forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск firewalld 1.0"
Отправлено Аноним, 24-Июл-21 16:43

Приведи мне пример СТАНДАРТА на NAT. Ну же...
Я шучу =)
Все знают, что этого стандарта нет. NAT никто никогда не стандартизировал.
Принципы работы NAT варьируются от вендора к вендору. Если бы был бы стандарт на NAT, то и не было бы никаких проблем.
> Да там любая херь может быть, это же не делает из него L3/L4 протокол.
Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI.
SIP - это Session Initiation Protocol. Протокол установки сессий. Сам по себе SIP-траффиком легко можно рулить на любом уровне, вот только он порождает ДРУГИЕ сессии в других протоколах, теоретически любых, но чаще всего там RTP/RTCP, реже SOAP, RDP и другие протоколы приложений. SIP поднимает пиринговую сеть и управляет сессиями. Он их описывает и модифицирует, обновляет...
Если пользовательский протокол решает с какого IP:порт на какой IP:порт по TCP/UDP/SCTP по ipv4 или ipv6 с TLS/DTLS/QUIC или без него будет поднята ВТОРАЯ сессия, то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить?
В самом NAT как таковом бы не было бы проблемы, если бы был бы стандарт с описанием того, как это работает.
Вместо этого - это просто набор правил, каждый вендор сетевой железки делает "как автор видит". NAT вообще появился сравнительно быстро, потому что уже 30 лет назад было понятно, что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли.
Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway) и поверх нестандартизированного костыля NAT придумали еще больший костыль ALG. Причем у каждого вендора он работает по-своему. Естественно, по мнению сетевиков, протоколы развиваться не должны, поэтому ALG конкретно для SIP охватывает юзкейсы середины 90-х и не больше. Современный стандарт оборудование они поддерживать не хотят, но и выпилить, сволочи поганые, это барахло тоже отказываются. Гады включают его по-умолчанию. Маразм доходит до такой степени, что уязвимости, которые генерируют их костыли фиксят на уровне браузеров и другого софта в юзерспейсе. Почитай новости про SIP ALG хотя бы тут на опеннете.
> А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень?
Хммм... нет не знали. И никто не знает наверняка даже сейчас в 2021-ом году. Как я и сказал, стандарта на NAT нет и, видимо, никогда не будет, поэтому каждый воротит что хочет и как хочет. SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья.
> Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом.
Давай-ка ты тоже будешь говорить за себя. Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный."
Обычно от косорылого барана, который настраивает файрвол требуется не так много: просто не лезь в телефонию. Телефония тупеет от сетевика. Однако, когда речь про UC и всякие клиенты под пека, то приходится иметь дело с такими вот "грамотеями". Сам pfsence прекрасно можно настроить для работы с топологией SIP любой сложности проблема, нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред...
Проблема в том, что царьки-божки пфсенса обычно очень туго расстаются с контролем над целыми сегментами сети, а учиться как работает что-то сложнее... ну как бы ты сам свой комментарий выше перечитай посмотри на себя, пойми почему с такими как ты жутко тяжело сотрудничать.
> Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :)
Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений. Это даже покупать не обязательно есть куча реализаций этого всего под GPL под разные случаи жизни. Что они там делают? Аутентифицируют и авторизуют сессии к приложениям относительно базы LDAP и строят правило с DPI... ну молодцы, чо. SER-у и его форкам сколько лет? Кстати, а DAP/LDAP кто по-вашему придумал когда и зачем?
Финально, вот с этим вот я на 100% согласен:
> Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька.
Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7".
Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо.
Обычно настройка NAT сводится к простым вещам:
1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее.
2) Не делать никаких DNAT на клиентские тачки/телефоны/серваки
3) Добиться того чтобы NAT работал только там где это реально надо.
Последнее условие чаще всего трудновыполнимое, потому что есть упоротые, которые считают, что NAT-это средство безопасности. Плюс внедрение UC выводит на чистую воду все ошибки настройки сети. Вот пример самой частой проблемы: "случайный" NAT между парой внутренних подсетей, причем иногда идущий в одну сторону, когда 192.168.10.0/24 натится в туннель за 10.10.0.1/30 для доступа к сети 192.168.20.0/24, но наоборот пакеты летят без трансляции минуя файрвол.
Телефонист же сам должен себе настроить B2BUA или SBC или какое слово тебе понятнее. Обычно это делают в демилитаризованной зоне. И если сетевику уж сильно-сильно хочется безопасности своими силами для телефониста, то ACL никто не отменял. NAT же в DMZ в случае с телефонией обсуждается с телефонистом, подходит не для всех сервисов. Например, B2BUA (всякие атски типа астериска) могут с ним работать, STUN/TURN - строго настрого нет. Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов".
> Да вы "батя" Фрейд.
Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. Если ты восполнишь недостаток знаний, и тебе проще станет и другим. Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный.

