# Θεματολογία δικτύου > Δρομολόγηση >  Προσοχή στα Firewall και τους κανόνες που βάζετε

## NetTraptor

Ολοένα και περισσότερα φαινόμενα Firewall διαπιστώνονται τελευταία πάνω στο backbone. 

*Προσοχή!* Το backbone Πρέπει να παραμένει πάντα διάφανο, χωρίς filters στο firewall και με NAT που είναι όσο πιο συγκεκριμένα γίνεται.

Λάθη όλοι κάνουμε αλλά είναι πολύ σημαντικό και για εσάς αλλά και για τους διπλανούς σας έτσι ώστε να παίζουν όλες οι υπηρεσίες του δικτύου απροβλημάτιστα.

Και θα δώσω μερικά παραδείγματα. 

*ΝΑΤ*

Αυτό το NAT σε backbone router *είναι λάθος!!!*

/ip firewall nat
add action=masquerade chain=srcnat disabled=no 

*Και αυτό είναι λάθος*

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=pppoe-O_Kaimenos_ISP

ή

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=Το_Λανακι_μου

Τι κοινά έχουν? Κάνουν ΝΑΤ όλο το traffic που περνάει από τον router. Το αποτέλεσμα είναι ότι όποιος περνάει από εσάς φαίνεται με την δική σας IP, έχει Internetακι από εσάς (υπό προϋποθέσεις), επιβαρύνετε τον router σας, παρεμποδίζετε πολλές υπηρεσίες στο δίκτυο και καταστρέφετε την ουδετερότητα του δικτύου. Κοινώς Μεγάλη πατάτα για όλους!

Διαβάστε το firewall rule. Τι λέει? Όποια IP σε Όποια IP ... masquarade. Μασκάρεψε δηλαδή όλο το traffic που περνάει από μένα να φαίνεται με την IP Μου. ... ΛΑΘΟΣ!

Κάτι τέτοιο ίσως είναι καλύτερο

*/ip firewall nat*
*add action=masquerade chain=srcnat disabled=no dst-address=!10.0.0.0/8 out-interface=pppoe-O_Kaimenos_ISP*


Το παραπάνω είναι τόσο γενικό όσο χρειάζεται αλλά και αρκετό για να μην παρεμποδίζεται το traffic του AWMN

Τι λέει το rule? Μασκάρεψε μόνο ότι *δεν* προορίζεται για το 10.0.0.0/8 δηλαδή το AWMN και τα αλλά Wireless Community

Ακόμη καλύτερα θα μπορούσατε να ορίσετε και το δίκτυο στο οποίο θέλετε να εφαρμόσετε αυτό τον κανόνα.

*/ip firewall nat
**add action=masquerade chain=srcnat disabled=no dst-address=!10.0.0.0/8 out-interface=pppoe-**O_Kaimenos_ISP** src-address=10.x.x.x/x*

Όπου *10.x.x.x/x* είναι το subnet στο οποίο θέλετε να δώσετε internetακι ή θέλετε να κάνετε NAT για κάποιο λόγο. Το pppoe μπορεί να είναι και ένα LAN. Είναι το interface με του οποίου την IP θα φαίνεται ότι βγαίνετε και από όπου θα δρομολογηθεί η μασκαρεμένη κίνηση.

Firewall Filters

Εντάξει όλοι έχουμε πάθει ένα κάτι τις μετά τον Snowden αλλά μην τρελαθούμε κιόλας. Βλέπω κάτι σουβλάκια Firewall που δεν κάνουν τίποτε παραπάνω από την ζωή μας δύσκολη. Επιπλέον καλό είναι να μελετάμε τι κάνουν τα rules μας και να μην εμποδίζουν την σωστή διάφανη δρομολόγηση από και προς το AWMN.
Δεν θα δώσω συγκεκριμένα παραδείγματα του τι μπορεί να κάνει κανείς λάθος διότι εδώ με αρκετή φαντασία μπορεί ο καθένας να τα κάνει παντελώς ..... με τον τρόπο του.
Θα παραθέσω μερικούς κανόνες που εξασφαλίζουν ότι όλοι οι άλλοι περνάνε από εσάς παρά τις ματσακονιές που μπορεί να έχετε κάνει από κάτω από αυτούς τους κανόνες.

Αυτούς τους κανόνες βάλτε τους ψηλά στην πρώτη θέση πάνω από όλους τους κανόνες στο firewall. Δεν είναι πανάκια αυτό που θα γράψω αλλά μπορείτε αν θέλει κανείς να το βελτιώσει.

Προτείνω κάτι τέτοιο..

Ας φτιάξουμε μια λίστα με τις IP/Subnet που ανήκουν στο τοπικό μας δίκτυο

*/ip firewall address-list*
*add address=IP1 disabled=no list=LocalNets*
*add address=10.x.x.x/x-subnet1 disabled=no list=LocalNets*
*add address=IP2 disabled=no list=LocalNets*
*add address=10.x.x.x/x-subnet2 disabled=no list=LocalNets*

Όσες IP και όσα subnet ανήκουν σε εσάς. Το LAN σας όχι από τα wireless subnet. Τα prive δίκτυα...τρόπος του λέγειν

*/ip firewall filter*
*add action=accept chain=forward disabled=no dst-address-list=!LocalNets src-address=10.0.0.0/8*
*add action=accept chain=forward disabled=no dst-address=10.0.0.0/8 src-address-list=!LocalNets*

Και τα δυο τελευταία που λένε ότι προέρχεται από το AWMN, πάει στο AWMN Και δεν προορίζεται για τα Prive σας Δίκτυα αφήστε το να περάσει ανενόχλητο από εδώ.

Τουλάχιστον με αυτούς τους κανόνες πάνω πάνω δεν θα ενοχλείτε τους άλλους. Από κάτω από αυτούς μπορείτε σχεδόν άφοβα (σχεδόν λέω διότι ο διάολος έχει πολλά πόδια) να τα κάνετε όλα χάλια για εσάς μόνο. Οι άλλοι θέλω να πιστεύω θα παίζουν.

Καλύτερη ακόμα συμβουλή 
*(1)* Αν δεν ξέρετε τι κάνετε, ρωτήστε (PM me, κάποιον άλλο... όποιον να ναι), διαβάστε, ή 
*(2)* πάρτε ένα router φθηνό βάλτε το στο σπίτι σας και βγάλτε του τα μάτια. Μην βγάζουμε τα μάτια του backbone και τα δικά σας. 
*(3)*Ακόμα και αυτή είναι καλή συμβουλή. *Μην βάζετε τέτοια rules, VPN, Internet συνδέσεις και κάνετε πολύπλοκα setup πάνω στους router που δρομολογούν κίνηση AWMN*. Αφού αγοράσετε ένα 750G, 450G, 2011, Cloud Core (Αν υπάρχει τρελό χρήμα) και παίξετε μέχρι να βρείτε ένα setup που σας αρέσει, βάλτε όλα τα prive σας δίκτυα, VPN, Έξτρα Lan, DMZ, ή ότι περίεργο θέλετε εκεί πάνω. *Όχι στους δρομολογητές AWMN που πρέπει να είναι κρυστάλλινα διάφανοι*. Θα κάνει και την δική σας ζωή πιο εύκολη, μιας και θα συγκεντρώσετε την διαχείριση του NAT, Firewall, Internet, VPN, AWMN feed σε ένα ξεχωριστό μηχάνημα για αυτή την δουλειά, αλλά και πιο εύκολη για όλους εμάς. 

