forum.opennet.ru

"Релиз дистрибутива для создания межсетевых экранов pfSense 2..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	–2 +/–
Сообщение от пох (?), 14-Окт-17, 11:30
> Есть несколько способов защититься от этого: ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается. то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет) При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов. А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо. > Там всё сложно потому что сама задача сложна. потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Релиз дистрибутива для создания межсетевых экранов pfSense 2..., opennews, 13-Окт-17, 12:14 [смотреть все]

The best , DKG, 13-Окт-17, 13:13 (9)
Вот блин, жаль, что x86 Прекращают Куда теперь девать мой древний аквариус, на , Аноним, 13-Окт-17, 13:28 (11) //
- работает - не трогай, нонаним, 13-Окт-17, 13:32 (12)
- 32-bit x86 hardware can continue to run pfSense software version 2 3 x, which wi, tonys, 13-Окт-17, 13:41 (13) //
  - а не сдохнет - пересобрать новое ведро или обновить порт шибко-нужного vpn а тож, пох, 13-Окт-17, 14:26 (16) //
    - Ты наконец-то прочитал инструкцию к своему роутеру Теперь спешишь со всеми поде, Аноним, 13-Окт-17, 22:11 (34)
      - Ему просто зажали 35 баксов в час в его помойке, вот он и пытается с лохов сруби, Аноним, 20-Окт-17, 01:44 (53)
- Оpnsense же есть, Кир, 14-Окт-17, 12:20 (45)
- на x86 можно воткнуть openwrt, наненаним, 17-Окт-17, 11:22 (50)
Отличный продукт К железу не требователен У меня работает уже 7 лет в корпорат, Аноним, 13-Окт-17, 16:14 (17) //
- Это - да Кстати в команде есть наши люди Это смотря что из пакетов ты захочеш, _, 13-Окт-17, 16:30 (22)
Вот это настораживает Работал нормально Сейчас как , Аноним, 13-Окт-17, 16:42 (23)
Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт при исходящ, Тузя, 13-Окт-17, 18:07 (27) //
- https ru wikipedia org wiki NAT Там всё написано По умолчанию почти все дис, Алексей, 13-Окт-17, 20:21 (31)
- потому что эта штука не наттер, на замену сдохшего длинка-за-пиццот-рублей из , пох, 13-Окт-17, 20:41 (32) //
  - Как же тебя жалко Живёшь в гнилых мирках, где кругом одни утырки и со всем вс, Аноним, 13-Окт-17, 23:10 (37) //
    - ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас та, пох, 13-Окт-17, 23:46 (38)
      - Такой недетский линукс , Аноним, 14-Окт-17, 00:12 (40)
      - Просто прекрасно работает Есть несколько способов защититься от этого 1 Firewal, Тузя, 14-Окт-17, 02:36 (42)
        
        не кормите троля хотя в отношении sip я с ним, отчасти, согласен и не только , Max, 14-Окт-17, 10:31 (43)
        
        Разработчики asterisk просто используют SIP не по назначению , Аноним, 14-Окт-17, 17:11 (46)
        
        ну есть много костыликов и подпорочек, ага А надежных способов - кроме дорогущи , пох, 14-Окт-17, 11:30 (44)
        
        Бегемоты и гиппопотамы Нет, не делает Сколько бы ты не пытался мне это рассказа, Тузя, 15-Окт-17, 18:06 (47)
  - Нет придумали Никакими заменами портов в NAT от спуфинга не защититься Враньё , Тузя, 14-Окт-17, 02:00 (41)
  - Не ругайте пианиста 8212 он играет, как умеет Они просто хотели автоматизаци, Anonymoustus, 16-Окт-17, 09:47 (48) //
    - ну, в общем-то, кроме них никто и не захотел - ничего лучшего чем sip, мы так и , пох, 18-Окт-17, 21:13 (52)
А мне больше старые версии сего продукта нравятся И выглядят лучше по-старинке, Alex, 13-Окт-17, 21:34 (33)
Проапгрейдил на свою голову с 2 3 на 2 4 Тормоза жуткие включились, через полдн, Аноним, 16-Окт-17, 16:16 (49)
Отличный продукт Применяю в конторе OpenVPN, IAX2 Защита от сбоев 2 провайдер, Аноним, 17-Окт-17, 17:59 (51) //
- Какой ещё конторе Лицензию купить не забыли , Егор, 28-Ноя-17, 10:23 (55) //
  - Какую еще лицензию дяд Он бесплатный, плату берут за тех поддержку , Анон1602, 01-Фев-19, 04:29 (56)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру