Ρε γεοιοαννου,........
Δε βγαινει στο ιντερνετ το πισι σου με το να κοβεις το default route και οχι το ρουτερ.
Εμφάνιση 16-23 από 23
-
31-01-19, 15:39 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #16Άλλα Ντάλλα....
-
31-01-19, 15:54 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #17
ναι, ετσι που το λες ειναι πιο σωστο.
- - - Updated - - -
για να καταλαβενομαστε. ειπα οτι δεν κανω default route γιατι θελω να το δημιουργήσω manual για να μπορεσω να "παιξω" με το table και να εχω την δυνατοτητα επιλογης του απο που θα βγαινω εξω ειτε σαν δικτυο ειτε σαν μηχανημα/συσκευη.
-
31-01-19, 22:22 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #18
To αν κάνεις default route, παίρνει Distance 1. Έστω ότι το έχεις βάλει 100.
Σε κάθε περίπτωση όμως έχεις το λεγόμενο last resort gateway. Ακόμα και με distance 100 :P
Από κάποιο ρημάδι next hop βγαίνει το ρούτερ σου (είτε η unmarked κίνηση είτε αν έχει οριστεί αλλιώς από το mangle)
κίνηση προς τον ρούτερα input (αδιάφορα τα subnets σου)
κίνηση ΑΠΟ τον ρούτερα-output (αδιάφορα τα subnets σου)
κίνηση ΔΙΑΜΕΣΟΥ του ρουτερα -forward (εδώ μας ενδιαφέρει το subnet σου)
Από την στιμή που έχεις κάνει mangle-ότι-μπαίνει-βγαίνει-από-εκεί-που-μπήκε (το πακέτο εννοω ή το connection),
το ίδο και το αυτό (πρέπει να) ισχύει και για τα outgoing κίνησή σου εκτός αν έχει οριστεί αλλιώς (...)
Διαφορετικά, δεν θα δούλευε.
Παράδειγμα : Έρχεται κάτι στο interface1 (eth, wifi, Lte whatever) και βγαίνει με default route από άλλο? Αποτέλεσμα : Broken connection.
Ορθώς λοιπόν δέχεσαι επισκέψεις στις ανοικτές σου πόρτες διότι είναι θέμα ρύθμισης.
Εξίσου ορθό ότι με το που κρεμιεσαι (σόρρυ για το νεολογισμό) με pppoe παίρνεις public ΙΡ
Οπότε η ανάγκη firewall είναι επιτακτική.
Παίξε με τα interface lists για εξοικονόμηση κανόνων και ταχύτητα επεξεργασίας.
Αν θες κάνε ένα export compact από firewall nat+mangle και ip routes να το μελετήσουμε.Τελευταία επεξεργασία από το μέλος ayger : 31-01-19 στις 22:35.
-
04-02-19, 21:12 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #19
λοιπον, επειδη εγινε λογος την προηγουμενη εβδομαδα και επειδή το ΣΚ που περασε ασχολήθηκα αρκετα και κανοντας αλλαγες ειδα διάφορα!
παραθετω μια εικονα και εξηγω παρακατω.
λοιπον εχουμε και λεμε. στην εικονα βλεπουμε δυο static routes. Και τα δυο εχουν το ιδιο interface σαν gateway, το οποιο ειναι το PPPOE.
Στο πρωτο βλεπουμε οτι ειναι reachable ενω στο δευτερο δεν ειναι. Αλλα,
- Με το πρωτο ολο το δικτυο βγανει στο ιντερνετ, αλλα το MK δεν κανει ping κατι απο τον εξω κοσμο.
- Με το δευτερο το MK κανει κανονικα ping σε κατι προς τα εξω, λειτουργει NTP client, ddns κλπ
και το πιο περιεργο!
οταν κανω enable το δευτερο static route, αυτο που δινει εξοδο του MK, τοτε γίνονται οι επιθεσεις που ειχα κανει αναφορα στα προηγουμενα ποστ.
ισως δεν εχει σημασια να δουμε τα τι και τα πως. εγω δεν μπορω να τα εξηγησω και να τα ερμηνευσω μιας και οι γνωσεις μου ειναι καπως περιορισμενες σε αυτο το routing κομματι.
απλα το αναφερω αυτο με τις επιθεσεις μιας και επειδη το ΣΚ εφτιαξα το Load balance και το ΜΚ εχει προσβαση στο εξω κοσμο ΔΕΝ εχω ΚΑΜΙΑ επιθεση.
πως γινετα με αυτον τον κανονα και μονο να υπαρχουν επιθεσεις! το λεω γιατι στα προηγουμενα ποστ ειπε καποιος οτι παντα ειχα επιθεσεις αλλα δεν το εβλεπα....
-
04-02-19, 21:52 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #20
Ο πρώτος κανονας εξυπηρετεί μόνο το συγκεκριμένο routing mark που προφανώς έχεις φτιάξει με κάποιο mangle.
Ο δεύτερος είναι ο default κανόνας και κανονικά θα έπρεπε να είναι κι αυτός reachable.
Τώρα εφόσον μιλάς για Load balancing υποθέτω ότι έχεις κάνει Mangle με το subnet του εσωτερικού σου δικτύου με αποτέλεσμα αυτός ο κανόνας να μην "πιάνει" το ίδιο το router καθώς όταν ξεκινήσει μια κίνηση από το ίδιο το router θα έχει source ip την ip του pppoe.
Άρα χωρίς τον 2ο κανόνα δεν έχει ίντερνετ το ίδιο το router αλλά έχει το lan σου λόγο του 1ου κανόνα για αυτό και δεν δουλεύουν NTP, DNS κλπ
Επομένως και χωρίς το 2ο κανόνα έχεις προσπάθεις επιθέσεων απλά το router δεν έχει gateway για να απαντήσει σε αυτά τα requests.
Η σωστή λύση να υπάρχει default gateway αλλά μαζί με ένα καλό firewall
-
05-02-19, 10:32 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #21
Φτιαξεε firewall................
Άλλα Ντάλλα....
-
05-02-19, 23:35 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #22
-
05-02-19, 23:37 Απάντηση: firewall και επιθεσεις απο το ιντερνετ! #23
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Bookmarks