Napsání scriptu na MikroTik

krakonos

EDIT: Již vyřešeno, prosím o smazání.
Děkuji

jchudoba

Další z variací na MOAB, greylist a podobné. Nechápu smysl tohoto - trendem je zero trust přístup, nikoli blacklistování jako v devadesátých letech.

Co až bude IPv6-to si budeme do routerů kupovat terové disky, aby se nám tam ty blacklisty vůbec vešly? :-)

Vykašlal bych se na to a ušetřený čas bych věnoval skutečnému zabezpečení. Tenhle nesmysl bezpečnost zhoršuje, právě tím že vytváří falešný pocit bezpečí. Co brání útočníkovi stáhnout si ten samý blacklist a zaútočit z adresy která na něm není?

Tyhle blacklisty jsou chiméra, asi jako když si někdo myslí že je reálné vytrasovat všechny infikované koronavirem.

ludvik

jchudoba trendem je zero trust přístup, nikoli blacklistování jako v devadesátých letech.

Nojo, to je sice hezká teorie ... ale pokud ti na službu dorazí D(D)oS máš s tímto přístupem v podstatě smůlu. Musíš tomu předřadit něco na úrovni IP.

krakonos

Aktuálně mi to pomáhá s velkým množstvím útoků na servery. Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné, denně jsem to s nimi řešil. Po nasazení blacklistu z projektu Turris mám klid, ale nebaví mě to importovat ručně po částech, proto ten script.

Do budoucna to možná není nejvhodnější, ale aktuálně v tuto chvilku jsem spokojený. Plní to účel, alespoň do doby než se udělá lepší řešení.

jchudoba

krakonos Aktuálně mi to pomáhá s velkým množstvím útoků na servery.

Viděl jsi vůbec co v tom seznamu je? Drtivá většina SMB, databáze (takže skeny na 1433 nejspíš), to vůbec nejsou služby které normální člověk vystaví do internetu. Následně, jaký dává smysl filtrovat něco co bude beztak (bez zbytečného zatěžování procesoru) dropnuto na konci chainu?

krakonos Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné, denně jsem to s nimi řešil.

No a? Pokud tě platí za bezpečnost, potom to s nimi řeš systémově. Co když bude útočník u nich ve vnitřní siti na infikovaném PC, jak ta tvá komedie v takovím případě řeší bezpečnost klienta? A pokud tě za bezpečnost neplatí, proč děláš něco co si nikdo neobjednal a leda przníš síťovou neutralitu? Pokud tvá síť neunese těch pár bajtů navíc (nebo i hodně navíc, tam kde to končí amplifikací, ale pořád tolik kolik si zákazník zaplatil a má právo využívat jakkoli, i hloupě), běž se živit něčím jiným.

Zajímavé je že velká trojka slušných operátorů ať je jaká chce, tak tohle nedělá (pokud si to zákazník explicitně neobjedná jako službu), tuhle hloupost dělají jen vesničtí provideři. Jeden z hlavních důvodů proč s nimi kdekoli na ně narazím a mám možnost ukončuji smlouvy preventivně a nahrazuji normálním providerem, protože u svévolného filrtrátora nevím dne ani hodiny kdy ho napadne zablokovat legitimní provoz jen proto že to tupě převzali z nějakého soukromého blacklistu.

Poslední exponát takového chytrolína mému zákazníkovi zablokoval odchozí provoz na cloud2.mikrotik.com, protože mu to přišlo jako botnet - prý na to chodilo moc odchozích spojení :-) Dva měsíce před ním jiný chytrolín zablokoval příchozí port 80 se zahraničí, takže odstavil validaci LetsEncrypt certifikátů - ano, nějakým blacklistem, prý my ty LE servery moc lezky do sítě a "přetěžovaly síť". Před průšvihem mne zachránil zabbix který expirace hlídá. Další zablokoval příchozí provoz ze služeb typu shodan.io, takže zákazníkovi se na shodanu jeho síť jevila jako filtrovaná, ale fskutečnosti nebyla-tím ten chytrolín vytvořil rizikovou situaci.

Vzpamatuj se, Turris je router do domácnosti, nikoli pro profesionální použití, takto je nepochybně myšlen i ten blacklist-pro úplné BFU jako opatření typu "lepší než drátem do oka". Že to vezme a bude se snažit nasazovat profesionál a ještě k tomu na klienty, no to je absolutní úlet. Když už, proč jim rovnou nedoporučíš koupit Turrise?

Navíc Turris je dotovaný projekt, dotace musí mít nějaký výstup - ten blacklist existuje protože plní funkci výstupu dotace který se hezky publikuje - nikdo soudný nepočítal s tím že to někdo bude takto defektně nasazovat.

ludvik Nojo, to je sice hezká teorie ... ale pokud ti na službu dorazí D(D)oS máš s tímto přístupem v podstatě smůlu. Musíš tomu předřadit něco na úrovni IP.

Ty jsi se také nekoukal co v tom blacklistu je za služby, že?

ludvik pokud ti na službu dorazí D(D)oS

Ha turrisí hrůza ale nemá s DDoS ochranou nic společného. Ta filtruje převážne skenování SMB a SQL, takové to jak skript pošle jednou za týden požadavek s exploitem typu Sasser/Blaster, případně sto požadavků se sto nejčastěji použivanými hesly. To není DDoS, to je portscan, případně bruteforce.

Tazatel tímhle leda škodí - bezpečnost leda zhoršuje ("chrání") zákazníky přet tupými skeny, ale nijak je nechrání před cílenými útoky, a ještě jim dává falešný pocit bezpečí. Naopak to má nechat-ať si zákazník o to dříve všimne že se něco děje.

Doporučím tento přístup kamarádovi hospodskému - až mu zase přijede do hospody plný autobus a kuchař nebude stíhat, tak si z webu ministerstva zdravotnictví stáhne seznam že zdravé BMI je do pětadvaceti a zablacklistuje všechny tlusťochy, čímž sníží zátěž kuchaře (ale přitom tlusťochy zkasíruje za plnou cenu). A bude drze tvrdit že to udělal pro zdraví hostů. protože ti s vysokým BMI by beztak tolik jíst neměli.

Také teď dost řádí https://www.nukib.cz/cs/infoservis/hrozby/1739-upozorneni-na-aktivni-zneuzivani-zranitelnosti-microsoft-exchange-server-proxyshell/, co kdybys zákazníkům preventivně zablokoval příchozí tcp/443, aby jim nemohl nikdo napadnout exchange? Logiku by to mělo stejnou jako tenhle blacklist.

jchudoba

myghael maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Přesně to se snažím od začátku tazateli vysvětlit, ale nechtěl jsem to napsat takto natvrdo. Ten jeho turrisí skript jde ovšem mimo tento popis - svévolně paušálně blokuje zákazníkovu komunikaci, aniž by si zákazník takovou filtraci objednal či s ní byl alespoň srozuměn.

myghael Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku.

S tím také souhlasím-pokud někdo přepošle abuse report zákazníkovi se zdvořilým dotazem co s tím a zdvořilou žádostí o nápravu v přiměřené lhůtě, případně nabídkou pomoci, je to OK. Zákazník to buď vyřeší nebo nevyřeší, tím to pro mne hasne. Pokud budu mít i poté dojem že mne zákazníkova přítomnost v mé síti ohrožuje, pošlu mu výpověď.

Ale nikdy nebudu paušálně zákazníkům za zády tvořit jakési obskurní filtrace a skripty "abych měl klid"-to je zcela mimo mantinely elementární slušnosti, i mimo ekonomickou logiku.

Tazatel nic nevyřešil, bezpečnost zákazníků nijak zásadně nezměnil (nic nebrání útočníkovi zaútočit z "čisté" adresy), jen sobecky "vyřešil" problém své vlatsní sítě, na úkor zákazníka (třeba mu zablokoval i sondy shodanu a zákazník si teď třeba díky tomu myslí že to má OK).

krakonos Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné, denně jsem to s nimi řešil.

Tady někde se stala chyba. Proč "denně"? Stačilo jednou, ale systémově - nabídnout pomoc, a potom to buď nechat plavat nebo (pokud to bylo ohrožující pro ISP) prostě vypovědět smlouvu. Místo toho jsi se vydal cestou jako "chytrá horákyně" - ani jsi to nevyřešil, ale ani jsi neměl koule se k tomu postavit jako chlap a (podle tebe) problematického zákazníka vypovědět. Kdosi mi tu vyčítal že řeším věci černobíle, možná je to pravda, ale nemusím se plácat se zákazníky jejichž samotná existence mne tlačí do vymýšlení takovýchto obskurností.

Z mé praxe si zákazník buď nechá poradit bez velkého přesvědčování, nebo je to beztak někdo na kým nebudu truchlit, když náš obchodní vztah skončí a slušně se rozejdeme (pokud jsme vůbec někdy začali spolupracovat - ono firmu která je schopná vystavit NT server do internetu není těžké prokouknout ještě před podpisem smlouvy). Ty píšeš že máš vysokou neúspěšnost při přesvědčování aby si nechali poradit a současně jsou pro tebe nepostradatelní, to mi přijde dost zvláštní.

ludvik

jchudoba Ha turrisí hrůza ale nemá s DDoS ochranou nic společného.

Já o Turrisovi nenapsal ani čárku! Dokonce ani o tom, jestli mne u toho zajímá SRC, nebo DST. A pojem DOS je dost široký na to, aby pobral i portscan a bruteforce testy.
Tvůj problém je taková klasika - jsou jen bílé a černé strany. A kdo vyznává jinou, než ty neví o čem mluví a je blbec.

myghael

jchudoba A to je vtipné, že přesně ze stejného důvodu já všude naopak nahrazuju "velkou trojku" někým místním, taktéž preventivně. Sice to chápu, protože jakýkoliv jeden z popsaných excesů by takového "ISP" u mě automaticky zařadil na blacklist (blacklist firem, ne ve firewallu), ale velká trojka už na tom blacklistu dávno je. U toho lokála se dá identifikovat odpovědnou osobu a dát příslušnému ISP nebo "ISP" příležitost projevit svou odbornost/neodbornost.

dacesilian

Upravit (smazat) text původní otázky není moc ok, ale chápu - blacklistování IP. Myslím si, že je vhodné dočasné filtrování, jako to dělá fail2ban - tak rovnou na routeru drop pro IP adresy, které v mojí síti někde zkoušely hesla (mailserver,...).

krakonos

dacesilian Ano, script má fungovat na základě ip blacklistů vytvořeních převážně z fail2ban, které se každý den automaticky aktualizují. Uvedený blacklist od projektu Turris byl pouze jako příklad, ale funguje i s abuseipdb, spamhaus a monoho dalšími.

@jchudoba
Ačkoli si vážím Vašich znalostí, tak nemám sil reagovat na tyto slohové práce. Můj požadavek zde byl na úpravu skriptu a o tom diskuse nebyla. Pokud byste chtěl opravdu poradit a pomoci, tak mi prosím uveďte konkrétně, jak mohu vyřešit lépe. Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare, ale stejně to nestačí. Děkuji

jchudoba

myghael U toho lokála se dá identifikovat odpovědnou osobu a dát příslušnému ISP nebo "ISP" příležitost projevit svou odbornost/neodbornost.

Identifikovat odpovědnou hospodu lze i když mi ve vesnické čtyřce předhodí polosyrový blaf z týden plesnivého masa. Obávám se ovšem že i kdybych tam zaplatil a poslal na týden Pohlreicha, moc se toho nezmění-navíc k té čtyřce to tak nějak patří a bylo by pošetilé to měnit. U "ISP" kde jedinou kvalifikací je "umím přivrtat anténu a konfiguruji ji dle random vygooglených návodů, pro důchodce dobrý" by to dopadlo podobně-své místo na trhu má stejně tako ta čtyřka, jen se holt segmentově míjíme.

myghael velká trojka už na tom blacklistu dávno je.

Asi máš štěstí na region když trojka vychází hůře než vesničani.

Byla by tam u i mne kdybych měl přísný threshold, ale zase od někoho konektivitu odebírat musím :-) Takže velká trojka je nejmenší zlo.

krakonos Pokud byste chtěl opravdu poradit a pomoci, tak mi prosím uveďte konkrétně, jak mohu vyřešit lépe. Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare, ale stejně to nestačí.

Pokud to takto nestačí (a za předpokladu že jsou ty ochrany správně), pojďme na to otevřít extra téma, které bude "Jak se bránit DDoS" a které by bylo rozumné otevřít popisem co se vlastně děje. Tahat to do vlákna na úpravu skriptu je skutečně špatně. Stejně tak je špatně ovšem i myšlenka že ten blacklist zabrání DDoSu (pokud to nebude dle principu "i rozbité hodiny ukazují dvakrát denně správný čas").

Myslet si že v tom turrisím (nebo jakémkoli jiném) blacklistu jsou všechno možné zdroje DDoS útoků je poněkud naivní, a pokud se nevymaníš z tohoto předpokladu, problém s DDoS nevyřešíš nikdy. Začal bych tím že ochrana musí být dynamická a musí být schopna odolat i cílenému útoku ze směru který se doposud nikterak neprojevil.

Navíc, něco mi říká že to s čím máš problém nebude ani omylem cílený DDoS, možná tak sloužíš jako nástroj pro nějaké amplifikace, nedostatečná kapacita v síti nebo nějaká hrubá konfigurační chyba. Vede mne k tomu to že tvrdíš že ti na to pomáhá tato primitivní turrisí filtrace - ta na cílený kvalitní DDoS útok pomáhat nemůže ani omylem. Pokud pomáhá, tak je to buď extrémní náhoda, nebo je tam něco jiného. Zjednodušeně řečeno, pokud na problém pomáhá takto primitivní blacklist, potom bude samotný problém také dost primitivní (a potom je tam třeba zbytečný ten cloudflare).

Za mne je nasazování turrisího blacklistu střelba totálně naslepo. Takže ještě jednou - pomoc nabízím, nakonec nejsem tu jediný schopný poradit, ale předpokladem je popis kde začíná problém - nikoli prosba o pomoc s dotažením náhodně vybraného řešení.

a ad "Využíváme síťové ochrany od ČRA" - ta ochrana má nějaké slibované parametry - buď je plní nebo ne, potom bych zvážil buď výpověď, reklamaci, nebo reformulaci zadání. Vsadil bych ovšem spíše na reformulacu zadání, tedy vrátit se k otázce kde vlastně ten řešený problém začíná. To se podle mne nestalo, místo toho se random zkouší [ČRa, cloudflare, turris] ..., zítra to bude něco dalšího, ale pořád random. Je třeba ten řetězec náhodně losovaných "řešení" zastavit.

myghael

jchudoba Asi máš štěstí na region když trojka vychází hůře než vesničani.

Byla by tam u i mne kdybych měl přísný threshold, ale zase od někoho konektivitu odebírat musím :-) Takže velká trojka je nejmenší zlo.

Možná bohužel, možná bohudík. Aplikace zákazníka nemá úplně specifické nároky, pouze jsou ty nároky poměrně přísné (ne zase tak moc, ale víc než "doochodce" jak to označuješ). Moje požadavky na ISP zase tak složité nejsou, pouze logická nějak rozumně vypadající smlouva a plnění předem dohodnutých a zasmluvněných parametrů. To první u velké trojky zpravidla problém nebývá, s tím druhým už to často tak slavné nebývá a zákazník chce aby to fungovalo, ne seriál o přetahované s plejádou zaměstnanců subdodavatele. Popravdě řečeno v tomhle mám rád ty vesničany, ti často rovnou řeknou, že si na to netroufají a můžu jít rovnou bez provokování zákazníka špatnou službou. To už je lepší třeba (a nejen) Nordic, tam je všechno OK, pokud zrovna netrefím nějakou "průserovou" lokalitu, ale těch časem zdá se ubývá. Ale tím bych tento off-topic již uzavřel.

krakonos Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare

Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

jchudoba

ludvik A pojem DOS je dost široký na to, aby pobral i portscan a bruteforce testy.

To jistě ano, ale to je takový malinkatý neškodný sub-DDoS, který se vůbec nevyplatí řešit. Pokud zde tazatel píše že má s DDoS natolik problém že má potřebu to řešit a vyrábět kvůli tomu skripty, potom se bavíme o něčem větším - a zcela jistě zcela mimoběžném vůči tomu co řeší ten turrisí seznam.

jchudoba

myghael Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

To jsem chtěl říct větou " ta ochrana má nějaké slibované parametry - buď je plní nebo ne, potom bych zvážil buď výpověď, reklamaci, nebo reformulaci zadání." Rozhodně mi nedává smysl současně platit ČRa za antiDDoS a současně se snažit něco partyzánsky pytlíkovat na Mikrotiku. Už jen ekonomicky vzato - buď za to dávám peníze ČRa nebo do toho dávám můj čas a něco pytlíkuju - ale oboje dohromady je plýtvání zdroji.

Divné ovšem je že tazatel píše "Po nasazení blacklistu z projektu Turris mám klid" - to mne vede k závěru že to s čím má problém není klasický DDoS, ale něco špatně na straně koncových zákazníků (což sám tazatel píše "Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné").

Potom ale sorryjako, někdo si tu dost plete antiDDoS (tak jak to chápe ČRa) a cosi jiného, co by si měli řešit klienti. Myslím že celý problém je od začátku uchopen zcela špatně. AntiDDoS ochrana neslouží jako náhrada mizerného zabezpečení koncových bodů-a dokud si tazatel bude myslet že ano, nedosáhne výsledku. Cítím v kostech že bude muset dojít na reformulaci zadání.

krakonos

myghael DDoS není můj problém, to zde vzniklo z detektivních úvah jchudoba.
Síťová ochrana od ČRa funguje poměrně dobře, od té doby pojem DDoS neznám. Řešil jsem zde script který stahuje IP adresy z blacklistů proto, že někteří klienti mají u mě staré neaktualizované servery na které běží nejčastěji brute force útoky, typu sasl, ftp,ssh apod. až se jim podaří ten server prolomit. Od doby co jsem nasadil blacklist, tak mám klid, protože velké zdroje brute force tam jsou většinou zalistované. Nikde také neříkám, že je to super řešení a vlastně to není vůbec ideální, ale v tento okamžik to funguje a dává to "neposlušným" klientům čas na upgrade jejich zabezpečení na serveru.

ekrajnak

Nemam vela casu sa tu rozpisovat - musim dopisat konecne diplomovku... Takze idem aj tu edukativnym sposobom 😃 Ak niekto chcete pochopit co sa skryva pod pismenkami DDoS, odporucam citanie na volne chvile https://blog.cloudflare.com/tag/ddos/ ... od roku 2012 trendy, principy, vysvetlenia, grafy, ...

myghael

krakonos Tomu rozumím. My jsme to řešili upozorňováním klienta, kdo to po třech týdnech nevyřešil ani nepřišel s něčím ve stylu "hele fakt nevím čím to je" (na což se dá reagovat nabídkou vhodných služeb) tak prostě odstřižení z důvodu bezpečnosti. Pár zákazníkům jsme ty servery dali dohromady nic, firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

jchudoba

Cesta do pekla bývá dlážděna dobrými úmysly. Pochopím možná ještě přátelské upozornění a "nabídku vhodných služeb", ale cokoli dalšího je už za hranou.

ISP má dodávat konektivitu a co se na ní přenáší nemá co řešit, pokud to po něm není vyžadováno smlouvou nebo právním předpisem (např. hazardní weby). Chápu že je to někdy tristní pohled na to že se tam přenáší zjevné útoky, ale ... nevyřeším všechno zlo světa. Nevezmu si domů všechny hladové černoušky, nevezmu si domů všechny pejskya kočicky z útulků, stejně tak nezabráním všem provozovatelům NT serverů aby ty kostlivce vystavovali do internetu.

Analogicky když provozuji hospodu, mám dodávat objednané jídlo a není mou úlohou řešit že tenhle tlusťoch by si deset knedlíků dávat neměl, protože to zvýší riziko předčasné smrti. Mám zákonnou povinnost nenalévat podnapilým-nemám ale povinnost řešit kolik si kdo dal knedlíků. Přijde špekoun kterému bych měl prodat leda salát s vodou a chce bůček a dvacet knedlíků? Proč ne. Přijde provozovatel NT serveru a koupí stomageabit a potom si přes to nechá vykrádat data? Proč ne...v čem je mezi těmito situacemi rozdíl? ISP je kulové do toho zda je ta linka vytěžována torrentem nebo portscanem-zákazník si konektivitu zaplatil, stejně jako si tlušťoch v hospodě zaplatil svůj bůček s dvaceti. Neříkám že je to krakonosova motivace, ale kdykoli jsem se já v praxi setkal s tím že isp "řešil bezpečnost", bylo to nakonec jen a pouze proto aby neměl velké náklady na konektivitu. O bezpečnost nešlo, takže to byla navíc vždy falešná dobročinnost.

Kdybych šel ještě dále, kdy začnete sledovat zda si zákazníkova dcera nedomlouvá rande s úchylákama, abyste taky zákazníka "v zájmu vyššího dobra" blokli? A co když bude zákazník často navštěvovat eshop s tabákem - také ho střihnete, aby neumřel na rakovinu plic? ISP má dodávat internet, ne si hrát na spasitele.

Tenhle aktivismus je zlo. Ostatně víte kulové zda tam klient nemá vědomě honeypot a moc dobře ví o tom že se na server útočí. Není to váš problém, nikdo nečeká že to budete řešit.

Pochopil bych kdyby ten blacklist krakonos začal nabízet jako službu, proč ne, O2 také nabízí jakýsi směšný DNS filtr. Ale dělá to transparentně.

myghael firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

Tohle jsi napsal hezky. Vyřešil to trh, ne ingerence providera. A tak to má být. Kdybys té firmě tehdy pomohl-tak by to na výsledku nic nezměnilo. Každý svého štěstí strůjcem.

myghael

jchudoba Myslím, že už to dotahuješ do extrému. Jeden port scan u zákazníka není problém ISP, maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku. Odstřihnout kvůli tomu klienta je extrémní krok ke kterému došlo jenom jednou, ale tehdy klienta od naší sítě odstřihla policie zabavením všeho, co bylo v zákazníkově budově a mělo na sobě konektor RJ-45 (včetně PoE adaptéru od našeho CPE).

Že ty ses setkal s podivným "ISP" co řeší proč lidi jeho 100 Mbps tarif využívají na víc jak 5% je úplně jiná otázka.

krakonos

@jchudoba Ještě teda pro doplnění a upřesnění, ať zde nevznikají nějaké nesrovnalosti a konspirační teorie.
Script jsem řešil pouze pro pár dst-address, říkejme jim třeba děravé servery. Veškerý ostatní provoz bych si nedovolil jakkoliv omezovat nebo blokovat a rozhodně to nemělo sloužit jako standart na mé síti.

Klient v tomto případě třeba kamarád Franta, má u mě tři servery za almužnu co pokryje sotva náklady na elekřinu. Jasně jsem hloupý, ale je to "kamarád". Neznám obsah jeho serverů, nevím co dělá, ale servery jsou děravé jako cedník. Pokud je to honeypot, tak určitě ne úmyslně. Pomoc zabezpečit servery odemě nechce, řeší si to sám (asi se bojí, abych neviděl jeho super tajná data na serveru, netuším). Poslat do pr*ele ho nemůžu, je to přeci kamarád, takže domluva s ním je taková, že co nejdříve sjedná nápravu a já mám zatím zablokovat vše co se mi nezdá. Původně jsem chtěl na jeho dst-address zablokovat 0-65535, ale opět jsem se slitoval navrhl script na blokování IP adres zařazených na blacklistech.
Jemu to sice dodává falešné bezpečí a útok může přijít kdykoli a kdekoli, ale pravdou je, že to pravidlo zachytává neskutečné množství spojení a již dva měsíce jsem s ním nemusel řešit, že zase spamuje do světa a pomáhat mu promazávat jeho IP ze spamlistů apod.
Být to běžní klienti, tak jim po třech upozorněních zruším smlouvu, ale jak říkám, většinou se jedná o kamarády nebo o charitu pro místní organizace. Nejsem na to hrdý, ale rád těm lidem pomohu, když mám tu možnost. Ovšem i v tomto případě platí "pro dobrotu na žebrotu" a věřím, že mi trpělivost brzy dojde. No nic, to už jsme se opět dostali od napsání scriptu zase úplně někam jinam, tolik tedy z mé strany vše k tomuto tématu a děkuji za zájem o problematiku.

soban

krakonos
Když je to kamarád tak mu pomůžu, pokud pomoc nechce dám mu čas na nápravu a pokud ani to nepomůže tak ho odstřihnu.
Prostě kvůli kamarádovi nebudu v průseru.

To mi připomíná mého kamaráda který si pořídil vypalovačku CD a nedělal nic jiného jak vypaloval CD až mu to přerostlo přes hlavu a tak ji se slevou přeprodal mě a i mě začaly kamarádi chodit abych vypaloval CD a já na to bez problémů 1x CD 1000,- , ale jinde mi to udělají za 500,- a moje odpověď je tak si to nech udělat tam a měl jsem pokoj....
Samozřejmě semtam jsem někomu něco přepálil jak to fakt byl kamarád za cenu pouze nákladů......

jchudoba

krakonos Díky za upřesnění. Takto podané to nepůsobí tak hrůzně jako původní dotaz-tam jsem se lekl "proboha další ISP si jde hrát s blacklisty". Lidsky to tak nějak chápu, ale prakticky trvám na tom že je to špatně - kamarádovi bys paradoxně více pomohl kdybys s ním naložil jako s kterýmkoli jiným klientem.
Ale to už je mezi vámi.

Další stránka »