Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.UNIX.BSD
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.UNIX.BSD с датами от 18 Jan 11 22:51:00 до 18 Jan 24 18:16:22, всего сообщений: 10753
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 8905 из 10753 ===================================== RU.UNIX.BSD =
От   : Anton Gorlov                     2:5059/37          04 May 19 18:05:08
Кому : Eugene Grosbein                                     04 May 19 18:05:08
Тема : interrupt cpu usage
FGHI : area://RU.UNIX.BSD?msgid=2:5059/37@FidoNet+5ccdae07
На   : area://RU.UNIX.BSD?msgid=grosbein.net+455dd2c9
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=grosbein.net+00df5dde
==============================================================================
Привет Eugene!

04 май 19 года (а было тогда 19:12)
Eugene Grosbein в своем письме к Anton Gorlov писал:

AG>> [skip]
EG>>> Есть в правилах ipfw слово "me"?
AG>> Да есть. Фильтруется доcтуп к snmp/ssh
EG> Перемести в /etc/hosts.allow

Можно конечно, но не хотелось всё размазывать по кучке мест.
А так всё в 1 месте и применяется ко всем нужным сервисам.

AG>> А если вместо me прописать явным образом адреса в правилах,
AG>> например через ipfw table что-то изменится или тоже cамое,вид
AG>> сбоку?
EG> По сравнению с hosts.allow - вид сбоку.

А по сравнению с "me"?

EG>>> как можно раньше уходя на allow или эквивалент, для этого
EG>>> можно использовать skipto.
AG>> Да так оно и есть. Дропаю входящие ко мне
EG> Зачем? Фряхе всё по-барабану.

Я имею ввиду дропаю точто мнене нужно тчобы светило во вне и там где нет libwrap.

AG>> потом netbios и порт 4444 (несколько
AG>> раз на него прилетало всякое непотребство)
EG> Да и пусть летит, ядро и без пакетного фильтра всё заблочит:

Так дропаю в том числе и на транзите. Достали всякие ботнетики и прчоие непотребства.
На 4444  несколько раз прилетал такой хороший флуд в сторону клиента,причём клиент ещё и отвечал на него. Вангую чт оатм ботнетик был, как и на микротиках с открытым 53 udp.
С тех пор как заабнил больше туда ничгео не прилетало,по кр мерре в таком объёме.

EG> открой для себя sysctl net.inet.tcp.blackhole и net.inet.udp.blackhole

Давно.
===
# drop UDP packets destined for closed sockets
net.inet.udp.blackhole=1
# drop TCP packets destined for closed sockets
net.inet.tcp.blackhole=2
===

Но тут речь и про открытые порты на стороне клиентов с реальниками, которые таки приходится подфильтровывать.

AG>> и остальное в allow.
AG>> Hу ещё  deny icmp from any to any in icmptype 5,9,13,14,15,16,17
EG> Hе нужно низачем вообще.

Ну.. не уверен что оно не нужно. В сети клиентов полно говна, которое на такое всё ещё местами клюёт.

EG> А зачем тебе вообще net-snmpd? Используй штатный bsnmpd,
EG> он нормально фильтрует запросы по /etc/hosts.allow (имя сервиса
EG> snmpd).

Уже не помню почему на него перешёл.. но чего-то в ранние времена не хватало. Опять же унификация ПО.

EG>>> Hо тут-то система недогружена сильно.
AG>> Ещё вариант повесить acl на 65 кошке, которая в данном случае по
AG>> L2 смотрит на bgp. Hо стоит ли?
EG> Да у тебя система недогружена очень сильно, тебе вообще только
EG> из академического интереса можно всем этим заниматься.

Да из-за него и ковыряю в общем-то.


                     С уважением. Anton aka Stalker

Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
--- GoldED+/LNX 1.1.5-b20160322
* Origin: Multi multa sciunt, nemo - omnia (2:5059/37)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.093097 секунды