Блуждая сегодня по просторам интернета в поисках полезной информации, наткнулся на интересную статью. В ней как раз затронут вопрос безопасности самостоятельного хостинга.
Думаю, материал будет полезен для сообщества.
P.S. Не мудрствуя лукаво, тему озаглавил как в статье.
я прочитал толкьо что
недавно я пробовал сканировать ип адреса из локальных диапазонов в надержде найти адрес телефонной станции и зайти туда
так вот в ип сканере стали появляться хосты, которые отвечают на хттп и хттпс из диапазона 172.16\16
был несколько удивлен, особенно когда стали открываться цисковые точки доступа, потом пошли какие-то контроллеры плк что ли, упсы, длсам, свитчи цисковые, даже принтеры нашел
очень странная херня, что мой роутер может отправлять пакеты на локальные адреса на внешний интерфейс
у меня инторнет по тв кабелю и провайдер имеет свой нат и использует такие адреса
100.96.132.43
The main Carrier-Grade NAT (CGNAT) IP range, defined by RFC 6598, is 100.64.0.0/10, which covers IP addresses from 100.64.0.0 to 100.127.255.255. This block, known as the Shared Address Space, allows Internet Service Providers (ISPs) to conserve public IPv4 addresses by sharing a single public IP among many customers, assigning them IPs from this range internally, notes Simplify Redes and DrayTek
я как-то сканирова диапазон 100.64 и находил уже пользовательские девайсы, в основном насы
один раз нашел мак бук, который походу был подключен напрямую в старый модем, который работал в режиме моста
а атк в основном насы были и один раз умный счетчик нашел с вебмордой, но показания запаролены были
Да роутер если не имеет у себя соответствующей сети, то отправляет запрос в свой маршрут по-умолчанию.
Недавно сам столкнулся с подобным, хотя, помню, что настраивал фильтрацию на фаерволе у себя, но сейчас что-то не вижу этих правил.
А так, есть практика запрещать хождение по локальным сетям в WAN и входящие LAN пакеты из WAN
Причем, последнее вообще опасно т.к. если на фаерволе есть запрет только на уровне IP адресов без интерфейсов, то со стороны провайдера можно отправить запрос в локалку типа “из локалки” если поставить IP локальной сети
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
/ip firewall filter
...
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN out-interface=!bridge
...
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
Спасибо, добавил у себя на всякий случай)
ну так-то да, мне даже хетцнер прислал письмо, что с локального адреса было сканирование адресов, а я глянул и у нас нет такого адреса и сканируемый диапазон тоже левый, а пакеты шли на внешний интерфейс и они типа негодуют, что их роутер нагружается ненужными пакетами, так что пришлось тоже все специально блокировать
а тут роутер у меня домашний fritzbox и там вроде по умолчанию должны быть какие-то правила фаерволла скрытые, в нем не так много настроек
и я так понимаю - этот список и есть bogon networks?
да, он самый, это из официальной доки микротиков
| Netblock | Description |
|---|---|
| 0.0.0.0/8 | “This” network |
| 10.0.0.0/8 | Private-use networks |
| 100.64.0.0/10 | Carrier-grade NAT |
| 127.0.0.0/8 | Loopback |
| 127.0.53.53 | Name collision occurrence |
| 169.254.0.0/16 | Link local |
| 172.16.0.0/12 | Private-use networks |
| 192.0.0.0/24 | IETF protocol assignments |
| 192.0.2.0/24 | TEST-NET-1 |
| 192.168.0.0/16 | Private-use networks |
| 198.18.0.0/15 | Network interconnect device benchmark testing |
| 198.51.100.0/24 | TEST-NET-2 |
| 203.0.113.0/24 | TEST-NET-3 |
| 224.0.0.0/4 | Multicast |
| 240.0.0.0/4 | Reserved for future use |
| 255.255.255.255/32 | Limited broadcast |