Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Przejdź na stronę 1 2 Następna
Autor Wiadomość
Post: pt, 29 mar 2013 23:42:04 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: ndz, 28 sie 2005 18:08:11
Posty: 1788
Uwaga, zalecam nie korzystać z DNSów na MT (czyli zwykła konfiguracja Allow Remote Requests) bez wycięcia takiego ruchu na zewnątrz - MT może stać się potencjalnym pośrednikiem ataków opartych o: http://niebezpiecznik.pl/post/anonimowi ... lblackout/ . Do tego pojawiają się na tej - http://openresolverproject.org/ - stronie jako możliwy do wykorzystania serwer DNS.

Jak się zabezpieczyć:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=wlan1

taką regułkę w MT należy dodać aby zabezpieczyć nasz DNS, wlan1 to nasz port WAN w tym przypadku

_________________
Pozdrawiam,
Colir
--
Startupy.co - polskie forum o startupach


Na górę
Post: sob, 30 mar 2013 10:44:36 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec

Rejestracja: wt, 29 wrz 2009 12:10:16
Posty: 2898
Lokalizacja: Kraków
Nie lepiej zablokować na input by było? Uważam, że tak ponieważ jak pakiet dojdzie do serwera dns w MT to i tak przy ich dużej ilości może to zapchać serwer dns.

_________________
Oddaj krew, to ratuje życie, dla Ciebie to tylko godzina i dodatkowe profity :)


Na górę
Post: sob, 30 mar 2013 11:06:43 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: ndz, 28 sie 2005 18:08:11
Posty: 1788
Masz rację, poprawiłem.

_________________
Pozdrawiam,
Colir
--
Startupy.co - polskie forum o startupach


Na górę
Post: pt, 05 kwie 2013 9:43:58 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 974
Lokalizacja: Suwałki
Jak ktoś pomyślał wcześniej , to ma zabezpieczone DNSy. Ja nie mam problemu w sieci.


Na górę
Post: sob, 06 kwie 2013 13:11:23 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: czw, 08 wrz 2011 10:12:59
Posty: 60
Ja mam to zrobione inaczej bez wskazywania interfejsu bo ten czasami jest w moim przypadku ruchomy.

Kod:
chain=input action=drop protocol=udp src-address-list=!local-address dst-port=53


I w IP Firewall Address Lists stworzone wpisy dla local-address z pulami adresów, które mają mieć dostęp do serwera DNS np:
Kod:
192.168.100.0/24
:)


Na górę
Post: sob, 15 cze 2013 3:07:35 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: czw, 30 gru 2010 9:08:51
Posty: 314
Czyli na maszynach końcowych ustawiać serwery DNS dostawców ? a nie brame na MT ?


Na górę
Post: ndz, 16 cze 2013 1:52:13 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: czw, 12 mar 2009 23:46:35
Posty: 1410
lukaszek pisze:
Czyli na maszynach końcowych ustawiać serwery DNS dostawców ? a nie brame na MT ?


No przecież z posta wyraźnie wynika, że nie. Chodzi tylko o inny sposób blokowania - niepolegający na blokowaniu zapytań przychodzących na zewnętrzny IP, tylko sposób polega na blokowaniu zpytań przychodzących z urządzeń o innych adresach niż lokalne(zadane przez odpowiednie address-listy.


Na górę
Post: pt, 02 sie 2013 16:57:21 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: wt, 20 lis 2007 1:54:38
Posty: 1197
Lokalizacja: Grójec
W tym szalenstwie jest metoda ale mnie blokuje to przypadkiem samych wewnetrznych zapytan

_________________
Netia 200 USERS
http://www.itsnet.net.pl
JT4916-RIPE


Na górę
Post: czw, 10 paź 2013 20:56:01 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: ndz, 18 gru 2005 14:42:14
Posty: 1247
Lokalizacja: Góry
colir pisze:
Uwaga, zalecam nie korzystać z DNSów na MT (czyli zwykła konfiguracja Allow Remote Requests) bez wycięcia takiego ruchu na zewnątrz - MT może stać się potencjalnym pośrednikiem ataków opartych o: http://niebezpiecznik.pl/post/anonimowi ... lblackout/ . Do tego pojawiają się na tej - http://openresolverproject.org/ - stronie jako możliwy do wykorzystania serwer DNS.

Jak się zabezpieczyć:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=wlan1

taką regułkę w MT należy dodać aby zabezpieczyć nasz DNS, wlan1 to nasz port WAN w tym przypadku



Wystarczy tylko tyle dopisać na CPE? Sprawdzone?


