Задачка «нужно ли настраивать FORWARD фаерволла, если есть NAT?» задачка из «курсов начинающих сетевиков» различных вендоров. И только недотеоретики спорят с моим вариантом ответа. Ибо NAT by design не фильтрующее средство, а как раз средство обеспечения связности.
да, можно попытаться прописать gateway. Редкая вырожденная ситуация, которую вероятно можно встретить в каких-нибудь студенческих общежитиях с самопальной сетью.
Ну то есть еще раз. NAT ничего без фаервола не блокирует. Блокирует либо отсутствие маршрутизации, либо фаерволл.
Крупный провайдер крупного российского города. Дает ипы из сети /21. Торренты качаются через сеть провайдера, как раз через внутреннюю сеть этого провайдера.
И такой провайдер не один по РФ. Практически все, кто не использует туннелирование типа l2tp или pppoe. Это же не мультикаст\броадкаст, который изолируют по vlan'ам.
Разжуйте, будьте любезны уж. Особенно как reverse filter будет фильтровать IP в случае ситуации, описанной мною. Объясню на пальцах:
Ваш роутер имеет два порта: wan и lan. на wan ip, предположим, 7.7.7.100/24, на LAN 192.168.0.1/24. Фаервола нет, есть rp filter и NAT 192.168.0.0/24->7.7.7.100.
Злоумыленик в той же локалке, что и WAN порт роутера. У злоумышленика один интерфейс с адресом 7.7.7.200/24. Злоумышленик прописывает у себя
ip route add 192.168.0.0/24 via 7.7.7.100. После чего обращается на 192.168.0.2.
Будьте любезны разжевать, что именно воспрепятствует нашему роутеру заблокировать пакеты межу 7.7.7.200 и 192.168.0.2?
Для справки rp filter фильрует только пакеты, у которых адрес отправителя не соотвествует сети на порту. В нашем случаее это условие нигде не нарушается.
И не хамите. Недостаток знаний сам по себе проблемой не является, а вот Ваше упорство при недостатке знаний очень даже.
Более того, в предложенном мною варианте это никак не поможет. Пакеты на WAN интерфейс буду приходит с подсети WAN-интерфейса, как я и указал во втором абзаце предыдущего комментария.
Нет, не препятствует. Зная адресацию внутренней подсети, злоумышленик может указать WAN адрес роутера как шлюз для этих внутренних адресов и благополучно будет к ним обращаться, если не настроен фаервол.
Да, конечно, злоумышленик должен быть в той же сети, что и WAN-порт роутера, но сути это не меняет, NAT ничему не препятствует сам по себе. Это не его задача.
А дальше уже от клиента зависит как он сгенерирует свой адрес: windows сделает рандомизацию, а большинство линуксов в т.ч. embedded соберут адрес из мака сетевого интерфейса по методу eui64.
Не делает рандомизацию, а использует privacy extensions (rfc4941) и не «windows делает, а линукс не делает», а так как включено в ОС\Network Manager по умолчанию.
Всякие тру линуксойды покусанные Столлманом презирают тик за то что они коряво патчат ядро и не выкладывают никаких патчей нарушая гпл.
Кстати, вот об этом. Я тут покопался и пришел к выводу, что это ещё одна сказка от хейтеров (вот поэтому я и не хожу на всякие наги и прочие лоры, а составляю собственное суждение основанное на текущей ситуации), которая развенчивается тут. Если кратко, то routeros (пока не доказано обратное) — есть ничто иное как набор немодифицированного GPL кода (список которого они приводят в лицензии с ссылками, по которым вы можете этот код скачать), LGPL кода (который не требует ничего упоминаемого) и проприетарного кода микротика, про который они тем более ничего никому не должны. Так что рекомендую меньше шляться по форумам, больше думать своей головой.
Как менее производительны!? — В тплинках тоже самое железо!
