Темы посвященной файрволам вообще и iptables в частности не нашел, так что пусть будет здесь.И сразу вопрос. У меня, среди правил iptables имеется вот такая цепочка:-A chk_attack -m conntrack --ctstate INVALID -j is_attack-A chk_attack -f -j is_attack-A chk_attack -p tcp --tcp-flags ALL ALL -j is_attack-A chk_attack -p tcp --tcp-flags ALL NONE -j is_attack-A chk_attack -p tcp ! --syn -m conntrack --ctstate NEW -j is_attackОна применяется ко всему, что попало в INPUT или FORWARD. Собственно вопрос: насколько такой набор правил эффективен и велика ли вероятность false positive? Что тут следует добавить/убавить?Сейчас я поднял ipfs-ноду и вижу, что где-то треть пакетов, пришедших на 4001 порт, эти правила блокируют. Мешает ли это работе ноды — без понятия. Вроде работает, но насколько эффективно?
Темы посвященной файрволам вообще и iptables в частности не нашел, так что пусть будет здесь.
И сразу вопрос. У меня, среди правил iptables имеется вот такая цепочка:
-A chk_attack -m conntrack --ctstate INVALID -j is_attack-A chk_attack -f -j is_attack-A chk_attack -p tcp --tcp-flags ALL ALL -j is_attack-A chk_attack -p tcp --tcp-flags ALL NONE -j is_attack-A chk_attack -p tcp ! --syn -m conntrack --ctstate NEW -j is_attack
Она применяется ко всему, что попало в INPUT или FORWARD. Собственно вопрос: насколько такой набор правил эффективен и велика ли вероятность false positive? Что тут следует добавить/убавить?
INPUT
FORWARD
Сейчас я поднял ipfs-ноду и вижу, что где-то треть пакетов, пришедших на 4001 порт, эти правила блокируют. Мешает ли это работе ноды — без понятия. Вроде работает, но насколько эффективно?
У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать. А если решишься то достаточно элементарных знаний и мышки. Правда он больше не поддерживается и не обновляет файлы автокофигурации. Так что все новые программы он считает неизвестными и подозрительными. Приходится настраивать вручную.После него никак не могу к другим привыкнуть, где нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.
У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать. А если решишься то достаточно элементарных знаний и мышки. Правда он больше не поддерживается и не обновляет файлы автокофигурации. Так что все новые программы он считает неизвестными и подозрительными. Приходится настраивать вручную.
После него никак не могу к другим привыкнуть, где нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.
Покажи счетчики для этих правил. iptables -L -n -v>>198417> У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать.Это как не настраивать? Может отключить его лучше в этом случае?> нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.Можно копипастить текстовый конфиг же.
Покажи счетчики для этих правил. iptables -L -n -v>>198417
> У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать.
Это как не настраивать? Может отключить его лучше в этом случае?
> нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.
Можно копипастить текстовый конфиг же.
>>198419>Это как не настраивать?За меня его создатели настраивали. Это для блондинок. Всегда можно было что да как и ручками всё поправить.>Можно копипастить текстовый конфиг же.Всёравно ведь от одного фаера к другому конфиги не подходит. Первый раз нужно в ручную настраивать. А после графического удобного и лаконичного интерфейса стены текстовой копипасты выглядят и воспринимаются не иначе как дикость. Вот имеется например программа, для которой нужно настроить правила сетевого доступа. Одно дело протоколы указать и маски сетевые с направлениями и совсем другое для каждого используемого ею айпишника из диапазона вручную прописывать. Потому к примеру вcтроенные в авиру и нод фаерволы меня жутко бесят. Зажрался, да.
>>198419
>Это как не настраивать?
За меня его создатели настраивали. Это для блондинок. Всегда можно было что да как и ручками всё поправить.
>Можно копипастить текстовый конфиг же.
Всёравно ведь от одного фаера к другому конфиги не подходит. Первый раз нужно в ручную настраивать. А после графического удобного и лаконичного интерфейса стены текстовой копипасты выглядят и воспринимаются не иначе как дикость. Вот имеется например программа, для которой нужно настроить правила сетевого доступа. Одно дело протоколы указать и маски сетевые с направлениями и совсем другое для каждого используемого ею айпишника из диапазона вручную прописывать. Потому к примеру вcтроенные в авиру и нод фаерволы меня жутко бесят. Зажрался, да.
>>198419>Покажи счетчики для этих правил. iptables -L -n -vChain chk_attack (2 references) pkts bytes target prot opt in out source destination 17194 1248K is_attack all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 is_attack all -f * * 0.0.0.0/0 0.0.0.0/0 0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 7536 856K is_atkack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 ctstate NEWХм… Отсеивает пакеты, как можно видеть, первое и последнее правила. Первое, наверное, делает это правильно. Пакеты со статусом INVALID — это ведь мусор, так?А вот последнее — я не уверен (с самого начала подозревал, что с ним что-то не так). Возможно, от потенциального syn-флуда лучше защищаться как-то иначе… Сообщение слишком длинное. Полный текст.
>Покажи счетчики для этих правил. iptables -L -n -v
Chain chk_attack (2 references) pkts bytes target prot opt in out source destination 17194 1248K is_attack all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 is_attack all -f * * 0.0.0.0/0 0.0.0.0/0 0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 7536 856K is_atkack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 ctstate NEW
Хм… Отсеивает пакеты, как можно видеть, первое и последнее правила. Первое, наверное, делает это правильно. Пакеты со статусом INVALID — это ведь мусор, так?А вот последнее — я не уверен (с самого начала подозревал, что с ним что-то не так). Возможно, от потенциального syn-флуда лучше защищаться как-то иначе…
>>198424> Пакеты со статусом INVALID — это ведь мусор, так?Так.Invalid: If none of the previous states (NEW, ESTABLISHED, RELATED) apply the packet is in state INVALID. This could be caused by various types of stealth network probes, or it could mean that you're running out of CONNTRACK entries (which you should also see stated in your logs). Or it may simply be entirely benign.Второе правило можно погуглить по "new not syn". С ним не всё так однозначно.
>>198424
> Пакеты со статусом INVALID — это ведь мусор, так?
Так.Invalid: If none of the previous states (NEW, ESTABLISHED, RELATED) apply the packet is in state INVALID. This could be caused by various types of stealth network probes, or it could mean that you're running out of CONNTRACK entries (which you should also see stated in your logs). Or it may simply be entirely benign.
Второе правило можно погуглить по "new not syn". С ним не всё так однозначно.
>>198426Второе - т.е. последнее.
>>198419Кстати да, вот так поставишь автоматический режим в каком-нибудь комплексном продукте защиты, заглядываешь в конфиг а там "разрешить всё". Нужно аккуратнее с такими штуками, всегда следить и проверять за незнакомыми фаерфолами.
Недавно узнал что 27 октября праздник аудиовизуальной аппаратуры. Ну, с праздником!
Где-то у меня валялся диплом инженера аудиовизуальной техники.
>>185712Бамп спустя почти год!
>>185712Обязательно отметим фотками сетапов.мимо-аудиозадрот
Искал однажды кабель с ферритовыми фильтрами, на меня смотрели как на аудиофила, палатки после третьей стало стыдно спрашивать такой провод.
>>197084Э, еще 20 дней.
>>197094Покупай отдельно же и вешай хоть на шнур питания холодильника.
>>197110Хм. Славная штучка. А то у меня есть один питальник, и он пошумливает в предусилитель (не 50 Гц наводит, хотя и такой тоже есть, а какой-то шум повыше), вот мне кажется, что ему это дело может даже помочь.
Кошмар. Это мой тред.
>>197133Надеюсь, тебе за него стыдненько.
>>197148Стыдно. Очень.
Чии, помнится, здесь часто появлялись пользователь mpv, которые смотрят аниму. Решил тоже перекатиться на mpv, подскажите, что писать в конфигах, чтобы субтитры из каталога подгружало? У меня равки оверлорда от neko-raws и субтитры от sallysubs. Хочу, чтобы плеер подхватывал их из каталога "subs" и "subtitles". Ну и еще каких-нибудь интересных опций подскажите. Вывод opengl-hq ставить?
https://mpc-hc.org/2017/07/16/1.7.13-released-and-farewell/>v1.7.13 — это наиболее актуальная и, возможно, последняя версия нашего проекта.>Последние несколько месяцев (или даже лет) число активных разработчиков неуклонно уменьшалось и наконец достигло нуля. Этот печальный факт означает, что проект официально умер и эта версия MPC-HC станет последней… >… если только не появятся люди, готовые занять пустующие места.>Так что если у вас есть опыт программирования на C/C++ и вы хотите внести вклад в этот проект — свяжитесь со мной по IRC или электронной почте.>Если никто не откликнется — ничего страшного. Всё когда-то заканчивается, а жизнь продолжается. Это было увлекательное путешествие, и то, что я сейчас пишу этот пост, очень многое для меня значит.>MPC-HC — проект с одиннадцатилетней историей. Спасибо всем, кто все эти годы вносил свой вклад в его развитие.
https://mpc-hc.org/2017/07/16/1.7.13-released-and-farewell/
>v1.7.13 — это наиболее актуальная и, возможно, последняя версия нашего проекта.>Последние несколько месяцев (или даже лет) число активных разработчиков неуклонно уменьшалось и наконец достигло нуля. Этот печальный факт означает, что проект официально умер и эта версия MPC-HC станет последней… >… если только не появятся люди, готовые занять пустующие места.>Так что если у вас есть опыт программирования на C/C++ и вы хотите внести вклад в этот проект — свяжитесь со мной по IRC или электронной почте.>Если никто не откликнется — ничего страшного. Всё когда-то заканчивается, а жизнь продолжается. Это было увлекательное путешествие, и то, что я сейчас пишу этот пост, очень многое для меня значит.>MPC-HC — проект с одиннадцатилетней историей. Спасибо всем, кто все эти годы вносил свой вклад в его развитие.
>>194838Свободно, бесплатно, мертво!
MPC-QT же! :3
>>194838Давно пора, на самом деле. Они баги уже давно фиксить перестали, так что это было ожидаемо.
>>194838Good night, sweet prince.Они его успели научить правильно проигрывать линкованные файлы из коробки, как обещали?
>>194842> 2017> линкованные файлы
>>194842
> 2017> линкованные файлы
>>194843Ну у меня ещё где-то осталась пара тайтлов с такими сериями, которые я скачал лет шесть назад. Да и обещали же всё-таки, ещё во времена 1.6.
>>194842U menya posle kakogo-to apdeita pochinilos.
>>194843Между прочим, лучшим релизом серии моногатари до сих пор является релиз от коалы, а у них линкованые файлы. И это имеет смысл, так как там некоторые опенинги и эндинги весит под 400 мегабайт.
>>194842Пять лет назад смотрел аниме с линкованными опенингами из коробки. Все работало, как и работает по сей день.
Когда-то AdBlock Plus был очень хорош. Но теперь он даже принудительно не может заблокировать яндеск.директ на некоторых страницах, он все равно возвращается. Его каким-то образом детектят на множестве сайтов и либо ограничивают функционал, либо ставят навязчивые объявления чтобы отключить его. Список удаления предупреждений об Adblock как-то так себе работает.В связи с этим, какая теперь есть альтернатива чтобы было так как работал adblock раньше?
>>185056Что именно?
>>185062Вот прямо всё: уродливая огромная кнопка вкл/выкл, ненужная статистика, неинформативные кнопочки управления режимом работы, отсутствие возможности быстро проверить отработавшие фильтры и отключить их.
В чем там разница между мюБлоком и Ориджином и есть ли глубинный смысл перекатываться с одного на другой?
>>185058Абсолютно неудобно. Как предлагаешь таким образом блеклистить динамику? Как посмотреть отработавшие и поправить их в реалтайме?
>>185077Долгая история, но если выбирать из этих двух, то нужно быть на Ориджине.
>>185086Я очень ценю мнение автора Ориджина, но хотелось бы и пользователей услышать
>>185058А в браузере всё так же плохо или таки есть человеческое окно написания(!) фильтров?
>>185098Есть окно написания, есть. Можно ручками отредактировать и при визуальном выделении нежелательного объекта.
>>185086Ычую.
>>184180Чего блин, а если там баку хотят поймать и зацепить на крючок спама? Или вообще троян искаропки при заходе на сайт? Непорядок.
Около двух с половиной лет назад уже создавал такой тред, но он давно утонул.Здесь есть обладатели различных компьютеров (рабочих станций, серверов, ноутбуков) на процессорах не-x86 архитектур?Хотелось бы услышать, что это за железо, как его заполучили и прочие интересные вещи.Особенно интересно послушать тех, кто на этой радости работает или вообще админит её (или делал это когда-то раньше).
>>180769Я давеча разбирал дальнюю комнатку в подвалах своего университета. И было там много интересных вещей: терминалы для ЭВМ, стойки с платами, компьютеры DEC, телетайпы.Большая часть всего этого хозяйства пойдет под списание.Особенно у меня бомбит от польских кулеров для серверных стоек. Они лежали не распакованные, прямо в деревянных ящиках.
>>180771Забирай домой.
>>180772Мамка не пустит.И охрана тоже, на самом деле. Отдал бы любой согласившейся кафедре, но у меня нет должных связей.
>>180769Здесь наверняка у каждого первого есть девайсы на ARM, а у каждого второго - на MIPS, поэтому ничего необычного в этом нет
>>180776Речь не о мобильных гаджетах и роутерах, а разного рода серверах и рабочих станциях - HP 9000, Sun Ultra, PowerPC-based ThinkPad, AlphaServer, SunFire и прочем в этом духе.
>>180779Наверно, на /s/ найдётся полтора маковода с PowerPC-времён, но Apple едва ли интересна в этом плане, ведь там софт плавно перетекает с одного Мака на другой.
>>180771Погугли компьютерные музеи и форумы, отдай туда же. Ну или на одном небезызвестном форуме номер два есть раздел радиоэлектроники, анон тоже будет благодарен.Когда учился в техникуме, распиливали счётно-вычислительный аппарат какой-то советский. Стыдно.
>>180771Погугли компьютерные музеи и форумы, отдай туда же. Ну или на одном небезызвестном форуме номер два есть раздел радиоэлектроники, анон тоже будет благодарен.
Когда учился в техникуме, распиливали счётно-вычислительный аппарат какой-то советский. Стыдно.
>>180781То, что здесь есть люди с разного рода экзотикой - это я знаю. Как минимум, я. Ещё человек, глядя на которого, я, собственно, во всё это полез (не только в компьютерную экзотику, а вообще во всю эту околоайтишную область, пусть, пока что, исключительно в рамках увлечения).Но помню, что, вроде бы, здесь были владельцы HPшных серверов на PA-RISC, владелец SGI Indy, админы SPARC-машин. Хотелось бы послушать их.
>>180788Ну один из семпаев в принципе уже пытался наложить лапу на часть железок как раз с музейными целями (почему-то он хочет забрать себе все пентоды, например). Но крупноразмерные экспонаты вытащить никуда не удастся, кровавый пропускной режим, у меня явно не хватит связей, чтобы это разрулить.с другой стороны, многое из хранящегося там железа - это все-таки больше хлам, чем раритеты. Телевизор "Юность 402" и черно-белый польский монитор без заземления - это круто, но до музея явно не дотягивает.Так что пока придется довольствоваться калькуляторами "Электроника Б3-18А", работающими от сети.
>>180769Есть железо 1995-го года, отдал его интернетчик с моего города.Пенёк 1, Сокет 7.
>>180769
Есть железо 1995-го года, отдал его интернетчик с моего города.
Пенёк 1, Сокет 7.
- wakaba + futaba + futallaby -
