Size: a a a

RouterOS Security

2020 December 10

A

AgamemnoN in RouterOS Security
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Посмотри в packet flow diagram, на каком этапе отрабатывает srcnat, вспомни что делает masquerade и что в таком случае будет со всеми соединениями которые будут ходить из интернета в локалку
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Посмотри в packet flow diagram, на каком этапе отрабатывает srcnat, вспомни что делает masquerade и что в таком случае будет со всеми соединениями которые будут ходить из интернета в локалку
Из интернета в локалку идут по dstnat . В ответ на входящий на 25 порт, комп 0.2 лезет через маскарад по 53му на DNS сервер. В задаче почта ходит, т.е. DNS резолвится и всё отправляется
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
Из интернета в локалку идут по dstnat . В ответ на входящий на 25 порт, комп 0.2 лезет через маскарад по 53му на DNS сервер. В задаче почта ходит, т.е. DNS резолвится и всё отправляется
Неправильно вы матчасть изучили. Пакеты могут проходить и dstnat и srcnat независимо от направления
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Неправильно вы матчасть изучили. Пакеты могут проходить и dstnat и srcnat независимо от направления
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Так какие по сути будут проблемы на уровне IP пакетов в случае если неправильно настроить srcnat с маскарадом?
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Так какие по сути будут проблемы на уровне IP пакетов в случае если неправильно настроить srcnat с маскарадом?
Спойлер - проблемы начнутся чуть менее чем со всеми транзитными соединениями
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Спойлер - проблемы начнутся чуть менее чем со всеми транзитными соединениями
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
Да я понимаю, но к попаданию в спам-то это как приведёт?)
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
Да я понимаю, но к попаданию в спам-то это как приведёт?)
Это уже тонкости работы SNMP, надо вникать
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Это уже тонкости работы SNMP, надо вникать
Учитывая, что задачка заманивает на курсу по микротику, не думаю)
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Ладно, не так. Если к примеру будет проходить соединение между хостами двух локалок, то хост-сервер на основе поля src address будет пологать что он общается со шлюзом а не с хостом из другой локалки. Может это и будет так работать, вот только как минимум для мониторингов это не есть хорошо
Кстати, в цепочке input отсутствие явно указанного интефейса означает, что используются все. Т.е. правила, написанные для WAN применятся и для локалки.  А с маскарадом как?
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
Кстати, в цепочке input отсутствие явно указанного интефейса означает, что используются все. Т.е. правила, написанные для WAN применятся и для локалки.  А с маскарадом как?
Если речь про NAT то там есть две "цепочки" - srcnat и dstnat, и они отрабатывают именно там где это показано в той самой диаграммы. Вопрос - какая разница в данном контексте WAN или нет?
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Если речь про NAT то там есть две "цепочки" - srcnat и dstnat, и они отрабатывают именно там где это показано в той самой диаграммы. Вопрос - какая разница в данном контексте WAN или нет?
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
источник

C

Chumayu in RouterOS Security
AgamemnoN
Вот этой
какая-то херь как по мне, причём тут микротик
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
Вы совсем запутались)
Ещё раз - что делает маскарад?
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Вы совсем запутались)
Ещё раз - что делает маскарад?
Подменяет локальный ип источника ип роутера и шлет наружу
источник

LT

Linux/o.id[8]🦇 Tech-... in RouterOS Security
AgamemnoN
Подменяет локальный ип источника ип роутера и шлет наружу
Тут нет таких понятий как локальный или ип роутера
источник

E

Evgеnу in RouterOS Security
AgamemnoN
В любом случае пакет наружу или уйдет с ip роутера, или не уйдет совсем.
Или нет?
Не может же в него записаться ip локалки?
А вы прочитайте как ходят tcp пакеты.

На Хабре где-то был цикл "сети для самых маленьких" или что-то вроде.

Там от модели OSI до настройки всяческих MPLS и прочих ужасов.
И как ходят пакеты тоже написано.
источник

A

AgamemnoN in RouterOS Security
Linux/o.id[8]🦇 Tech-Worker
Тут нет таких понятий как локальный или ип роутера
Ну не придирайтесь)
источник