp флуда многопоточные.....проверял свое железо....когда был микрот 941й подобная атака изнутри сети ложила микрот просто влет (видос помоему даже на канале есть поищи). Снаружи таких налетов у меня не было поэтому интересно было бы послушать админов как правильно с крупным ddos бороться, полагаю когда количество запросов в единицу времени бешенное нужно либо на резервный канал провайдера уходить либо перед твоим добром хардовый файервол стоять должен
Е
@@bpkuban У меня под ддос попал скажем так не значительный ресурс, которым по сути только я и пользуюсь, поэтому я в праве сделать там очень жёсткие ограничения). Изначально сделал ограничение в 10к соединений, то есть динамический список адресов пополнялся на час и всё что не попадало в этот список, в DROP, поэтому завалить сервер и не удалось изначально). Но правда они постоянно бомбили, да и сейчас пытаются заполнить этот список, что бы остальной трафик уходил в DROP). Сейчас скриптом из логов выясняю нормальные адреса, исключаю их из бан списка для нормального прохождения, ну остальное уже писал, сначала отправлял в DROP, что оказалось не эффективно, а сейчас в TARPIT).
Тут как бы и DROP конечно не плохо справляется, если делать его в netdev таблице, но список большой накапливается и не хочу память на это расходовать, поэтому TARPIT лучше, они уже не могут бомбить как им хотелось бы).
Что за прога, где взять ?
смотря про что речь, если реверс шел, то это netcat админы и нехорошие дяди используют, если про софт на питоне, нигде...самописная прога под мои нужды
0:03 тебе канал надо назвать "Из мира ЛАМЕРОВ".
Да ты крут "мастер", но тут так не работает, ты или предлагай варианты чтобы всем интересно было или указывай на ошибки ...а просто так ляля .... заблочу
@@bpkuban забей)
шрифт на видео капец. ни че ни видать)))