Насколько я понимаю блокировка не валидного трафика и нормально закрытый фаерволл (запрещено все что не разрешено) должны перекрыть потребность в отдельном списке содержащем динамически изменяемый набор подсетей для bogon.
Фильтр фаервола не имеет никакого отношения к списку BOGON. Его предназначение описано в статье. Список не так часто изменяется. Однако, если хотите, есть ресурсы и скрипты, которые позволяют следить за его актуальностью автоматически. Автоматизация данного момента выходит за рамки статьи и, по мнению автора, не является критичной для работы мультиван.
По остальному — попробуйте при том фильре файрволла на input, что предлагается в статье, отправить
нелегетимный icmp запрос
Кроме того, в шапке написано, о чем статья — о мультиван. Защита от дидос атак в ней не заявлена.)
Тезис настройки фаервола в статье тоже описан. Безусловно, можно вносить любые изменения и дополнения в настройки, по желанию пользователя. Просто нужно отдавать себе отчет в том, что делается, какие дает плюсы и какие минусы. Любое ограничение — это компромисс между удобством, скоростью и безопасностью.
Посмотрите где именно используется address-list BOGONS и какие ограничения он накладывает. Если конкретно для Вашей ситуации эти две строки вызывают проблемы в работе, можете смело их убрать, можете выставить для мультикаста ttl=1. Раскрытие темы возможной атаки с таких, не принадлежащих конкретной организации диапазонов, выходит за рамки этой статьи.
Не вполне. см. bgp.he.net/net/192.88.99.0/24 Насколько я понимаю с этой сетью пока некоторая неразбериха. )
Однако согласен, можно не блокировать. На работоспособность в целом это не повлияет.
Вы. видимо, следующее предложение не дочитали. Цитирую:
«В качестве инструмента настройки выбран Winbox, где будут наглядно отображаться изменения. Сами настройки будут задаваться командами в терминале Winbox.»
Спасибо за оценку и замечание. Согласен, rst снаружи пройдет. Но, как по мне, не очевидно, что лучше: когда при таком фаерволе рвутся соединения у конечного хоста, который получает rst, или когда страдает CPU всего роутера, который пытается обработать rst каждый раз просматривая свою базу соединений для понимания инвалид он или нет… Думаю роутеру будет труднее это переварить и он просто заддосится ) Или я не прав?
А эти минимальные правила фильтра, по сути, не спасают ни от какой дидос атаки. Я их привел для того, чтобы начинающий админ получил минимально достаточную безопасность с минимумом «побочных эффектов». ) А уж если админ знает об rst, то, убежден, он сможет, к примеру, настроить свой gre-тунель так, чтобы при наличии в фильтре дропа инвалидов туннель заработал. )
На скриншоте просто не выбран к отображению столбец "Dst Address Type/Invert" в котором было бы "Yes". "!" на скриншоте не отображается.
www.team-cymru.com/bogon-reference.html
Фильтр фаервола не имеет никакого отношения к списку BOGON. Его предназначение описано в статье. Список не так часто изменяется. Однако, если хотите, есть ресурсы и скрипты, которые позволяют следить за его актуальностью автоматически. Автоматизация данного момента выходит за рамки статьи и, по мнению автора, не является критичной для работы мультиван.
По остальному — попробуйте при том фильре файрволла на input, что предлагается в статье, отправить
Кроме того, в шапке написано, о чем статья — о мультиван. Защита от дидос атак в ней не заявлена.)
Тезис настройки фаервола в статье тоже описан. Безусловно, можно вносить любые изменения и дополнения в настройки, по желанию пользователя. Просто нужно отдавать себе отчет в том, что делается, какие дает плюсы и какие минусы. Любое ограничение — это компромисс между удобством, скоростью и безопасностью.
Однако согласен, можно не блокировать. На работоспособность в целом это не повлияет.
«В качестве инструмента настройки выбран Winbox, где будут наглядно отображаться изменения. Сами настройки будут задаваться командами в терминале Winbox.»
А эти минимальные правила фильтра, по сути, не спасают ни от какой дидос атаки. Я их привел для того, чтобы начинающий админ получил минимально достаточную безопасность с минимумом «побочных эффектов». ) А уж если админ знает об rst, то, убежден, он сможет, к примеру, настроить свой gre-тунель так, чтобы при наличии в фильтре дропа инвалидов туннель заработал. )