Ελπίζω να πιάσει τόπο. Αν έχει να συμπληρώσει κανείς κάτι ευχαρίστως ...

P.S. Το παραπάνω ποστ γράφεται με αφορμή τις δυσκολίες που αντιμετώπισα σήμερα σε μια και μόνο διαδρομή, βρίσκοντας 3 ΝΑΤ (αν έχει κανείς τον Θεό του) και 2 firewall με περίεργα rules. Πραγματικά λυπηθείτε πρώτα από όλα τον εαυτό σας που πρέπει να κάνετε τον ζογκλέρ και τον δικτυακό expert πάνω σε ένα ουσιαστικά κοινόχρηστο μηχάνημα και μετά όλους τους άλλους.

----------


## nikolas_350

Το λάθος είναι πολύ εύκολο να γίνει, είτε ξέρουμε είτε δεν το καταλαβαίνουμε.
Το πρώτο κομμάτι μπορεί να είναι ένας χρήσιμος οδηγός για τα περί nat όπου είναι το πλέον σύνηθες λάθος και κανένας οδηγός στο internet δεν είναι κομμένος και ραμμένος στα μέτρα μας.

Τα περί firewall έχουν αναφερθεί πάρα πολλές φορές χωρίς ούτε αποτέλεσμα (λύση) αλλά ούτε κάποιος μπήκε στον κόπο να ζητήσει συμβουλές ή βοήθεια.

Τα ανθρώπινα λάθη έχουν όρια, σε αντίθεση με την αδιαφορία όπως φαίνετε.

----------


## gvaf

Ωραίος

----------


## Nikiforos

Καλημέρα! να ρωτήσω και εγώ κάτι, σύμφωνα με τις συμβουλές άλλων μελών για να μην έχω πράγματα περιττά επάνω στο awmn router έβαλα τα περισσότερα σε ένα 711 που είχα στην άκρη με καμμένη wlan και για wifi ap σε ενα επισκευασμενο 411 που φλασαρα openwrt. Στο 711 συμφωνα με τις συμβουλες ατομων απο το adslgr forum κανουμε πολλα πραγματα σχετικα με ppoe client, openvpn server, vpn pptp, QoS, firewall nat, firewall rules κτλ.
Ερωτηματα τωρα :
1. Στο 433ΑΗ εχω μονο μερικα firewall rules που κοβουν ολο το 10.0.0.0/8 απο συγκεκριμενα μηχανηματα μου, που δεν θελω να τα βλεπει κανεις αλλος και αφηνω πριν ανοιχτα τα δικα μου subnets να παιρνανε πχ του εξοχικου, τετοια μηχανηματα μπορει να ειναι πχ ip camera, dvr cctv κτλ, με αυτο υποθετω λογικα οτι δεν υπαρχει κανενα προβλημα ετσι δεν εναι?
2. Στο 711 τρεχω ppoe client και εχει ΝΑΤ και ΑΠΕΙΡΟΥΣ κανονες firewall rules Κτλ, παρακατω θα δειτε την λιστα, δεν δημιουργει προβλημα αυτο ετσι? να πω οτι ΟΥΔΕΠΟΤΕ ειχα ppoe client Και τετοιους κανονες επανω στο awmn router, τα παρακατω ειναι σε μηχανημα μεσα στο σπιτι και δεν ειναι awmn router.


```
/ip firewall filter
add chain=input comment=OPENVPN dst-port=1722 protocol=tcp
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add chain=icmp comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="Net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="Host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="Deny all other types"
add action=drop chain=input comment="Disable ICMP ping" in-interface=pppoe-out1 protocol=icmp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " in-interface=pppoe-out1 protocol=tcp psd=\
    21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=established
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow already established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=169.254.0.0/16
add action=drop chain=forward dst-address=169.254.0.0/16
add action=drop chain=forward src-address=172.16.0.0/12
add action=drop chain=forward dst-address=172.16.0.0/12
add action=drop chain=forward src-address=192.0.0.0/24
add action=drop chain=forward dst-address=192.0.0.0/24
add action=drop chain=forward src-address=192.0.2.0/24
add action=drop chain=forward dst-address=192.0.2.0/24
add action=drop chain=forward src-address=198.18.0.0/15
add action=drop chain=forward dst-address=198.18.0.0/15
add action=drop chain=forward src-address=198.51.100.0/24
add action=drop chain=forward dst-address=198.51.100.0/24
add action=drop chain=forward src-address=203.0.113.0/24
add action=drop chain=forward dst-address=203.0.113.0/24
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward comment="Make jumps to new chains" in-interface=pppoe-out1 jump-target=tcp protocol=tcp
add action=jump chain=forward in-interface=pppoe-out1 jump-target=udp protocol=udp
add action=jump chain=forward in-interface=pppoe-out1 jump-target=icmp protocol=icmp
add action=drop chain=tcp comment="Deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="Deny RPC portmapper" dst-port=111 protocol=tcp
add action=drop chain=tcp comment="Deny RPC portmapper" dst-port=135 protocol=tcp
add action=drop chain=tcp comment="Deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="Deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="Deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="Deny NetBus" dst-port=12345-12346 protocol=tcp
add action=drop chain=tcp comment="Deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="Deny  BackOriffice" dst-port=3133 protocol=tcp
add action=drop chain=udp comment="Deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="Deny PRC portmapper" dst-port=111 protocol=udp
add action=drop chain=udp comment="Deny PRC portmapper" dst-port=135 protocol=udp
add action=drop chain=udp comment="Deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="Deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="Deny BackOriffice" dst-port=3133 protocol=udp
add chain=input comment="Allow established connections" connection-state=established
add chain=input comment="Allow related connections" connection-state=related
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
```

Sorry ρε παιδια πως τα βαζω αυτα σαν κωδικα να μην φαινονται ετσι??? αν πειραζει να τα σβησω, απλα τα δειχνω για παραδειγμα.

----------


## NetTraptor

Αν αυτά είναι σε ξεχωριστό μηχάνημα μόνο για την DSL σου δεν βλέπω γιατί να δημιουργεί πρόβλημα.

Για τους AWMN router μιλάμε.

----------


## Nikiforos

Ναι το ξέρω απλά ρωτάω. Οταν είχα ρωτήσει και άλλους πρότειναν όλοι τα ppoe client να μην είναι επάνω στα awmn routers για τους ίδιους λόγους που λες και εσύ. Να πω οτι με το που εκανα ppoe client δεχτηκα τρελες επιθεσεις, αν δεν ειχα τα παραπανω φιλτρα θα μας ειχαν παρει και τα σωβρακα....οταν λοιπον το κανουμε στο awmn router Και πλακωθουμε και στα φιλτρα πανε τα awmn routers τους αλλαξαμε τα φωτα.
Να συμπληρωσω οτι θελουμε να κανουμε εχει κατι ωραια εσωτερικα RB's πχ τα 951 που ειναι και AP's N 2,4ghz Και κανουμε οτι γουσταρουμε.
για το 1ο ερωτημα δεν μου ειπες, αλλα φανταζομαι αφου κοβω ενα συγκεκριμενο μηχανημα που δεν αφορα το awmn φυσικα (και αυτο επειδη ολα τα δικα μου μηχανηματα εχουν awmn ip), δεν υπαρχει προβλημα.