Исходное сообщение
"Выпуск firewalld 1.0" Отправлено Аноним, 24-Июл-21 16:43
Приведи мне пример СТАНДАРТА на NAT. Ну же... Я шучу =) Все знают, что этого стандарта нет. NAT никто никогда не стандартизировал. Принципы работы NAT варьируются от вендора к вендору. Если бы был бы стандарт на NAT, то и не было бы никаких проблем. > Да там любая херь может быть, это же не делает из него L3/L4 протокол. Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI. SIP - это Session Initiation Protocol. Протокол установки сессий. Сам по себе SIP-траффиком легко можно рулить на любом уровне, вот только он порождает ДРУГИЕ сессии в других протоколах, теоретически любых, но чаще всего там RTP/RTCP, реже SOAP, RDP и другие протоколы приложений. SIP поднимает пиринговую сеть и управляет сессиями. Он их описывает и модифицирует, обновляет... Если пользовательский протокол решает с какого IP:порт на какой IP:порт по TCP/UDP/SCTP по ipv4 или ipv6 с TLS/DTLS/QUIC или без него будет поднята ВТОРАЯ сессия, то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить? В самом NAT как таковом бы не было бы проблемы, если бы был бы стандарт с описанием того, как это работает. Вместо этого - это просто набор правил, каждый вендор сетевой железки делает "как автор видит". NAT вообще появился сравнительно быстро, потому что уже 30 лет назад было понятно, что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли. Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway) и поверх нестандартизированного костыля NAT придумали еще больший костыль ALG. Причем у каждого вендора он работает по-своему. Естественно, по мнению сетевиков, протоколы развиваться не должны, поэтому ALG конкретно для SIP охватывает юзкейсы середины 90-х и не больше. Современный стандарт оборудование они поддерживать не хотят, но и выпилить, сволочи поганые, это барахло тоже отказываются. Гады включают его по-умолчанию. Маразм доходит до такой степени, что уязвимости, которые генерируют их костыли фиксят на уровне браузеров и другого софта в юзерспейсе. Почитай новости про SIP ALG хотя бы тут на опеннете. > А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень? Хммм... нет не знали. И никто не знает наверняка даже сейчас в 2021-ом году. Как я и сказал, стандарта на NAT нет и, видимо, никогда не будет, поэтому каждый воротит что хочет и как хочет. SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья. > Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом. Давай-ка ты тоже будешь говорить за себя. Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный." Обычно от косорылого барана, который настраивает файрвол требуется не так много: просто не лезь в телефонию. Телефония тупеет от сетевика. Однако, когда речь про UC и всякие клиенты под пека, то приходится иметь дело с такими вот "грамотеями". Сам pfsence прекрасно можно настроить для работы с топологией SIP любой сложности проблема, нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред... Проблема в том, что царьки-божки пфсенса обычно очень туго расстаются с контролем над целыми сегментами сети, а учиться как работает что-то сложнее... ну как бы ты сам свой комментарий выше перечитай посмотри на себя, пойми почему с такими как ты жутко тяжело сотрудничать. > Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :) Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений. Это даже покупать не обязательно есть куча реализаций этого всего под GPL под разные случаи жизни. Что они там делают? Аутентифицируют и авторизуют сессии к приложениям относительно базы LDAP и строят правило с DPI... ну молодцы, чо. SER-у и его форкам сколько лет? Кстати, а DAP/LDAP кто по-вашему придумал когда и зачем? Финально, вот с этим вот я на 100% согласен: > Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька. Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7". Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо. Обычно настройка NAT сводится к простым вещам: 1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее. 2) Не делать никаких DNAT на клиентские тачки/телефоны/серваки 3) Добиться того чтобы NAT работал только там где это реально надо. Последнее условие чаще всего трудновыполнимое, потому что есть упоротые, которые считают, что NAT-это средство безопасности. Плюс внедрение UC выводит на чистую воду все ошибки настройки сети. Вот пример самой частой проблемы: "случайный" NAT между парой внутренних подсетей, причем иногда идущий в одну сторону, когда 192.168.10.0/24 натится в туннель за 10.10.0.1/30 для доступа к сети 192.168.20.0/24, но наоборот пакеты летят без трансляции минуя файрвол. Телефонист же сам должен себе настроить B2BUA или SBC или какое слово тебе понятнее. Обычно это делают в демилитаризованной зоне. И если сетевику уж сильно-сильно хочется безопасности своими силами для телефониста, то ACL никто не отменял. NAT же в DMZ в случае с телефонией обсуждается с телефонистом, подходит не для всех сервисов. Например, B2BUA (всякие атски типа астериска) могут с ним работать, STUN/TURN - строго настрого нет. Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов". > Да вы "батя" Фрейд. Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. Если ты восполнишь недостаток знаний, и тебе проще станет и другим. Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Приведи мне пример СТАНДАРТА на NAT. Ну же...

