LT
Anton Ermolov
Т.е. это как с bogon сетями? Рудимент старины?
А их в инет не пускать что не так?
Size: a a a
2021 February 11
AE
Их из инета блокировать пытаются)
P
А их в инет не пускать что не так?
Я так понимаю речь за кривых провайдеров и тд
LT
Anton Ermolov
Их из инета блокировать пытаются)
А, это. Да, было и я таким раком мозгов страдал чуток😅
LT
PDA
Я так понимаю речь за кривых провайдеров и тд
По поводу блока dst BOGON из инетов разве что
AE
Кстати, по поводу кривых провайдеров: у меня домру на серьёзных щах трассировку на серый айпи отправил далеко в просторы инета)))
LT
А вот как бы совместить блекхолы на BOGON с большими метриками и IKEv2 ещё придумать надо
AE
Я был удивлён...
ВК
Народ привет!
Только начинаю в освоении фаервола на микротике и самого микротика в целом, так что сильно не пинайте если что))
В общем вопрос в следующем, есть правило идет сразу за фастреком т.е. второе, которое дропает всех из списка port_scanners
В список port_scanners динамичесик добавляются по фильтру PSD как на wiki
Дело в том, что когда я NMAP'ом сканирую свой белый адрес (сижу вне своей сети), вижу, что первым делом он добавляет меня в этот список и потом дропает меня (вывожу в лог в котором видно как NMAP перебирает порты) но дело в том что NMAP каким то чудом все равно находит некоторые открытые порты, как интересно?
Только начинаю в освоении фаервола на микротике и самого микротика в целом, так что сильно не пинайте если что))
В общем вопрос в следующем, есть правило идет сразу за фастреком т.е. второе, которое дропает всех из списка port_scanners
В список port_scanners динамичесик добавляются по фильтру PSD как на wiki
Дело в том, что когда я NMAP'ом сканирую свой белый адрес (сижу вне своей сети), вижу, что первым делом он добавляет меня в этот список и потом дропает меня (вывожу в лог в котором видно как NMAP перебирает порты) но дело в том что NMAP каким то чудом все равно находит некоторые открытые порты, как интересно?
АД
Народ привет!
Только начинаю в освоении фаервола на микротике и самого микротика в целом, так что сильно не пинайте если что))
В общем вопрос в следующем, есть правило идет сразу за фастреком т.е. второе, которое дропает всех из списка port_scanners
В список port_scanners динамичесик добавляются по фильтру PSD как на wiki
Дело в том, что когда я NMAP'ом сканирую свой белый адрес (сижу вне своей сети), вижу, что первым делом он добавляет меня в этот список и потом дропает меня (вывожу в лог в котором видно как NMAP перебирает порты) но дело в том что NMAP каким то чудом все равно находит некоторые открытые порты, как интересно?
Только начинаю в освоении фаервола на микротике и самого микротика в целом, так что сильно не пинайте если что))
В общем вопрос в следующем, есть правило идет сразу за фастреком т.е. второе, которое дропает всех из списка port_scanners
В список port_scanners динамичесик добавляются по фильтру PSD как на wiki
Дело в том, что когда я NMAP'ом сканирую свой белый адрес (сижу вне своей сети), вижу, что первым делом он добавляет меня в этот список и потом дропает меня (вывожу в лог в котором видно как NMAP перебирает порты) но дело в том что NMAP каким то чудом все равно находит некоторые открытые порты, как интересно?
Конфиг давацте на пастбейн
А
ты у Тохи купил?
Нет, он свой сарай упорно называет гаражем и удивляется почему не продается
ВК
Конфиг давацте на пастбейн
АД
Например: сделать таймаут на адреслисте более 10 минут (дефолтный таймаут на tcp в коннтреке) или добавить адрес nmap ручками, подождать закрытия всех соединений с адресом nmap (10 мин +), или сбросить их в контреке ручками, и проверить снова. Можно еще дроп правило перенести в raw (но с raw осторожно, можно потерять контроль, если делать невнимательно).
ВК
Например: сделать таймаут на адреслисте более 10 минут (дефолтный таймаут на tcp в коннтреке) или добавить адрес nmap ручками, подождать закрытия всех соединений с адресом nmap (10 мин +), или сбросить их в контреке ручками, и проверить снова. Можно еще дроп правило перенести в raw (но с raw осторожно, можно потерять контроль, если делать невнимательно).
таймаут был изначально неделя, сейчас сделал специально т.к. меня блочит когда тестирую, 3 минут хватает на сканирование, на всякий случай поставил 5 минут..
ВК
Например: сделать таймаут на адреслисте более 10 минут (дефолтный таймаут на tcp в коннтреке) или добавить адрес nmap ручками, подождать закрытия всех соединений с адресом nmap (10 мин +), или сбросить их в контреке ручками, и проверить снова. Можно еще дроп правило перенести в raw (но с raw осторожно, можно потерять контроль, если делать невнимательно).
»добавить адрес nmap ручками
это как, не совсем понял?
это как, не совсем понял?
АД
таймаут был изначально неделя, сейчас сделал специально т.к. меня блочит когда тестирую, 3 минут хватает на сканирование, на всякий случай поставил 5 минут..
Коннтрек держит открытые соединения tcp по умолчанию - 10 минут.
АД
»добавить адрес nmap ручками
это как, не совсем понял?
это как, не совсем понял?
В адреслист плохих парней
АД
Но я бы не стал строить такие эксперименты на удаленном роутере - это к дороге.
ВК
Коннтрек держит открытые соединения tcp по умолчанию - 10 минут.
вон оно что, возможно предыдущее сканирование еще не закрыло соединение получается
ВК
Но я бы не стал строить такие эксперименты на удаленном роутере - это к дороге.
есть такое))
но у меня есть возможность смены адреса своего, так что впринципе можно поиграться)
но у меня есть возможность смены адреса своего, так что впринципе можно поиграться)