Na górę
Post: pt, 11 paź 2013 8:15:46 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec
Awatar użytkownika

Rejestracja: ndz, 21 sty 2007 20:41:55
Posty: 3648
wojtekc pisze:
colir pisze:
Uwaga, zalecam nie korzystać z DNSów na MT (czyli zwykła konfiguracja Allow Remote Requests) bez wycięcia takiego ruchu na zewnątrz - MT może stać się potencjalnym pośrednikiem ataków opartych o: http://niebezpiecznik.pl/post/anonimowi ... lblackout/ . Do tego pojawiają się na tej - http://openresolverproject.org/ - stronie jako możliwy do wykorzystania serwer DNS.

Jak się zabezpieczyć:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=wlan1

taką regułkę w MT należy dodać aby zabezpieczyć nasz DNS, wlan1 to nasz port WAN w tym przypadku



Wystarczy tylko tyle dopisać na CPE? Sprawdzone?


Na jakim CPE ? CPE jest twoim serwerem DNSu ?

_________________
http://www.digitalnet.pl


Na górę
Post: pt, 11 paź 2013 8:36:16 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: ndz, 28 sie 2005 18:08:11
Posty: 1788
Qmpeltaty pisze:
wojtekc pisze:
colir pisze:
Uwaga, zalecam nie korzystać z DNSów na MT (czyli zwykła konfiguracja Allow Remote Requests) bez wycięcia takiego ruchu na zewnątrz - MT może stać się potencjalnym pośrednikiem ataków opartych o: http://niebezpiecznik.pl/post/anonimowi ... lblackout/ . Do tego pojawiają się na tej - http://openresolverproject.org/ - stronie jako możliwy do wykorzystania serwer DNS.

Jak się zabezpieczyć:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=wlan1

taką regułkę w MT należy dodać aby zabezpieczyć nasz DNS, wlan1 to nasz port WAN w tym przypadku



Wystarczy tylko tyle dopisać na CPE? Sprawdzone?


Na jakim CPE ? CPE jest twoim serwerem DNSu ?

Jak masz NAT-a na CPE to może być.

_________________
Pozdrawiam,
Colir
--
Startupy.co - polskie forum o startupach


Na górę
Post: pt, 11 paź 2013 9:13:28 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec
Awatar użytkownika

Rejestracja: ndz, 21 sty 2007 20:41:55
Posty: 3648
colir pisze:
Jak masz NAT-a na CPE to może być.


Tak tez o tym myslalem ale dla mnie to abstrakcja, nie wyobrazam sobie robienia natu na CPE.

_________________
http://www.digitalnet.pl


Na górę
Post: sob, 12 paź 2013 23:15:54 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: sob, 28 sie 2010 0:26:18
Posty: 369
Lokalizacja: Wrocław
Ja nie wyobrażam sobie nie robienia NATu na CPE (poza biznesem). Duża część syfu nie wyłazi poza NAT, klient podpina co chce i ile chce, UPNP dba o porty jakby co.. wg mnie to najlepsze rozwiązanie - terminowanie sesji na CPE, maskara, dhcp i inne bajery. Wygoda, oszczędność i bezpieczeństwo.

A ten motyw z dnsami jakoś ostatnio się uspokoił...


Na górę
Post: sob, 12 paź 2013 23:20:57 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: czw, 12 mar 2009 23:46:35
Posty: 1410
piterus90 pisze:
A ten motyw z dnsami jakoś ostatnio się uspokoił...


oj nie bardzo...
ostatnio zabiło mi biedniutki 1M uploadu świeżutkiego DSLka od GTSu. Drop na inpucie i spokój.


Na górę
Post: ndz, 13 paź 2013 14:02:54 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 974
Lokalizacja: Suwałki
I znowu wraca temat DNS i fake requestów. Ostatnio ręcznie musiałem zblokować około 100 klas adresowych z których płynęło masa zapytań. Zastanawiam się jak to ogarnąć. Na CPE nie daję allow remote request ale zapytania i tak lecą. Nie jest to może strasznie uciążliwe ale jest i motylanoga.

_________________
AS198408; BT2299-RIPE
"Mucha nie kuca......."

IRCNET: #mikrotik.pl


Na górę
Post: ndz, 13 paź 2013 14:23:48 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec

Rejestracja: wt, 29 wrz 2009 12:10:16
Posty: 2898
Lokalizacja: Kraków
Nie myślałeś, aby na brzegówce na forwardzie odpowiednio filtrować?