Υ.Γ μπορεις να μου πεις τον κωδικα πως το εβαλες για να ξερω next time?

----------


## NetTraptor

Υπάρχει μια χαζή υπηρεσία που την έχω εδώ και πάρα πολλά χρόνια. Ονομάζεται http://whatismyip.awmn.
Χρησιμοποιώντας την μπορείτε να δείτε με τι IP φαίνεστε στον κόμβο μου. Αν δεν είναι αυτή από την οποία έρχεστε και δείχνει κάποιου γείτονα ή κάποιου ενδιάμεσου κόμβου τότε έχουν σίγουρα θέμα με το NAT τους.

Είναι επίτηδες έτσι πρωτόγονη για να μπορεί κάποιος να την χρησιμοποιεί από command line πχ με κάτι τέτοιο.

wget http://whatismyip.awmn && cat index.html && rm index.html

Η κάτι παρόμοιο... it does the job so use it..

Και πάλι αυτό όμως δεν είναι full proof. Αυτό που θα διαπιστώσετε είναι αν φαίνεστε με άλλη IP στην μοναδική διαδρομή προς εμένα. Μπορεί σε κάποια άλλη διαδρομή που περνάτε από άλλους κόμβους να υπάρχει πρόβλημα αλλά να μην μπορείτε να το δείτε. Θα πρέπει να είναι και εκεί στημένη η εν λόγο υπηρεσία για να δείτε πως φαίνεστε προς εκείνη την κατεύθυνση και ποιος έχει κάνει πατάτα.

Αν στηθεί αυτή η υπηρεσία σε πολλά σημεία τότε θα μπορούσατε να ελέγξετε πως φαίνεστε σχεδόν από κάθε διαδρομή.

Η φοβερή αυτή υπηρεσία έχει τον εξής κώδικα σε ένα αρχείο PHP. Όποιος θέλει ας την υλοποιήσει.



```
<?php
echo 'Your IP is: ';
if ( isset($_SERVER["REMOTE_ADDR"]) )    {
    echo '' . $_SERVER["REMOTE_ADDR"] . ' ';
} else if ( isset($_SERVER["HTTP_X_FORWARDED_FOR"]) )    {
    echo '' . $_SERVER["HTTP_X_FORWARDED_FOR"] . ' ';
} else if ( isset($_SERVER["HTTP_CLIENT_IP"]) )    {
    echo '' . $_SERVER["HTTP_CLIENT_IP"] . ' ';
}
?>
```

----------


## romias

> Υπάρχει μια χαζή υπηρεσία που την έχω εδώ και πάρα πολλά χρόνια. Ονομάζεται http://whatismyip.awmn.
> Χρησιμοποιώντας την μπορείτε να δείτε με τι IP φαίνεστε στον κόμβο μου. Αν δεν είναι αυτή από την οποία έρχεστε και δείχνει κάποιου γείτονα ή κάποιου ενδιάμεσου κόμβου τότε έχουν σίγουρα θέμα με το NAT τους.


Πολύ καλο! 
Και ουπς! βγήκε το λαυράκι η έτσι πρέπει να ναι;


```
[email protected]:~# 
[email protected]:~# wget http://whatismyip.awmn && cat index.html && rm index.html
Connecting to whatismyip.awmn (10.21.128.65:80)
index.html           100% |*******************************|    25  --:--:-- ETA
Your IP is: 10.2.159.94
```

Η ιp είναι απ το c class του απέναντι που μου έχει δωθεί για το λινκ.
Απ το δεσκτοπ μου δεν υπάρχει θέμα.

----------


## nikolas_350

Ο router σου ποτέ δεν θα βγει με την ip κάποιας ether προς το awmn αλλά με κάποια από της ασύρματες διεπαφές που έχει.
Από ότι είπες είναι σε δική σου χρήση (άσχετα το c class) στην σύνδεση από την οποία ουσιαστικά βγήκε από τον δρομολογητή σου.


Κανένα λαυράκι προς το παρών.

----------


## NetTraptor

Εχχμ ναι... αν το τρέξει κάποιος πάνω στον router του και επειδή ο router έχει πολλές IP θα δει την IP του interface από το οποίο θα βγει για να φτάσει σε μένα.

----------


## NetTraptor

Και μια και παίζουμε το έβαλα και κάτω κάτω στο footer του forum με ένα plug-in... Βέβαια δεν υποστήριζε IPv6 αλλά το φτιάξαμε και αυτό  ::

----------


## nikolas_350

Επειδή το θέμα “κακό nat” κρατάει χρόνια σκέφτηκα μια μικρή δοκιμασία σαν τεστ.
http://nat.nikolasc.awmn/

Εμφανίζεται η ip του client και σε περίπτωση χρήσης proxy εμφανίζεται και η “πραγματική” 
Εάν αυτή που βλέπει ο server είναι πίσω από nat κατά 99% αυτό θα έχει γίνει σε ένα router με mikrotik 
Οπότε εάν στο κεντρικό παράθυρο δούμε ένα ωραιότατο web interface του RouterOS μπορούμε να αρχίσουμε να ψάχνουμε τον “ένοχο” !! 

Εάν δούμε «Δεν είναι δυνατή η εύρεση αυτής της ιστοσελίδας» λογικά δεν έχουμε κάποιο θέμα εκτός και εάν έχει ρυθμιστεί ο router να μην απαντά σε web.

proxy.jpg

nat.jpg

Εάν στο pc από το οποίο κάνουμε την δοκιμή τρέχει έναν web server, είναι λογικό να δούμε την default web σελίδα μας.
Κακό Nat μπορεί να γίνει (αλλά πιο δύσκολα) και σε router με openwrt & airos όπου και αυτά έχουν το δικό τους web interface.

----------


## romias

Τέλειο εργαλείο
Νικόλας ο ακατάπαυστος.  :: 

Υγ Κάποιος να το προσθέσει στο awmn sites ρε παιδιά μην το χάσουμε.

----------


## nikolas_350

Done σε wind και portal μαζί με ένα μικρό face lift.

Χωρίς πλάκα τώρα 3 στα 10 μου έρχονται με ip που αντιστοιχεί σε ασύρματη διεπαφή. 



nat-tool-s.jpg
Σαν certificate της mikrotik μου φαίνεται τώρα.  ::

----------


## nikolas_350

> Χωρίς πλάκα τώρα 3 στα 10 μου έρχονται με ip που αντιστοιχεί σε ασύρματη διεπαφή.


Το παρακάτω post έχει καθαρά ενημερωτικό χαραχτήρα χωρίς καμία διάθεση να προσβάλει ή να ασκήσει κανενός είδους έλεγχο σε κανένα.

Μέσα στο τριήμερο η υπηρεσία nat δοκιμάστηκε από ~ 7 χρήστες 
3 από αυτούς ΔΕΝ έβγαιναν πίσω από nat.
Εάν το συγκρίνω με τα πιο πάνω στατιστικά, πρόκειται για ένα πολύ κοινό πρόβλημα που δημιουργεί ακόμα μεγαλύτερο θέμα στο routing. 

