k
я может не до конца понимаю всю философию ... но при чуть более мудреном конфиге дефолтный приходится изрядно менять
политика такая: наружу все, снаружи - только явно разрешенное и ответный трафик.
Size: a a a
2021 January 03
k
остальное в дроп
VB
я может не до конца понимаю всю философию ... но при чуть более мудреном конфиге дефолтный приходится изрядно менять
ну вы меняете его как вам надо, но концепт то остается
n8
т.е. проще всех троянов переписать, чем пару сервисов, которые действительно надо?
у меня много сенвисов которые надо
k
и непонятно, зачем эти огромные простыни с какими-то спискаки, какие-то ханипоты и прочее
a
политика такая: наружу все, снаружи - только явно разрешенное и ответный трафик.
ну у меня по возможности и в силу моих знаний так и сделано .
VB
у меня много сенвисов которые надо
т.е. настолько что проще переписать что запрещено?
n8
т.е. настолько что проще переписать что запрещено?
да, ханипот в две строки )
n8
взято с этого канала кстати
VB
ханипот это отдельная железка?
a
да, ханипот в две строки )
огласите ,для посмотреть
n8
нет, две строки в правилах фв в микроте
VB
или это просто пару правил в рабочем фаере?
n8
Переслано от Игорь Маркин...
/ip firewall filter
add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp
/ip firewall raw
add action=drop chain=prerouting src-address-list=Honeypot
add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp
/ip firewall raw
add action=drop chain=prerouting src-address-list=Honeypot
n8
порты разумеется свои
VB
но смотрите, разве сначала поименно вычислять адреса и потом сравнивать с километровым листом кого банить менее затратно, чем проверять хоть 20 правил, которые можно, а следом дропнуть все
N
Любителям #zyxelkeenetic
Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel
https://www.opennet.ru/opennews/art.shtml?num=54343
Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel
https://www.opennet.ru/opennews/art.shtml?num=54343
n8
но смотрите, разве сначала поименно вычислять адреса и потом сравнивать с километровым листом кого банить менее затратно, чем проверять хоть 20 правил, которые можно, а следом дропнуть все
чтобы двацыть раз не пересказывать - у меня была работа на спутниковой станции с каналом 2 мегабита на 20 человек, там приходилось жестко регулировать кому что можно и сколько можно
дак вот, ютуб зарезать так и не получилось, так чтобы гугломайл работал
дак вот, ютуб зарезать так и не получилось, так чтобы гугломайл работал
a
Переслано от Игорь Маркин
/ip firewall filter
add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp
/ip firewall raw
add action=drop chain=prerouting src-address-list=Honeypot
add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp
/ip firewall raw
add action=drop chain=prerouting src-address-list=Honeypot
у меня примерно так же
n8
не слабо там буков😱
но вот буков там действительно много