Ну вот так вот. tp-link ни по стабильности работы, ни по производительности ни в какое сравнение не идет даже на стомегабитке, не говоря про скорости выше. Может из-за качествено сделанной routeros и хорошо подогнанной под использованное железо, может из-за контроля качества, не знаю. Факт тех, кто реально юзает микротики на лицо. В том же сетевом сегменте они стабильнее и производительнее аналогов конкурентов. Что бы Вас не казалось или что бы анонимусы на форумах не писали.
Касательно проблем — сам не юзаю почти что, но знаю где тусуются те кто юзает и у кого проблемы. Сам точно так же заглядываю на форум длинка перед покупкой свича для себя, чтобы узнать о всех «прелестях» конкретной модели.
А я юзаю и говорю из первых рук. Микротик — первое SOHO оборудование, которое реально поставил и забыл.
Производительность тика получить не проблема и порвать его, особенно юзая hwnat который много где в роутерах есть, собственно почти везде уже лет как 5.
Я у вас уже несколько раз спрашивал, что есть в той же ценовой категории, что может порвать тики? Вы как-то уходите от ответа конкретного. Скажем хочу за 60 долларов 800 мегабит NAT'а торрентов или 300 мегабит IPSec. (750Gr3). Ну или хотя бы просто 700-800 мегабит NAT'а торрентов (даже 751ая серия с fasttrack вытянет).
Хомячковые роутеры вполне себе рвут тика в НАТ на стоковых прошивках.
Сказки без конкретики.
Производительность тика на х86 — вообще никакая, народ постоянно жалуется что это поделие только одно ядро проца жрёт и невесть откуда нагрузка появляется, когда у коллег на таком же и более слабом железе с обычным линухом в разы больше трафика проходит без проблем.
Тем более сказки. У меня CHR в своей виртуалке крутится и лопатит 100 с небольшим мегабит IPSec трафика на одном ядре. Не ахти что, но вполне сравнимо с линуксом.
Раньше пионеры-провайдеры ставили трафик инспектор на венде, а теперь тик — результат один: оно больше глючит и тормозит чем работает :)
Опять же сказки, сейчас общаюсь с крупным провайдером (GPON, радиолинки), они не нарадуются тому, что перешли на тики.
У него и спрашивают в ответ, «а что нормально?». Его ответы либо менее производительны, либо дороже. При этом на вопрос «какие проблемы?» шлет куда-то на форумы по принципу «сам не знаю, но осуждаю».
Так вот. Ты сейчас в начале пути со своими тиками. Дальше идут либо железки типа эджроутера, DFL серия длинка, и нижние модели кошек и можевельника либо линух/бсд.
Микротик же начинается на чуть выше среднего SOHO и заканчивается в низах ISP и бизнеса.
Спасибо, конечно. Я середину прошел, к концу подхожу. Линуксы уже достаточно прошел, именно поэтому понимаю, что производительности микротиков ни я, ни Вы на обычном линуксе (как и на прошивках типа openwrt) не добьетесь за сравнимые деньги. Только и всего. А так, я сам гентушник и как никто другой понимаю прелесть сборки из исходников и конфигурации под себя.
100% моих заказчиков нашли меня НЕ через соцсети. Более того, я бы не стал работать с заказчиком или исполнителем, который использует соцсети в рабочих целях. Кроме специализированных типа linkedin и только как одну из опций. Где вы представлены, там вас и находят. Представлены в соцсетях — найдут там. Представлены в нормальных местах — найдут не через соцсети.
Совершенно свободно покупал и покупаю аккумуляторы для 8800 и 3310 на митинском радиорынке. Мне кажется, что для вашего телефона их там тоже найти не проблема.
Те слишком много фанатизма вокруг тиков, при довольно узком кругозоре советующих и в целом низкой компетенции (ибо сравнить им часто не с чем).
Честно скажу, юзаю микротики с 6ой версии только. За предыдущие версии не отвечаю, но про 6+ подписываюсь под всем мною сказанным выше.
Я пока замечал только необоснованный хейт, либо неосиливших любителей SOHO, либо крутых цискарей, которые не верят, что оборудование в разы(на порядки) дешевле может делать то же самое.
Про форум нага еще раз — не хочу читать мнения анонимов, из-за того самого необоснованного хейта. Знаете конкретные проблемы меньше, чем двухлетней давности? Давайте обсудим.
ЗЫ: Через мои руки прошли длинки, асусы, зюхели и тплинки. Самыми глючными были зюхели (начинали неадекватить на торрентах через стомегабитку), но это было больше двух лет назад, поэтому за текущую ситуацию про их глюкавость я не скажу, тогда я для себя открыл микротики и серьезные проблемы с глюками сетевых железок кончились.
Да кто ж спорит, глюки бывают у чего угодно, хоть у циски, хоть у зюхеля, хоть у микротика. Микротиковские глюки можно в changelog'е, например, посмотреть.
Но из лично моей практики в SOHO сегменте относительно других роутеров микротик страдает только высоким порогом вхождения. В остальном при прочих равных лучше других.
Подтвердить или опровергнуть вашу проблему не могу — у меня userman только на CHR'ах. Но Вы же пробовали обновляться до последней ros? Желательно вместе с firmware.
Да и userman весьма хорошо документирован на их вики.
На практике все «глюки» микротиков заканчиваются на внимательном чтении wiki и называются «недопонял», «недоразобрался». Не знаю кто и что пишет на форумах, лично ставил микротики многим людям, пользуюсь сам — серьезных проблем за 4 года было 2-3 (заметных для домашних пользователей — 1 ), ушли с обновлением ros на следующую версию, которая вышла в течение двух недель.
Так что единственная реальная проблема микротиков, а не высосанная хейтерами — высокий порог вхождения.
Ну и да, ros — проприетарная. Но когда opensource начнет что-то предлагать аналогичное по соотношению производительность+функционал к цене, перейду на это в первых рядах.
Не ломают ros — потому что не надо. Нормальная ценовая политика и существование решения под x86 — нивелируют весь смысл её ломать.
Ну то есть еще раз. NAT ничего без фаервола не блокирует. Блокирует либо отсутствие маршрутизации, либо фаерволл.
Крупный провайдер крупного российского города. Дает ипы из сети /21. Торренты качаются через сеть провайдера, как раз через внутреннюю сеть этого провайдера.
И такой провайдер не один по РФ. Практически все, кто не использует туннелирование типа l2tp или pppoe. Это же не мультикаст\броадкаст, который изолируют по vlan'ам.
Ваш роутер имеет два порта: wan и lan. на wan ip, предположим, 7.7.7.100/24, на LAN 192.168.0.1/24. Фаервола нет, есть rp filter и NAT 192.168.0.0/24->7.7.7.100.
Злоумыленик в той же локалке, что и WAN порт роутера. У злоумышленика один интерфейс с адресом 7.7.7.200/24. Злоумышленик прописывает у себя
ip route add 192.168.0.0/24 via 7.7.7.100. После чего обращается на 192.168.0.2.
Будьте любезны разжевать, что именно воспрепятствует нашему роутеру заблокировать пакеты межу 7.7.7.200 и 192.168.0.2?
Для справки rp filter фильрует только пакеты, у которых адрес отправителя не соотвествует сети на порту. В нашем случаее это условие нигде не нарушается.
И не хамите. Недостаток знаний сам по себе проблемой не является, а вот Ваше упорство при недостатке знаний очень даже.
Да, конечно, злоумышленик должен быть в той же сети, что и WAN-порт роутера, но сути это не меняет, NAT ничему не препятствует сам по себе. Это не его задача.
Это не так. Сам NAT никак не препятствует установлению соединений с компьютерами внутри сети. За это отвечает как раз и только фаервол.
Не делает рандомизацию, а использует privacy extensions (rfc4941) и не «windows делает, а линукс не делает», а так как включено в ОС\Network Manager по умолчанию.
Кстати, вот об этом. Я тут покопался и пришел к выводу, что это ещё одна сказка от хейтеров (вот поэтому я и не хожу на всякие наги и прочие лоры, а составляю собственное суждение основанное на текущей ситуации), которая развенчивается тут. Если кратко, то routeros (пока не доказано обратное) — есть ничто иное как набор немодифицированного GPL кода (список которого они приводят в лицензии с ссылками, по которым вы можете этот код скачать), LGPL кода (который не требует ничего упоминаемого) и проприетарного кода микротика, про который они тем более ничего никому не должны. Так что рекомендую меньше шляться по форумам, больше думать своей головой.
Ну вот так вот. tp-link ни по стабильности работы, ни по производительности ни в какое сравнение не идет даже на стомегабитке, не говоря про скорости выше. Может из-за качествено сделанной routeros и хорошо подогнанной под использованное железо, может из-за контроля качества, не знаю. Факт тех, кто реально юзает микротики на лицо. В том же сетевом сегменте они стабильнее и производительнее аналогов конкурентов. Что бы Вас не казалось или что бы анонимусы на форумах не писали.
А я юзаю и говорю из первых рук. Микротик — первое SOHO оборудование, которое реально поставил и забыл.
Я у вас уже несколько раз спрашивал, что есть в той же ценовой категории, что может порвать тики? Вы как-то уходите от ответа конкретного. Скажем хочу за 60 долларов 800 мегабит NAT'а торрентов или 300 мегабит IPSec. (750Gr3). Ну или хотя бы просто 700-800 мегабит NAT'а торрентов (даже 751ая серия с fasttrack вытянет).
Сказки без конкретики.
Тем более сказки. У меня CHR в своей виртуалке крутится и лопатит 100 с небольшим мегабит IPSec трафика на одном ядре. Не ахти что, но вполне сравнимо с линуксом.
Опять же сказки, сейчас общаюсь с крупным провайдером (GPON, радиолинки), они не нарадуются тому, что перешли на тики.
Спасибо, конечно. Я середину прошел, к концу подхожу. Линуксы уже достаточно прошел, именно поэтому понимаю, что производительности микротиков ни я, ни Вы на обычном линуксе (как и на прошивках типа openwrt) не добьетесь за сравнимые деньги. Только и всего. А так, я сам гентушник и как никто другой понимаю прелесть сборки из исходников и конфигурации под себя.
Честно скажу, юзаю микротики с 6ой версии только. За предыдущие версии не отвечаю, но про 6+ подписываюсь под всем мною сказанным выше.
Я пока замечал только необоснованный хейт, либо неосиливших любителей SOHO, либо крутых цискарей, которые не верят, что оборудование в разы(на порядки) дешевле может делать то же самое.
Про форум нага еще раз — не хочу читать мнения анонимов, из-за того самого необоснованного хейта. Знаете конкретные проблемы меньше, чем двухлетней давности? Давайте обсудим.
ЗЫ: Через мои руки прошли длинки, асусы, зюхели и тплинки. Самыми глючными были зюхели (начинали неадекватить на торрентах через стомегабитку), но это было больше двух лет назад, поэтому за текущую ситуацию про их глюкавость я не скажу, тогда я для себя открыл микротики и серьезные проблемы с глюками сетевых железок кончились.
Но из лично моей практики в SOHO сегменте относительно других роутеров микротик страдает только высоким порогом вхождения. В остальном при прочих равных лучше других.
Подтвердить или опровергнуть вашу проблему не могу — у меня userman только на CHR'ах. Но Вы же пробовали обновляться до последней ros? Желательно вместе с firmware.
Да и userman весьма хорошо документирован на их вики.
Так что единственная реальная проблема микротиков, а не высосанная хейтерами — высокий порог вхождения.
Ну и да, ros — проприетарная. Но когда opensource начнет что-то предлагать аналогичное по соотношению производительность+функционал к цене, перейду на это в первых рядах.
Не ломают ros — потому что не надо. Нормальная ценовая политика и существование решения под x86 — нивелируют весь смысл её ломать.