> Я шучу =) 
> Все знают, что этого стандарта нет. NAT никто никогда не стандартизировал.
> Принципы работы NAT варьируются от вендора к вендору. Если бы был бы 
> стандарт на NAT, то и не было бы никаких проблем.

>> Да там любая херь может быть, это же не делает из него L3/L4 протокол.

> Вообще у тебя очень мало знаний и много беспочвенной веры в модель 
> OSI.
> SIP - это Session Initiation Protocol. Протокол установки сессий. Сам по себе 
> SIP-траффиком легко можно рулить на любом уровне, вот только он порождает 
> ДРУГИЕ сессии в других протоколах, теоретически любых, но чаще всего там 
> RTP/RTCP, реже SOAP, RDP и другие протоколы приложений. SIP поднимает пиринговую 
> сеть и управляет сессиями. Он их описывает и модифицирует, обновляет...
> Если пользовательский протокол решает с какого IP:порт на какой IP:порт по TCP/UDP/SCTP 
> по ipv4 или ipv6 с TLS/DTLS/QUIC или без него будет поднята 
> ВТОРАЯ сессия, то твоем малюсеньком семиуровневом мирке это куда укладывается, я 
> стесняюсь спросить?

> В самом NAT как таковом бы не было бы проблемы, если бы 
> был бы стандарт с описанием того, как это работает.
> Вместо этого - это просто набор правил, каждый вендор сетевой железки делает 
> "как автор видит". NAT вообще появился сравнительно быстро, потому что уже 
> 30 лет назад было понятно, что давать /24 каждому юр. лицу 
> не вариант, вот только костыляли сетевики как могли.

> Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих 
> протоколов, они придумали ALG (Application Level Gateway) и поверх нестандартизированного 
> костыля NAT придумали еще больший костыль ALG. Причем у каждого вендора 
> он работает по-своему. Естественно, по мнению сетевиков, протоколы развиваться не должны, 
> поэтому ALG конкретно для SIP охватывает юзкейсы середины 90-х и не 
> больше. Современный стандарт оборудование они поддерживать не хотят, но и выпилить, 
> сволочи поганые, это барахло тоже отказываются. Гады включают его по-умолчанию. Маразм 
> доходит до такой степени, что уязвимости, которые генерируют их костыли фиксят 
> на уровне браузеров и другого софта в юзерспейсе. Почитай новости про 
> SIP ALG хотя бы тут на опеннете.

>> А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень?

> Хммм... нет не знали. И никто не знает наверняка даже сейчас в 
> 2021-ом году. Как я и сказал, стандарта на NAT нет и, 
> видимо, никогда не будет, поэтому каждый воротит что хочет и как 
> хочет. SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, 
> устандартизированы до морковкиного заговенья.

>> Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом.

> Давай-ка ты тоже будешь говорить за себя. Конкретно я тебе уже описал: 
> "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который 
> его поставил и не знает ничего сложнее fail2ban для HTTP, но 
> с самомнением будто самый умный." 
> Обычно от косорылого барана, который настраивает файрвол требуется не так много: просто 
> не лезь в телефонию. Телефония тупеет от сетевика. Однако, когда речь 
> про UC и всякие клиенты под пека, то приходится иметь дело 
> с такими вот "грамотеями". Сам pfsence прекрасно можно настроить для работы 
> с топологией SIP любой сложности проблема, нужно только понаудалять оттуда тонну 
> костылей, который этот умник туда навесил, которые по его глупому мнению 
> нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред...

> Проблема в том, что царьки-божки пфсенса обычно очень туго расстаются с контролем 
> над целыми сегментами сети, а учиться как работает что-то сложнее... ну 
> как бы ты сам свой комментарий выше перечитай посмотри на себя, 
> пойми почему с такими как ты жутко тяжело сотрудничать.

>> Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :)

> Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир 
> простых клиент-серверных приложений. Это даже покупать не обязательно есть куча реализаций 
> этого всего под GPL под разные случаи жизни. Что они там 
> делают? Аутентифицируют и авторизуют сессии к приложениям относительно базы LDAP и 
> строят правило с DPI... ну молодцы, чо. SER-у и его форкам 
> сколько лет? Кстати, а DAP/LDAP кто по-вашему придумал когда и зачем?

> Финально, вот с этим вот я на 100% согласен: 
>> Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька.

> Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола 
> нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется 
> нужно всовывать этот фаервол по самое "L7".
> Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все 
> эти ICE/STUN/TURN работают как надо.

> Обычно настройка NAT сводится к простым вещам: 
> 1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP 
> и прочее.
> 2) Не делать никаких DNAT на клиентские тачки/телефоны/серваки 
> 3) Добиться того чтобы NAT работал только там где это реально надо. 
 
> Последнее условие чаще всего трудновыполнимое, потому что есть упоротые, которые считают, 
> что NAT-это средство безопасности. Плюс внедрение UC выводит на чистую воду 
> все ошибки настройки сети. Вот пример самой частой проблемы: "случайный" NAT 
> между парой внутренних подсетей, причем иногда идущий в одну сторону, когда 
> 192.168.10.0/24 натится в туннель за 10.10.0.1/30 для доступа к сети 192.168.20.0/24, 
> но наоборот пакеты летят без трансляции минуя файрвол.

> Телефонист же сам должен себе настроить B2BUA или SBC или какое слово 
> тебе понятнее. Обычно это делают в демилитаризованной зоне. И если сетевику 
> уж сильно-сильно хочется безопасности своими силами для телефониста, то ACL никто 
> не отменял. NAT же в DMZ в случае с телефонией обсуждается 
> с телефонистом, подходит не для всех сервисов. Например, B2BUA (всякие атски 
> типа астериска) могут с ним работать, STUN/TURN - строго настрого нет. 
> Ну и опять же я про топологии сильно сложнее чем "офисная 
> атс на базе астериск для пары телефонов".

>> Да вы "батя" Фрейд.

> Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. Если ты восполнишь 
> недостаток знаний, и тебе проще станет и другим. Я ведь просто 
> сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего 
> человек сложный, нетерпимый, глупый и воинственный.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру