О Firewall простыми словами на примере микротика 

Да ты крут "мастер", но тут так не работает, ты или предлагай варианты чтобы всем интересно было или указывай на ошибки ...а просто так ляля .... заблочу

@@bpkuban забей)

ну смотр у меня были случаи когда пытается обрабатывать именно один белый ip, конкретно один ip долбит, вот для таких случаев я и делаю хотя бы одну ловушку по известному порту в фаерволе. Это актуально когда у тебя как ни крути есть открытые порты на ружу, даже если нестандартные но по ним могут отработать Порткнокинг да вещь прикольная, поэтому разные варианты показал nftables круто, но тут попытался простыми словами показать логику работы простых цепочек, а так это можно было бы и в микроте показать в cli и в iptables.....но это сложнее новечкам в восприятии......

@@bpkuban Забыл что хотел спросить по микроту, вроде только помнил)). Микрот вроде напрямую с NetFilter общается, у него нет прослойки iptables или nftables?) В nftables добавили таблицу netdev она работает ещё до raw, я пробовал ддосить и drop делать в filter, raw и netdev, прям большая разница).

@@bpkuban Вспомнил)). Вот недавно, меня ддосили на порту 443 без указания домена, просто запросы на порт 443). Состряпал скрипт на bash который выясняет адреса, добавлял всех нарушителей в список, в nftables и делал им drop, почти как у тебя). В итоге оказалось не эффективно, список за пару суток вырос до около 200к адресов, ну и это же VDS там памяти по больше, и вроде как не критично, но мне этого было мало). В итоге я на python запустил ловушку TARPIT, она есть в репах, но именно на питоне вроде как она меньше ресурсов кушает, сейчас список в бан уже не 100-200к адресов, а около просто 50 ). Есть возможность на микроте, отправлять нехороший трафик в TARPIT?)

@@LinuxbyDmitry да микрот думаю напрямую с ядром общается netfilter .....имел ввиду другое....в видосе для простоты объяснял в понятном оконном режиме. Хотя ты в микроте можешь в cli так же писать например add chain=input protocol=tcp dst-port=8989 action=accept comment="WIN" что будет понятно всем кто работает в то й же утилите iptables в линухе Хороший коммент сделал, про тарпит нужно было тоже упомянуть, да такая возможность есть вешать соединения, для любителей посканить и подгадить. Но то как тебя бомбили 200к это круто, мой бы микрот тупо по памяти уже думаю лег. Я кстати на питоне тоже писал утилиты на scapy для tcp и udp флуда многопоточные.....проверял свое железо....когда был микрот 941й подобная атака изнутри сети ложила микрот просто влет (видос помоему даже на канале есть поищи). Снаружи таких налетов у меня не было поэтому интересно было бы послушать админов как правильно с крупным ddos бороться, полагаю когда количество запросов в единицу времени бешенное нужно либо на резервный канал провайдера уходить либо перед твоим добром хардовый файервол стоять должен Е

@@bpkuban У меня под ддос попал скажем так не значительный ресурс, которым по сути только я и пользуюсь, поэтому я в праве сделать там очень жёсткие ограничения). Изначально сделал ограничение в 10к соединений, то есть динамический список адресов пополнялся на час и всё что не попадало в этот список, в DROP, поэтому завалить сервер и не удалось изначально). Но правда они постоянно бомбили, да и сейчас пытаются заполнить этот список, что бы остальной трафик уходил в DROP). Сейчас скриптом из логов выясняю нормальные адреса, исключаю их из бан списка для нормального прохождения, ну остальное уже писал, сначала отправлял в DROP, что оказалось не эффективно, а сейчас в TARPIT). Тут как бы и DROP конечно не плохо справляется, если делать его в netdev таблице, но список большой накапливается и не хочу память на это расходовать, поэтому TARPIT лучше, они уже не могут бомбить как им хотелось бы).

Спасибо за совет по NGFW, серьезный заслон, но опять же как слаботочник наврятли когда то с ним столкнусь. Думаю это прерагатива админов и ИБ специалистов в более серьезных системах. Скажи есть ли какая ни будь триал версия в софтовом исполнении NGFW, которую можно потестить или оно только в хардовом исполнении?

@@bpkuban Конечно же есть софт для установки на железо либо на виртуалку. Как вариант, на просторах интернета можно найти Kerio control с таблеткой. Либо есть вполне себе не плохой Ideco UTM, который можно использовать с триальной версией в которой почти весь функционал, за исключением Антивируса касперского для вэб трафика и отсутствие правил IPS от лаборатории касперского.

смотря про что речь, если реверс шел, то это netcat админы и нехорошие дяди используют, если про софт на питоне, нигде...самописная прога под мои нужды