Για στατιστικούς κυρίως λόγους κάθισα να δω ποιες από της ip που είναι προς το τέλος των c-class έχουν συνδεθεί με κάποιες από της υπηρεσίες του κόμβου και ανήκουν σε ασύρματη διεπαφή.

Κάποια από αυτά μπορεί να είναι 6 μήνες πριν χωρίς να μπορώ να γνωρίζω εάν ισχύουν ακόμα ή θα μπορούσε να είναι η άκρη ενός vpn ή proxy (σε όσα δεν έχω βρει και την αντίστοιχη από τον άλλο κόμβο)



```
ip		c-class		ip owner	
10.24.65.249 	tsatasos	tsatasos	
10.30.50.246 	2ilion 		2ilion 
10.3.1.246 	GOUNARA-2 	Anubis 
10.70.183.245 POWER-NET 	POWER-NET	
10.70.183.242 POWER-NET 	leonidas_xatz termatikos
10.24.60.134 	indian 		unknown
```

Ελπίζω να βοηθήσει τουλάχιστον αυτούς που έκαναν χρήση του nat.nikolasc.awmn 


```
ip		c-class		ip owner	date use of nat
10.30.58.245 	foobar 		foobar		12/Mar/2016 16/Dec/2015
10.87.178.241	vabiris-nikaia 	vabiris-nikaia	13/Mar/2016 25/Dec/2015
10.2.120.237 	trazor 		trazor 		24/Dec/2015
10.26.139.253	nkar		nkar		12/Mar/2016
10.26.114.249	Eagle		Eagle		14/Mar/2016
```

----------


## senius

http://www.awmn.net/showthread.php?t...022#post566022
http://www.awmn.net/showthread.php?t=19368&page=52
http://www.awmn.net/showthread.php?t=39608




> Σήμερα το πρωί Σάββατο 4-6-2016, μεταξύ 07.15-09.30 πμ, έφαγαν reboot 192 μπρίκια.
> 
> Παρατήρηση 1 :
> Τα περισσότερα από αυτά είχαν cpu 100%, με το ζόρι κάποιος έμπαινε σε αυτά... (όσοι ειχαν rb χχχ την πίνανε κανονικότατα, ενώ όσοι είχαν ταρατσιπισι x86, η cpu ηταν 85-95%)
> Μετά το reboot, έφτιαξε.
> 
> Παρατήρηση 2 :
> Σε ορισμένα μπρίκια που είχαν κοινό AS, ειχε χαθεί η επικοινωνία μεταξύ τους
> Μετά το reboot, έφτιαξε.
> ...



Καλησπέρα οι κανόνες στο AWMN προφανώς αλλάζουν από σήμερα και στο εξής, μετά από αυτό που συνέβη από χθες Παρασκευή 3-6-2016 16.00 μμ έως σήμερα Σάββατο 4-6-2016 09.30 πμ 

Σε συνεννόηση μεταξύ κομβούχων του AWMN... να ναι καλά τα παιδιά, ενεργοποιήθηκαν άμεσα Filter Roules στα Firewall των μπρικιων μας, σε επιλεγμένους προς το παρόν κόμβους καθώς και αντίστοιχα φίλτρα στα bgp, από σήμερα Σάββατο 4-6-2016 09.45 πμ το πρωί, προς αυτούς που πειραματίζονται... Και θα συνεχίσουμε/φραζουμε αντίστοιχα ανακαλύπτοντας *μαργαριτάρια*....

Αλλά δεν έχουν τα @@ια να μας το πουν οι επί του πειράματος, όταν κάνουν το πείραμα ....

Το AWMN είναι και θα είναι θετικό σε σύνολο όλων, και όχι κάποιων....
Μαζί θα συνεχίσουμε, και όχι ότι του κατέβει του καθενός να κάνει εις βάρος του άλλου ....

senius

Ευχαριστούμε εκ των προτέρων.
Στην διάθεση σας για οποιαδήποτε διευκρίνηση.!!

----------


## Juan

> http://www.awmn.net/showthread.php?t...022#post566022
> http://www.awmn.net/showthread.php?t=19368&page=52
> http://www.awmn.net/showthread.php?t=39608
> 
> 
> 
> 
> Καλησπέρα οι κανόνες στο AWMN προφανώς αλλάζουν από σήμερα και στο εξής, μετά από αυτό που συνέβη από χθες Παρασκευή 3-6-2016 16.00 μμ έως σήμερα Σάββατο 4-6-2016 09.30 πμ 
> 
> ...


Τι κανόνες στο firewall και τι filter στο bgp εφάρμοσες ;

----------


## senius

> Τι κανόνες στο firewall και τι filter στο bgp εφάρμοσες ;


οι αντικανονες βάση εμπειρίας που εφαρμόστηκαν σήμερα το πρωί, τρέχουν βαση των πειραμάτων που γίνονται από κάποια αστροπελέκια που το κατάφεραν σε προηγούμενη στιγμή, έχεις να προτείνεις κάτι καλύτερο για να μην ξανά συμβεί? Η cpu σου τυχαία έφτιαξε? η έκανες κάτι εσύ για να πέσει?

Άρα ρώτα πρώτα αυτούς που πειραματίστηκαν έως τώρα να σου πουν δημοσίως τι έκαναν και κατέρρευσε το AWMN, ώστε κι εγώ δημοσίως να σας ανακοινώσω τι ΘΑ θα ΘΑ ... κάνουμε όλοι οι υπόλοιποι, ώστε να μην ξανά συμβεί..

senius

----------


## Juan

> οι αντικανονες βάση εμπειρίας που εφαρμόστηκαν σήμερα το πρωί, τρέχουν βαση των πειραμάτων που γίνονται από κάποια αστροπελέκια που το κατάφεραν σε προηγούμενη στιγμή, έχεις να προτείνεις κάτι καλύτερο για να μην ξανά συμβεί? Η cpu σου τυχαία έφτιαξε? η έκανες κάτι εσύ για να πέσει?
> 
> Άρα ρώτα πρώτα αυτούς που πειραματίστηκαν έως τώρα να σου πουν δημοσίως τι έκαναν και κατέρρευσε το AWMN, ώστε κι εγώ δημοσίως να σας ανακοινώσω τι ΘΑ θα ΘΑ ... κάνουμε όλοι οι υπόλοιποι, ώστε να μην ξανά συμβεί..
> 
> senius



Ακούω αυτό https://www.youtube.com/watch?v=2BXDtEdq9ak διαβάζω τα μηνύματα σου, και διακρίνω μια επιθετικότητα. Χθες το πήραμε είδηση μόλις ξεκίνησε και προσωπικά έκλεισα το bgp. Ποιοι πειραματίστηκαν ;

----------


## senius

> Ακούω αυτό https://www.youtube.com/watch?v=2BXDtEdq9ak διαβάζω τα μηνύματα σου, και διακρίνω μια επιθετικότητα. Χθες το πήραμε είδηση μόλις ξεκίνησε και προσωπικά έκλεισα το bgp. Ποιοι πειραματίστηκαν ;



οκ οτι πεις

Έμενα από το πρωί σήμερα Σάββατο 4-6-2016 09.45 πμ, χαλαρά καμπανιζει και ρουταρει χωρίς επιθετικότητα το :





και η πλάκα είναι ότι συνεχίζεται χωρίς τους φελλούς .....

----------


## Juan

> οκ οτι πεις
> 
> Έμενα από το πρωί σήμερα Σάββατο 4-6-2016 09.45 πμ, χαλαρά καμπανιζει και ρουταρει χωρίς επιθετικότητα το :
> 
> 
> 
> 
> 
> και η πλάκα είναι ότι συνεχίζεται χωρίς τους φελλούς .....



Πως μπορώ να το δω ότι συνεχίζεται ;

----------


## senius

Θα το καταλάβουν οι πειραματιστές καθώς κι εσύ....

Δεν μας απάντησες όμως, έστρωσες στην δρομολόγηση μετά την Σάββατο 4-6-16, 09.45 πμ?
Η γράφεις, άπλα για εντυπώσεις?

----------


## Juan

> Θα το καταλάβουν οι πειραματιστές καθώς κι εσύ....
> 
> Δεν μας απάντησες όμως, έστρωσες στην δρομολόγηση μετά την Σάββατο 4-6-16, 09.45 πμ?
> Η γράφεις, άπλα για εντυπώσεις?


Senius εγώ είμαι νέος και noobas οπότε να στρώσω εγώ τη δρομολόγηση λίγο δύσκολο . Και πως θα μπορούσε κάποιος να στρώσει την δρομολόγηση δε ξέρω, γιατί αυτά τα λίγα που έχω παρακολουθήσει(από το άλλο forum) θα πρέπει να εφαρμοστούν κοινοί κανόνες από όλους για να στρώσει η δρομολόγηση αν δεν κάνω λάθος.

----------


## mikemtb

> http://www.awmn.net/showthread.php?t...022#post566022
> http://www.awmn.net/showthread.php?t=19368&page=52
> http://www.awmn.net/showthread.php?t=39608
> 
> 
> 
> 
> Καλησπέρα οι κανόνες στο AWMN προφανώς αλλάζουν από σήμερα και στο εξής, μετά από αυτό που συνέβη από χθες Παρασκευή 3-6-2016 16.00 μμ έως σήμερα Σάββατο 4-6-2016 09.30 πμ 
> 
> ...


Μια διευκρίνιση παρακαλώ ως προς τα φίλτρα που μπήκαν. Επειδή διαχείριζομαι και εγώ πολλούς ρουτερ θα ήθελα να τα εφαρμόσω και εγώ. Ευχαριστώ για το μοίρασμα της πληροφορίας

----------


## senius

> Senius εγώ είμαι νέος και noobas οπότε να στρώσω εγώ τη δρομολόγηση λίγο δύσκολο . Και πως θα μπορούσε κάποιος να στρώσει την δρομολόγηση δε ξέρω, γιατί αυτά τα λίγα που έχω παρακολουθήσει(από το άλλο forum) θα πρέπει να εφαρμοστούν κοινοί κανόνες από όλους για να στρώσει η δρομολόγηση αν δεν κάνω λάθος.


Κι εγώ νέος είμαι στο άθλημα και μάλιστα παρεξηγήσιμος νέοπας όπως τα κολλητήρια σου σου έχουν αναφέρει για μένα....

*Απλα μου αρέσει να παίζω λιγο με τα κουμπιά, και είναι πολλά τα βλαμμένα από δαύτα ...
*
Δεν μας απάντησες όμως, έστρωσε η cpu σου από σήμερα το πρωί?

Ώστε να μπορέσω κι εγώ σαν νεοπας να σου απαντήσω πάλι, χωρίς κουμπιά οπού έχω αδυναμία.

----------


## senius

> Μια διευκρίνιση παρακαλώ ως προς τα φίλτρα που μπήκαν. Επειδή διαχείριζομαι και εγώ πολλούς ρουτερ θα ήθελα να τα εφαρμόσω και εγώ. Ευχαριστώ για το μοίρασμα της πληροφορίας


Μιχάλη πάρε μας τηλέφωνο.

----------


## Juan

> Κι εγώ νέος είμαι στο άθλημα και μάλιστα παρεξηγήσιμος νέοπας όπως τα κολλητήρια σου σου έχουν αναφέρει για μένα....
> 
> *Απλα μου αρέσει να παίζω λιγο με τα κουμπιά, και είναι πολλά τα βλαμμένα από δαύτα ...
> *
> Δεν μας απάντησες όμως, έστρωσε η cpu σου από σήμερα το πρωί?
> 
> Ώστε να μπορέσω κι εγώ σαν νεοπας να σου απαντήσω πάλι, χωρίς κουμπιά οπού έχω αδυναμία.


Ποιους εννοείς κολλητήρια μου ; 

Η cpu στο 433 μου έστρωσε χθες στις 12+ τα μεσάνυχτα περίπου ,σε ένα άλλο κόμβο έστρωσε στις 8 το πρωί οπού κάνανε και restart από μόνα τους.

----------


## nvak

Μετά από αυτό, εμένα μάλλον μου χάλασε η Compact Flash στο ταρατσοπισί. Με βλέπω κάτω για μέρες.

----------


## Nikiforos

> Μετά από αυτό, εμένα μάλλον μου χάλασε η Compact Flash στο ταρατσοπισί. Με βλέπω κάτω για μέρες.


καλημερα! και δεν ειχες μια αλλη ετοιμη? οταν ειχα ταρατσο pc ειχα μια αλλη ετοιμη αντε μονο το backup να περνουσα μεσα.
Οι μνημες καποια στιγμη χαλανε και καλα οι CF αντεχουν περισσοτερο, οι SD και βασικα κυριως οι microSD για τα μπαζα απλα....

----------


## nvak

> καλημερα! και δεν ειχες μια αλλη ετοιμη? οταν ειχα ταρατσο pc ειχα μια αλλη ετοιμη αντε μονο το backup να περνουσα μεσα.
> Οι μνημες καποια στιγμη χαλανε και καλα οι CF αντεχουν περισσοτερο, οι SD και βασικα κυριως οι microSD για τα μπαζα απλα....


Έχει license πάνω και έτσι δεν είχα ίδια. Έχει κάτι χρόνια πάνω, και πίστεψα ότι το mikrotik αποφεύγει να την χρησιμοποιεί σαν swap space.

----------


## Nikiforos

κριμα ρε γμτ! εμενα δεν ειχε γιαυτο ειχα και αλλη!

----------


## NetTraptor

> Έχει license πάνω και έτσι δεν είχα ίδια. Έχει κάτι χρόνια πάνω, και πίστεψα ότι το mikrotik αποφεύγει να την χρησιμοποιεί σαν swap space.


Ζήτα key replacement. Θα στο δώσουν

----------


## nikolas_350

> Ζήτα key replacement. Θα στο δώσουν


με μόνο 10$

----------


## Convict

> με μόνο 10$


Και κάπου κάποτε σου ζήταγαν το χαλασμένο μέσο πίσω αν δε με απατά η μνήμη μου.

----------


## senius

Κύριοι ηρεμήστε κάποια βλαστάρια BGP έβγαλαν απο το κεφάλι τους νέα φίλτρα στο BGP, ώστε να διώξουμε τα φαντάσματα, όπως αυτοί νομίζουν ....

Βάση του acoul και των βλασταριών του, στο τεχνικό όπως ονομάζουνε φόρουμ : https://www.own.awmn/forum/index.php? 
κι έπειτα από eιmail του acoul, ζητήθηκε να ακολουθηθεί το κάτωθι bgp filter :

/routing filter
add action=discard chain=awmnDoS bgp-as-path=.*22209.*
add action=discard chain=awmnDoS bgp-as-path=.*20305_9158.*
add action=discard chain=awmnDoS bgp-as-path=.*20305_10444.*
add action=discard chain=awmnDoS bgp-as-path=.*9158_20305.*
add action=discard chain=awmnDoS bgp-as-path=.*9158_10444.*
add action=discard chain=awmnDoS bgp-as-path=.*10444_20305.*
add action=discard chain=awmnDoS bgp-as-path=.*10444_9158.*
add action=discard chain=awmnDoS bgp-as-path-length=!0-32
add action=accept chain=awmnDoS prefix=10.0.0.0/8 prefix-length=24
add action=accept chain=awmnDoS prefix=10.0.0.0/15 prefix-length=32
add action=discard chain=awmnDoS prefix=0.0.0.0/0 prefix-length=0-32


Σε πρώτη φάση χωρίς να ξέρω τι εφαρμόζει το αντιστηχο φίλτρο, το εφάρμοσα σε 3-4 υπερκόμβους, και αμέσως κατάλαβα οτι κρέμασε το μπρίκι τους σε cpu.

Δεν μπορούσαμε καν να ξανα μπω στο μπρίκι τους οπου εφάρμοσα το συγκεκριμένο φίλτρο λόγω 100% cpu.
Φυσικά όταν μετά απο ωρες οπού κατάφερα να μπω στα συγκεκριμένα μπρικια οπου εφάρμωσα την χαζομάρα που μου επέβαλαν να δοκιμάσω, αφαίρεσα τις μαλακίες που μου είχε στείλει ο acoul και οι φίλοι του από τα φίλτρα, κι εφάρμοσα πλέον τα κλασικά σταθερα φίλτρα : 

/routing filter
add action=accept bgp-as-path-length=0-50 chain=awmn disabled=no invert-match=\
no prefix=10.0.0.0/8 prefix-length=32 set-bgp-prepend-path=""
add action=accept bgp-as-path-length=0-50 chain=awmn disabled=no invert-match=\
no prefix=10.0.0.0/8 prefix-length=9-24 set-bgp-prepend-path=""
add action=discard chain=awmn disabled=no invert-match=no prefix=0.0.0.0/0 \
prefix-length=0-32 set-bgp-prepend-path=""


Πιστεύω, οτι είμαι βλάκας που πάω να περάσω μια χαζή θεωρία απο βλαστάρια οπού πάνε να προωθήσουν φίλτρα οπού τους δίνουν άλλα βλαστάρια, να δοκιμαστούν σε στρατηγικής θέσης κόμβους....

Ας πειραματιστούν μονοί τους όλοι αυτοί οι κηφήνες/φελλοί οπού ενεργοποίησαν ηλίθια φαντάσματα προ εμάς, χωρίς να μας ενημερώσουν..
Το δίκτυο είναι όλων και όχι μόνο κάποιων, οπού νομίζουν ότι είναι ...αετοί... 

Άντε Γεια κύριοι και καλά μυαλά.
Οτι φίλτρο βάλουμε, προς τα εσάς, δεν θα το αναφέρουμε...

Εδώ όμως είμαστε να εφαρμόσουμε πειράματα σε κορυφαίους κόμβουςχωρις να σας το αναφέρουμε.

Και πέρα από αυτό, είμαι της γνώμης να καθαιρέσουμε/μπαναρουμε το φάντασμα οπου παίζι μαζί μας εδώ και μήνες.

Ευχαριστώ.
seniius

----------


## nikolas_350

Δεν έχουν όλοι την ίδια άποψη, κακός τους παίρνει όλους η μπάλα.
Διαβάζεις επιλεκτικά ή δεν διαβάζεις καθόλου και εμπιστεύεσαι τους φίλους σου.




> Το μπάλωμα της κατάστασης με routing filters δεν είναι λύση καθώς δεν υπάρχουν ασφαλή κριτήρια για να κόψεις κάτι.

----------


## senius

> Δεν έχουν όλοι την ίδια άποψη, κακός τους παίρνει όλους η μπάλα.
> Διαβάζεις επιλεκτικά ή δεν διαβάζεις καθόλου και εμπιστεύεσαι τους φίλους σου.


Τελικά θα σε φάει κατά λάθος κι εσένα η .... μπάλα Νικολά χωρίς να έχουμε κάτι μαζι σου, όπως κι άλλους που εφαρμόζουν αντιφίλτρα. χωρις να μας τα ανακοινωνετε εδω μέσα...

Αντί να κυνηγήστε τα φαντάσματα και να τους καθαιρέσουμε , εφαρμόσατε δικούς σας κανόνες και μάλιστα αλλού, σε άλλο forum.
Έτσι πλέον κι εμείς θα εφαρμόσουμε νέους κανόνες οι οποίοι χωρίς να το γνωρίζει κάνεις/εσυ παρά μόνο οι δημιουργοί , θα αφαιρούν από την δρομολόγηση τους φελλούς και αυτούς οπού σαν έξυπνοι νομίζουν ότι κάνουν κάτι χωρίς να μας το ανακοινώνουν εδώ.
Άπλα θα επιβιώσει ο δυναμικότερος.
Μπορεί να είσαι εσύ η ο acoul η ο cha0s...
Μου αρέσει που λέω μπορεί.....




> Άντε Γεια κύριοι και καλά μυαλά.
> Οτι φίλτρο βάλουμε, προς τα εσάς, δεν θα το αναφέρουμε...
> 
> Εδώ όμως είμαστε να εφαρμόσουμε πειράματα σε κορυφαίους κόμβους χωρις να σας το αναφέρουμε.
> 
> Και πέρα από αυτό, είμαι της γνώμης να καθαιρέσουμε/μπαναρουμε το φάντασμα οπου παίζι μαζί μας εδώ και μήνες.
> 
> Ευχαριστώ.
> seniius


.

----------


## nikolas_350

Είμαι αδιαπραγμάτευτα οπαδός της διάφανης δρομολόγησης και δεν θα έκανα οτιδήποτε που να είναι ενάντια σε αυτή.
Το μόνο όμως που μπορώ να κάνω είναι να το εφαρμόσω στο κόμβο μου και να το φωνάζω. 

Εάν αρχίσουν τέτοια παιχνίδια δεν γνωρίζω τον νικητή αλλά ξέρω σίγουρα τον ηττημένο.
*Το ίδιο το δίκτυο.*

----------


## senius

> Είμαι αδιαπραγμάτευτα οπαδός της διάφανης δρομολόγησης και δεν θα έκανα οτιδήποτε που να είναι ενάντια σε αυτή.
> Το μόνο όμως που μπορώ να κάνω είναι να το εφαρμόσω στο κόμβο μου και να το φωνάζω. 
> 
> Εάν αρχίσουν τέτοια παιχνίδια δεν γνωρίζω τον νικητή αλλά ξέρω σίγουρα τον ηττημένο.
> *Το ίδιο το δίκτυο.*


Μπορείς εδώ μέσα δημόσια να μας προτείνεις κάτι η κάποιο αντιφιλτρο των μακελάρηδων, ώστε να το ακολουθήσουμε όλοι κοινά *η* γράφεις εδώ για εντυπώσεις προς τους άλλους που διαβάζουν εδώ μέσα, πλην εμένα?

----------


## nikolas_350

Σε περίπτωση που ξανασυμβεί κάτι σαν αυτό που έγινε πριν μια εβδομάδα δεν υπάρχει κανένα φίλτρο, αντιφίλτρο ή μαντζούνι που να μας σώσει.

Αυτό που έχω κάνει σε μένα είναι αυτό το κλασικό φίλτρο που έχεις ποστάρει και εσύ πιο πάνω να του αλλάξω λίγο το μέγεθος του bgp-as-path-length=0-50 σε κάτι μικρότερο
Το bgp-as-path-length δείχνει πόσα AS μπορεί να περιέχει μια διαδρομή.
Πόσο μακριά από εσένα δηλαδή μπορεί να είναι ο πιο απομακρυσμένος κόμβος.

Ένα χαρακτηριστικό των φαντασμάτων είναι το πολύ μεγάλο path που έχουν όταν μεγαλώσουν.

Εν αρχής οι σχεδιαστές του awmn δεν θα μπορούσαν να γνωρίζουν τι θα γίνει μετά από χρόνια και πόσο θα μεγαλώσει το δίκτυο και το όρισαν max 50 με την λογική πως εάν δεν είναι πυκνό το δίκτυο ή εάν ενωθούν οι ασύρματες κοινότητες να μπορούν να επικοινωνούν.

Αυτή τη στιγμή δεν υπάρχει κανένας ενεργός κόμβος σε μεγαλύτερη απόσταση από 20 άντε 22 από εμένα. Αυτό δεν είναι πάντα σταθερό, από μέρα σε μέρα έχει μικρές αλλαγές ανάλογα με εάν έχει πέσει κάποιος κόμβος, από πού θα με πάει η δρομολόγηση κλπ add: και το έχω ορίσει σε 0-25.
*ΠΡΟΣΟΧΗ* αυτό το νούμερο το έχω βρει για το κόμβο μου και δεν είναι καθολικό για όλους.

Οπότε δεν μπορώ να προτείνω σε κανένα να το χρησιμοποιήσει.

Ακόμα όμως και εάν το βάλει με προσοχή, το να έχεις ένα φίλτρο δεν σε σώζει εάν ο γείτονας σου θα σου στέλνει 10.000 prefix το δευτερόλεπτο. Πάλι θα πρέπει να τα επεξεργαστείς και να καταναλώσεις ακόμα περισσότερους πόρους για το φιλτράριζα.
Στον από πίσω σου κόμβο όμως θα σταματήσεις να του στέλνεις ένα μέρος από την σαβούρα που παίρνεις και έτσι αυτός δεν θα υποφέρει τόσο πολύ με την επίθεση.
Αν βέβαια δεν τα παίρνει και αυτός από αλλού.

add2:Η ριζική λύση ωστόσο έχει γραφτεί και είναι η απόσυρση των μηχανημάτων που δημιουργούν την τόσο συχνή ανανέωση στο routing επιμένοντας να ανακοινώνουν πεσμένες διαδρομές

----------


## senius

Ωραία, άρα όλοι μας πρέπει να μιλήσουμε με την mikrotik να βγάλει *8*απυρινα rb4χχ, να αλλάξουμε τα μπρίκια μας, να είναι τουλάχιστον με v 6xx, ώστε να μπορούμε πλέον να φιλτράρουμε τον κάθε φελλό που μας δείχνει ότι έχει πλέον τα ινία του awmn...

Φαντάζομαι να αστειευεσαι.
Για δώσε μας το αντιφιλτρο δημόσια...χωρίς να σηκώνει η να κρεμάει η cpu....

----------


## nikolas_350

Δεν χρειάζεται κανένα φίλτρο. το ver 6 αρκεί 
Και άλλες φορές σου είχαν πει να βάλεις φίλτρα. Θυμάσαι τι σου είχα γράψει τότε;

Το τι θα κάνεις με τον εξοπλισμό, είναι δικό σου θέμα. Πέρα από το να γράφω αυτό που θεωρώ σωστό, δεν μπορώ να κάνω κάτι παραπάνω ούτε να αναγκάσω κανένα.
Αυτό όμως δεν αλλάζει την κατάσταση.

Λυπάμαι. Μακάρι να υπήρχαν μαγικά αντιφιλτα που να κάνουν τα πράγματα όπως θέλουμε αλλά τα φίλτρα έχουν εξορισμού ένα τίμημα. Κόβουν routes ή κόσμο εάν δεν είναι σωστά και ανεβάζουν την cpu  ::

----------


## Juan

Μόλις τώρα δοκίμασα το φίλτρο σε ένα Groove 52HPn και βάρεσε 100% cpu για λίγα δευτερόλεπτα , βεβαία δεν περνάει τίποτα κίνηση.

----------


## nikolas_350

Σκέψου τι δουλεία το έβαλες να κάνει και πόση σαβούρα χρειάστηκε να κόψει.
Π.χ σε ένα δικό μου
after filter.jpg

----------


## nvak

> Δεν χρειάζεται κανένα φίλτρο. το ver 6 αρκεί


Δηλαδή όλη η φασαρία γίνεται γιατί υπάρχουν ακόμη κόμβοι με αρχαίες εκδόσεις ? 
Τόσα λεφτά και κόπος σε εξοπλισμούς και κάποιοι βαριούνται να ασχοληθούν ή κάνουν οικονομία σε ένα license ?
Αν ισχύει αυτό, αντί για φίλτρα, ας ασχοληθεί ο καθένας με τους γειτόνους του και με τον έναν ή άλλο τρόπο να τους πείσει να διορθώσουν το πρόβλημα.

----------


## Convict

> Δηλαδή όλη η φασαρία γίνεται γιατί υπάρχουν ακόμη κόμβοι με αρχαίες εκδόσεις ? 
> Τόσα λεφτά και κόπος σε εξοπλισμούς και κάποιοι βαριούνται να ασχοληθούν ή κάνουν οικονομία σε ένα license ?
> Αν ισχύει αυτό, αντί για φίλτρα, ας ασχοληθεί ο καθένας με τους γειτόνους του και με τον έναν ή άλλο τρόπο να τους πείσει να διορθώσουν το πρόβλημα.


Πραγματικά το κόστος φαντάζει αστείο σε σύγκριση με τα χρήματα πού έχουμε δώσει για όλα τα υπόλοιπα. 
Μια καλή αρχή θα ήταν να αναβαθμιστούν όλοι η v5 σε v6.Και μετά μπορούμε να επανεξετάσουμε το πρόβλημα από μια κοινή βάση. One step at a time. Σε δεύτερη φάση βλέπουμε συμπεριφορά και πράτουμε ανάλογα όσον αφορά το κομμάτι του security στο BGP. Είναι μια καλή ευκαιρία να δείξουμε συλλογικότητα, συνεννόηση και να καταφέρουμε κάτι όλοι μαζί. Στην τελική ασχέτως για πιο λόγο είναι συνδεδεμένος ο καθένας κοινός μας παρονομαστής είναι ένα καθαρό BGP Routing Table.

@senius : Κωστή η συμπεριφορά του αυξημένου CPU load είναι αναμενόμενη όπως προείπε και ο Νικόλας ανάλογα με το τι σαβούρα θα καθαρίσει. Εγώ είδα και έπαθα να περάσω τα φίλτρα σε όλα μου τα RB 7 στο σύνολο μιας και όπως των υπολοίπων τη μέρα της επίθεσης βαράγανε 100αρια.Το σίγουρο είναι ότι όσο πιο καθαρό και σταθερό Routing Table τόσο πιο ρελαντί θα δουλεύουν.

@Juan : Το RB και τα μάτια σου...Με τόση λαστιχοταινία θέλει τροχό για να βγει.Μόνο bugfix... :: 

Και για να κάνω την αρχή μπορώ να διαθέσω ένα license v6 μαζί με cf και adaptor σε γειτονικό μου κόμβο για την αναβαθμισή του.

----------


## nikolas_350

Θα το ξαναγράψω και ας γίνομαι κουραστικός.
Κανένα φίλτρο δεν προτείνεται ως η λύση στο πρόβλημα. Πολύ περισσότερο εάν περιέχει AS ή συγκεκριμένη ακολουθία από AS. Μην αναρωτιέστε μετά γιατί δεν φτάνεται ή δεν σας φτάνουν κάποιοι.

Οτιδήποτε πέρα από τα καθιερωμένα φίλτρα θέλει συνεχή παρακολούθηση και αναθεώρηση. Όχι τα έβαλα και τα ξέχασα. Και πάνω από όλα, σκοπός των φίλτρων δεν είναι να μείωση το cpu usage γιατί θα κάνει ακριβός το αντίθετο.

----------


## Juan

Για να δει κάποιος πόσο χάλια είναι το bgp αυτή τη στιγμή στο awmn αρκεί να ανοίξει το bgp στο logging...

Με τη σειρά μου και εγώ για να βοηθήσω τον senius και το awmn θα προσφέρω και εγώ μια άδεια μαζί με adaptora και cf. Με σκοπό να αναβαθμιστεί κάποιος ενδιάμεσος μου στα Νότια προάστια.Δεν έχω βρει ακόμη ποιος τυχερός θα ήθελα να αναβαθμιστεί  ::

----------


## christopher

Υπάρχει κάποια ένδειξη ότι φταίνε οι παλίες εκδόσεις;
Δεν θέωρώ τις αναβαθμίσεις άμεση προτεραιότητα (όχι ότι δεν πρέπει να γίνουν) αλλά πριν δημιουργηθεί το πρόβλημα, το δίκτυο έπαιζε μια χαρά ακόμα και με αυτές. Εκτός αυτού, σε κάτι ξεχασμένους κόμβους (αν τους βρούμε και αν δεχτούν οι κομβούχοι) οι αναβαθμίσεις μπορεί να μας πάρουν ίσως και δίμηνο για να μπορέσουμε να πάμε στο step two.

Ποιός, τι άλλαξε, έχουμε καμιά ιδέα; Ακόμα και να βρούμε τα ιδανικά φίλτρα, ο κόμβος που το δημιουργεί δεν θα συνεχίσει να τα ανακοινώνει; Θα δουλεύουμε συνέχεια με φίλτρα; 

Αυτό που παρατήρησα (και διορθώστε με αν κάνω λάθος) είναι ότι οι incomplete διαδρομές είναι όλες από επαρχία δηλ με subnet 10.100+.x.x άρα δεν δημιουργείται από κόμβο μέσα στο awmn το πρόβλημα.

Επίσης δεν καταλαβαίνω πως γίνεται 3 κόμβοι σε σειρά, συνδεμένοι με γείτονα μου, να διαδίδουν τα προβληματικά routes ~2000 και ο γείτονας μου χωρίς να έχει εφαρμόσει κάποιο φίλτρο, να μου στέλνει εμένα τα 600 συνηθισμένα routes που πάντα έπαιρνα από αυτόν και επομένως να μην μου διαδίδει το πρόβλημα;

Κάθε γνώμη δεκτή...

----------


## Juan

> Υπάρχει κάποια ένδειξη ότι φταίνε οι παλίες εκδόσεις;
> Δεν θέωρώ τις αναβαθμίσεις άμεση προτεραιότητα (όχι ότι δεν πρέπει να γίνουν) αλλά πριν δημιουργηθεί το πρόβλημα, το δίκτυο έπαιζε μια χαρά ακόμα και με αυτές. Εκτός αυτού, σε κάτι ξεχασμένους κόμβους (αν τους βρούμε και αν δεχτούν οι κομβούχοι) οι αναβαθμίσεις μπορεί να μας πάρουν ίσως και δίμηνο για να μπορέσουμε να πάμε στο step two.
> 
> Ποιός, τι άλλαξε, έχουμε καμιά ιδέα; Ακόμα και να βρούμε τα ιδανικά φίλτρα, ο κόμβος που το δημιουργεί δεν θα συνεχίσει να τα ανακοινώνει; Θα δουλεύουμε συνέχεια με φίλτρα; 
> 
> Αυτό που παρατήρησα (και διορθώστε με αν κάνω λάθος) είναι ότι οι incomplete διαδρομές είναι όλες από επαρχία δηλ με subnet 10.100+.x.x άρα δεν δημιουργείται από κόμβο μέσα στο awmn το πρόβλημα.
> 
> Επίσης δεν καταλαβαίνω πως γίνεται 3 κόμβοι σε σειρά, συνδεμένοι με γείτονα μου, να διαδίδουν τα προβληματικά routes ~2000 και ο γείτονας μου χωρίς να έχει εφαρμόσει κάποιο φίλτρο, να μου στέλνει εμένα τα 600 συνηθισμένα routes που πάντα έπαιρνα από αυτόν και επομένως να μην μου διαδίδει το πρόβλημα;
> 
> Κάθε γνώμη δεκτή...


Μπορείς να διαβάσεις εδώ https://www.wireless-dns.gr/forum/index.php

----------


## Juan

Ο κόμβος που διάλεξα να χαρίσω την άδεια μου είναι ο PETROS (#6496)  ::

----------


## senius

> Ο κόμβος που διάλεξα να χαρίσω την άδεια μου είναι ο PETROS (#6496)


Σε ποιο από όλα τα πολλαπλά μπρίκια του?
Κι αν ο PETROS τοποθετήσει την 6xx που θα του δωρίσεις σε ένα από τα πολλά μπρίκια που έχει και δρομολογούν με κοινο AS και όχι μόνο, τι θα βελτιωθεί?

Θα ήθελα να μου ποστάρετε αποτελέσματα μετά.....

edit :
Γνωρίζεις/ετε το setup του κόμβου PETROS, στα πολλαπλά router του?

Και πάλι στην διάθεση σας.
senius

----------


## pasific

Οποιος εχει πραγματικα αναγκη και την χρειαζετε υπαρχει μια αδεια ΜΤ σε cf με ανταπτορα που καθεται

----------


## senius

Άντε να δούμε, πότε θα στρώσουν τα peer στα BGP...

----------