_________________
Oddaj krew, to ratuje życie, dla Ciebie to tylko godzina i dodatkowe profity :)


Na górę
Post: ndz, 13 paź 2013 15:55:29 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 974
Lokalizacja: Suwałki
HaPe pisze:
Nie myślałeś, aby na brzegówce na forwardzie odpowiednio filtrować?

Jak chciałbyś to wyfiltrować ? Jeden ciołek kiedyś dał forward dst-port=53 protocol=udp action=drop :D Na input mam drop, ale jak zabezpieczyć siec przed atakami nie blokując tych normalnych zapytań.

_________________
AS198408; BT2299-RIPE
"Mucha nie kuca......."

IRCNET: #mikrotik.pl


Na górę
Post: ndz, 13 paź 2013 23:56:19 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: czw, 12 mar 2009 23:46:35
Posty: 1410
@up a co, jakiś klient potrzebuje DNSa wystawić na zewnątrz??
Przecież kierunek można zdefiniować?


Na górę
Post: ndz, 27 paź 2013 17:38:21 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent
Awatar użytkownika

Rejestracja: śr, 27 paź 2010 12:06:36
Posty: 350
Lokalizacja: sosnowiec
@up +1

MethOd pisze:
jak zabezpieczyć siec przed atakami nie blokując tych normalnych zapytań.

korzystać z UTMów albo zaimplementować gdzieś IPSa


Na górę
Post: pt, 01 lis 2013 12:09:03 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 974
Lokalizacja: Suwałki
Ale jeśli np. w sieci masz inne usługi , nie tylko net dla klientów. Masz sobie klasę np. /22.

Co dalej ?

_________________
AS198408; BT2299-RIPE
"Mucha nie kuca......."

IRCNET: #mikrotik.pl


Na górę
Post: pn, 04 lis 2013 10:20:33 
Odpowiedz z cytatem
Offline
Starszy czytelnik
Starszy czytelnik

Rejestracja: czw, 19 cze 2008 23:14:26
Posty: 163
Ja poradziłem sobie w następujący sposób:

Kod:
add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward \
comment="DNS security" connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=udp

add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=TCP


a potem zwyczajnie daje na forward DROPa z tych adresów:

Kod:
add action=drop chain=forward comment=DNSScanners dst-port=53 protocol=udp src-address-list=DNSScanners
add action=drop chain=forward dst-address-list=DNSScanners dst-port=53 protocol=udp


problem jak ręką odjął


Na górę
Post: czw, 20 lut 2014 0:04:55 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pt, 24 lip 2009 11:30:07
Posty: 986
Lokalizacja: Polska
itf pisze:
Ja poradziłem sobie w następujący sposób:

Kod:
add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward \
comment="DNS security" connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=udp

add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=TCP


a potem zwyczajnie daje na forward DROPa z tych adresów:

Kod:
add action=drop chain=forward comment=DNSScanners dst-port=53 protocol=udp src-address-list=DNSScanners
add action=drop chain=forward dst-address-list=DNSScanners dst-port=53 protocol=udp


problem jak ręką odjął


Taką konfigurację wbijasz na każdym MT które natuje ruch dla klienta ?

No i do PPPoE Client to się nie nada :(

failure: connection limit works only with tcp


Na górę
Post: czw, 20 lut 2014 3:31:57 
Odpowiedz z cytatem
Offline
Starszy czytelnik
Starszy czytelnik

Rejestracja: czw, 19 cze 2008 23:14:26
Posty: 163
To jest na moich DNSach z publicznymi IPkami, z których korzystają klienci.
Nie ma potrzeby dawać tego na MT NATujących, bo są nieosiągalne z zewnątrz. Akurat u mnie.


Na górę
Post: ndz, 23 lut 2014 16:24:09 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent
Awatar użytkownika

Rejestracja: śr, 27 paź 2010 12:06:36
Posty: 350
Lokalizacja: sosnowiec
a jak lokalnie będą się miedzy sobą atakować?

kto powiedział, że źli ludzie sa tylko w interncie


Na górę
Post: pn, 24 lut 2014 9:11:36 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec
Awatar użytkownika

Rejestracja: ndz, 21 sty 2007 20:41:55
Posty: 3648
urbinek pisze:
a jak lokalnie będą się miedzy sobą atakować?

kto powiedział, że źli ludzie sa tylko w interncie


To zgodnie z umowa i regulaminem dostana wypowiedzenie umowy (i kare).

_________________
http://www.digitalnet.pl


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie
Przejdź na stronę 1 2 Następna


Kto jest online

Użytkownicy przeglądający to forum: grzegorz_k, Jardo, Werniks i 9 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest śr, 29 mar 2017 20:50:28

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl