The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP"  +/
Сообщение от opennews (??), 07-Май-24, 11:31 
Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61130

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от tcpip (??), 07-Май-24, 11:31 
Круто, спасибо за информацию.
Ответить | Правка | Наверх | Cообщить модератору

12. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +13 +/
Сообщение от КО (?), 07-Май-24, 12:04 
"при наличии доступа к локальной сети"
перестал дальше читать, лол
Ответить | Правка | Наверх | Cообщить модератору

21. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +3 +/
Сообщение от Анониматор (?), 07-Май-24, 12:20 
да пусть даже доступ будет. Современные энтерпрайз давно умеют отсекать неавторизованные DHCP-серверы в локалке на уровне коммутаторов.
Ответить | Правка | Наверх | Cообщить модератору

28. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +14 +/
Сообщение от Аноним (28), 07-Май-24, 12:52 
Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это настроили хоть как-то.
Ответить | Правка | Наверх | Cообщить модератору

25. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +8 +/
Сообщение от Анонимус3000 (?), 07-Май-24, 12:42 
Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ обеспечить безопасность в публичных Wi-Fi сетях. И для таких сетей атака как раз возможна
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

33. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –6 +/
Сообщение от Аноним (33), 07-Май-24, 13:37 
В публичных сетях скорее всего пользуешься андроидом, где атака не работает. Если ноут, то правильно для VPN настраивать свою таблицу маршрутизации в ip-route и прибивать к ней клиентов bind-ом.
Ответить | Правка | Наверх | Cообщить модератору

141. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от EULA (?), 13-Май-24, 12:07 
Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не "общественный" (с клиентом из маркетплейса).
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

143. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от нейм (?), 16-Май-24, 08:15 
клиенты под вирегуард/попенвпн самому собирать тобишь?
Ответить | Правка | Наверх | Cообщить модератору

149. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от EULA (?), 17-Май-24, 05:15 
> клиенты под вирегуард/попенвпн самому собирать тобишь?

Сервер для начала свой собрать.
Кто даст гарантию, что на чужом сервере нет мужика-в-середине?
Даже не так. На большинстве чужих серверах, что я видел, кто-то сидит и вклинивается в трафик, подменяя сертификаты на свои "зачем-то".

Ответить | Правка | Наверх | Cообщить модератору

29. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (29), 07-Май-24, 12:55 
Это история про провайдеров, когда роутер провайдерский.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

60. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +2 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 22:55 
Это история про любую локалку со злоумышленном внутри и где комутаторы не фильрую сетевой мусор.
Ответить | Правка | Наверх | Cообщить модератору

55. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 07-Май-24, 21:43 
> "при наличии доступа к локальной сети"
> перестал дальше читать, лол

А в чем проблема? Допустим у тебя есть роутер с впном, есть праводер которому это все не нравится. Он даст твоему роутеру вон то на WAN - и бай-бай, впн!

Аналогично при допустим конекте к публичной точке доступа. Даст она тебе это - и твой пафосный впн аннулирован. Ну и не читай дальше, фигли. С корпоративной точкой доступа и проч такая же фигня.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

86. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от penetrator (?), 08-Май-24, 05:43 
а ты посмотри на add-default-route для VPN и для DHCP client

в худшем случае, если что-то не так, ты можешь отключить add-default-route для обоих и прописать статически несколько правил

к тому же иметь VPN на роутере для цели сокрытия активности и заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки, не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере

Ответить | Правка | Наверх | Cообщить модератору

93. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (-), 08-Май-24, 10:12 
> а ты посмотри на add-default-route для VPN и для DHCP client

Я обычно не юзаю DHCP - так что на меня этот чит вообще не сработает. Но идея прикольная.

> к тому же иметь VPN на роутере для цели сокрытия активности и
> заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки,

Напротив. Это как раз наименее тупой вариант.

>  не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере

Угу, так и представляю себе точку доступа в кафешке без DHCP.

Ответить | Правка | Наверх | Cообщить модератору

102. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от fi (ok), 08-Май-24, 17:35 
А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

109. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 08-Май-24, 22:05 
Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован от других абонентов.
В других случаях часто бывает схема VLAN per customer, где опять же VLAN абонента терминируется провайдером и туда никто попасть не может.
В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay agent, потому что часто глупые абоненты втыкают провод провайдера в LAN порт своего роутера и через некоторое время все соседи остаются без инета и начинают доставать тех поддержку провайдера.
Ответить | Правка | Наверх | Cообщить модератору

142. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от fi (ok), 13-Май-24, 13:09 
> Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован
> от других абонентов.
> В других случаях часто бывает схема VLAN per customer, где опять же
> VLAN абонента терминируется провайдером и туда никто попасть не может.
> В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay
> agent, потому что часто глупые абоненты втыкают провод провайдера в LAN
> порт своего роутера и через некоторое время все соседи остаются без
> инета и начинают доставать тех поддержку провайдера.

1. "схема VLAN per customer" как раз работает поверх LAN - вот тут и прилетит DHCP routing от провайдера.

2. можно сказать физически изолирован -  как раз от провайдера и может прилететь  DHCP routing.

3. В любом случаи провайдер может сделать  DHCP routing - никакие server screening etc. не поможет.

А что соседей бояться?

Ответить | Правка | Наверх | Cообщить модератору

2. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Bklrexte (ok), 07-Май-24, 11:31 
Сразу хотелось бы вставить часть комментария с HN:
"They also claim that it affects all VPN clients in the headline, yet so many such clients setup firewall rules to block traffic to/from the physical interface as they acknowledge in the write-up. Most of the VPNs that are claiming to hide your identity or where such cloaking is important tend to implement that. I'm sure plenty of setups don't have it enabled by default, but I think it would have been productive to document what percentage of leading personal/commercial and corporate VPN solutions have this enabled by default."

Если коротко, то у большинства нормальных VPN клиентов по умолчанию есть firewall, который делает эту атаку невозможной.

Ответить | Правка | Наверх | Cообщить модератору

4. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +6 +/
Сообщение от Аноним (4), 07-Май-24, 11:35 
А у нас вообще запрещены, так, что не страшно.
https://opennet.ru/46944-law
Ответить | Правка | Наверх | Cообщить модератору

18. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от cheburnator9000 (ok), 07-Май-24, 12:15 
Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову приходило что исполнять подобные законы может быть запрещено законами в чьей стране юридически находится организация? Эстония, Франция, Греция, Испания, Финляндия и даже Мексика по конституции запрещено персонально ограничивать доступ к интернету. Тупые невежественные скоты с мозгом уровня детского садика. В сильном государстве пошли бы путем разрешения на предоставления услуг связи только после соответствия некоторым критериям, у нас же со входа ногой вышибают дверь - 'запретить'.

Если кто читал закон, что там четко написано 'и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет"', что означает в России давным-давно должны были быть запрещены все веб браузеры, начиная от дефолтного Firefox/Chrome заканчивая Safari на iphone. А именно:

>>> 1) не допускать использование сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет" на государственном языке Российской Федерации, государственных языках республик в составе Российской Федерации или иных языках народов Российской Федерации, на которых может распространяться реклама, направленная на привлечение внимания потребителей, находящихся на территории Российской Федерации, и доступ к которым в течение суток составляет более одного миллиона пользователей сети "Интернет" (далее - новостной агрегатор), в целях совершения уголовно наказуемых деяний, разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, насилие и жестокость, и материалов, содержащих нецензурную брань; (В редакции федеральных законов от 05.12.2022 № 478-ФЗ, от 31.07.2023 № 406-ФЗ)

И там много еще всякого подобного высира больного чиновника.

Ответить | Правка | Наверх | Cообщить модератору

35. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +2 +/
Сообщение от Аноним (33), 07-Май-24, 13:43 
Тупость это когда от действий страдает придумывающий всё это. В данном случае стадают все остальные. И это специально, и специально написано чтобы под статьи попадало всё чтобы при необходимости статью можно было пришить кому угодно.
Ответить | Правка | Наверх | Cообщить модератору

38. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Banned (?), 07-Май-24, 14:12 
И в чем проблема? Вот прикрутили бота-модератора помимо админов  и норм на Опеннете - все по закону. Несут владельцы ответственность за писанинку анонимов с браузеров на этом  ресурсе.Я вон даже ник себе правильный написал,настолько я на самом деле пушистый.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

87. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –5 +/
Сообщение от Бывалый Смузихлёб (ok), 08-Май-24, 07:44 
Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подписание трудового договора или стопки согласий в поликлинике.
Эти законы дают основание, с одной стороны, формально требовать исполнения, а с другой - право и возможность блокировки ресурсов при неисполнении требований.

Вдобавок, если все они такие добрые и ограничений не допускающие, как же многие из них запретили для своих жителей доступ к тому же RT ?

Тем более, что конституция сама по себе вообще ничего не означает - означают законы и иные акты, регулирующие те самые хотелки, прописанные в конституции.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

5. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +3 +/
Сообщение от Вирт (?), 07-Май-24, 11:40 
>  то у большинства нормальных VPN клиентов по умолчанию есть firewall,

firewall может быть частью ОС, но никак не VPN клиентов.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от тыквенное латте (?), 07-Май-24, 12:07 
>>  то у большинства нормальных VPN клиентов по умолчанию есть firewall,
> firewall может быть частью ОС, но никак не VPN клиентов.

нет никакой разницы, с т.з. кода. Грубо говоря, на примере линукса, нет особой разницы что дергает nf_tables, и даже через что... напрямик, или обёртка вокруг libnftnl.

Но с точки зрения архитектуры сервисов, разумеется, впечь такой vpn клиент.

Ответить | Правка | Наверх | Cообщить модератору

126. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Бум (?), 10-Май-24, 18:34 
Ну зачем вы такое говорите? У касперсокго и нод32 свой фаервол и прекрасно они работают перекрывая штатный фаервол ОС
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

3. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от Аноним (3), 07-Май-24, 11:34 
Не использовать DHCP, а юзать статические IP адреса. Не вариант?
Ответить | Правка | Наверх | Cообщить модератору

23. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (23), 07-Май-24, 12:40 
причем в url'ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот тогда.... а нет, и тогда можно похакать все.
Ответить | Правка | Наверх | Cообщить модератору

32. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от 1 (??), 07-Май-24, 13:35 
2 чая ...

Если получил контроль над DHCP в локалке - так там до VPN-а можно всё украсть.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

44. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (44), 07-Май-24, 15:43 
Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить свой dhcp-сервер и все клиенты ваши. В dhcp нет авторизации.
Ответить | Правка | Наверх | Cообщить модератору

47. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от 1 (??), 07-Май-24, 16:48 
Не поверю ! Так как у меня в LAN 1 юзверь на 1 VLAN.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от Анонимemail (52), 07-Май-24, 17:40 
... и локалка из одного пентиума-3 1999 года ...
Ответить | Правка | Наверх | Cообщить модератору

61. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 07-Май-24, 22:57 
Не вариант, когда у тебя больше двух хостов.
А в современном жилье их даже у старушек легко оказывается 3+.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

128. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Бум (?), 10-Май-24, 18:40 
Можно юзать dhcp и игнорировать все получаемые маршруты/dns'ы с сетевых интерфейсов, потому что вы их уже прописали статикой как вам нужно и как нужно настроили nat на роутере/компьютере
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

130. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Бум (?), 10-Май-24, 18:47 
И кстати, метрика у маршрутов с дианмическим назначением гораздо выше (низкоприоритетней) статических маршрутов (если вы принудительно не меняете приоритет у статических маршрутов)
Ответить | Правка | Наверх | Cообщить модератору

6. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (6), 07-Май-24, 11:41 
Объясните  ̶о̶в̶о̶щ̶у̶ не шарящему в сетях, провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой траффик гоняемый по OpenVPN'у?
Ответить | Правка | Наверх | Cообщить модератору

19. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (19), 07-Май-24, 12:17 
провайдер не может. а чел который там работает может.
Ответить | Правка | Наверх | Cообщить модератору

20. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от cheburnator9000 (ok), 07-Май-24, 12:19 
Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет. Замедлять тоже научились, благодаря устройствам выявляющие пакеты OpenVPN.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

127. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Бум (?), 10-Май-24, 18:37 
дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент не сможет к нему подключиться, потому что провайдер всё равно не сможет узнать ваши сертификаты и логины/пароли. А если впн клиент не подключён, то вы сразу заметите.
Ответить | Правка | Наверх | Cообщить модератору

42. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (42), 07-Май-24, 14:56 
Если ты к впн подключаешься напрямую без роутера или через роутер которым управляет провайдер - да, может при желании.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

56. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 07-Май-24, 21:45 
> провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой
> траффик гоняемый по OpenVPN'у?

В определенных условиях и допущениях, как оказывается, таки может попробовать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

62. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 22:59 
Чувак, у тебя проблема не техническая а административная.
Перехват твоего трафика провайдером должен быть наказуем по закону, если же ты опасаешься за свою шкуру при этом то либо надо менять локацию либо вид деятельности.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

96. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (96), 08-Май-24, 11:11 
>надо менять локацию
>остановите землю, я сойду

видимо

Ответить | Правка | Наверх | Cообщить модератору

132. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (132), 11-Май-24, 06:39 
>>надо менять локацию
>>остановите землю, я сойду
> видимо

Вообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили. И по крайней мере в более приличных локациях - на 10 лет за неудобные мнения не пакуют. Так что мысль про опасения за свой окорок - весьма актуальная. А вам успехов в айти...

Ответить | Правка | Наверх | Cообщить модератору

103. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от fidoman (ok), 08-Май-24, 18:22 
Если например это роутер в гостинице и к нему подключился клиент, клиент получает маршруты на 0.0.0.0/1 и 128.0.0.0/1 - и траффик уже не идёт через VPN, который отдал 0.0.0.0/0.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (7), 07-Май-24, 11:43 
>Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace).

Просто отключить DHCP, не?

Ответить | Правка | Наверх | Cообщить модератору

57. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 07-Май-24, 21:47 
>> сети, или применять специальные режимы настройки туннелей, использующие пространства имён в
>> Linux (network namespace).
> Просто отключить DHCP, не?

Ты так популярно объяснил почему в моей конфиге эта атака не сработает...

Ответить | Правка | Наверх | Cообщить модератору

63. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:00 
И бегать настраивать по десяткам девайсов?
Лучше купите веб смарт свитч и настройте dhcp sreening.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

75. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (75), 08-Май-24, 02:27 
Да, настроить 1 раз по десятку устройств, и потом не париться о
* упавшем DHCP-сервере
* уязвимостей с его стороны
* задержке на получение адреса по DHCP.
Ответить | Правка | Наверх | Cообщить модератору

80. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 04:23 
У меня dnsmasq ни разу ни где не падал.
А вообще, в локалке может быть куча DHCP серверов одновременно, и можно даже настроить чтобы они резервировали друг друга.

Уязвимости у вас в фантазиях.

Задержка - где то от 1мс, те на уровне пинга.
Но в зависимости от конфига дхцп сервера может быть больше.

Ответить | Правка | Наверх | Cообщить модератору

94. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (96), 08-Май-24, 11:06 
Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в раздутую блоатварь, которая на той же оперативе не может теперь даже загрузиться, хотя раньше не только грузилась, а все навороты работали.
Ответить | Правка | Наверх | Cообщить модератору

95. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (96), 08-Май-24, 11:09 
и при соединении по вайфай, если адрес не задан статически, то на несколько секунд медленнее подключается. Это если DHCP-сервер не упал.
Ответить | Правка | Наверх | Cообщить модератору

100. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 13:09 
Это оффтопик.

http://netlab.dhis.org/wiki/software:openwrt:software:openwr...
Вот сделайте в конфиге и пересоберите, полегчает немного.

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

120. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 09-Май-24, 19:17 
> Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в
> раздутую блоатварь, которая на той же оперативе не может теперь даже
> загрузиться, хотя раньше не только грузилась, а все навороты работали.

Ну так сделали эрзац системды - да еще в наихучшем виде, когда "jail" процесс отдельно повисает (весьма жирной) тряпочкой, навечно, старт педалится скриптами - которые для сравнимой фичности стали намного сложнее, и все это еще и кривое и глючное стало - потому что самопал наколенный.

А чтоб не скучалось вот вам еще генерация конфигов софту из UCI конфигов (да, до этого даже Поттеринг не допер, как тебе такое, поттер-нуб?!) - и авангардная вебморда которая не работает с старыми планшетами и проч, видите ли хром староват. Ну, блин, ф.., несомненно в морде девайса важнее всего последние стандарты веба, а не совместимость. В общем наьбежало в проект каких-то рукожопов, одни осьминоги остались. И теперь оно нормально работает только на ресурсах на которых можно и нормальный дебиан запустить...

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

9. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (7), 07-Май-24, 11:51 
>socket

все современные протоколы VPN используют дэйтаграммы, а не TCP.

>tun0

для wg0 эта атака тоже должна работать. Фундаментальный дефект дизайна реализации VPN - это их работа через общую таблицу маршрутизации, а не через многоуровневую, где чем раньше пакет обрабатывается таблицей - тем приоритетнее та таблица.

Ответить | Правка | Наверх | Cообщить модератору

64. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:07 
Это не так работает :)

В ОС есть общая таблица маршрутизации.
Чем более длинный префикс - тем более приоритетный маршрут.
Вот у вас локалка до роутера 192.168.1.0/24, и роутер выдал вам дефолтный 0.0.0.0/0 через себя в инет.
Вы запустили впн клиента и он условно добавил маршрут до своего 1.2.3.4/32 через роутер, потом удалил 0.0.0.0/0 через роутер и добавил 0.0.0.0/0 через роутер на том конце впн туннеля.
При этом вы всё ещё можете ходить по 192.168.1.0/24 потому что оно более приоритетно.
И это правильное поведение.
Бывают варианты когда есть галочка типа "блокировать весь траффик мимо впн туннеля", вот она должна добавлять фаервольные правила для фильтрации всего что мимо тунеля.


Есть ещё отдельная тема с name spaces в линухе и routing tables во фре.
В обоих случаях есть возможность назначить отдельным приложениям свои особенные таблицы маршрутизации.
На практике я бы сказал что это специфичная фича и лично я стараюсь такого избегать.

Ответить | Правка | Наверх | Cообщить модератору

76. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от Аноним (75), 08-Май-24, 02:38 
Спасибо, понятно. Значит ффтопку эти все VPNы на основе таблиц маршрутизации в ядре, просто используем SOCKS-прокси в нужных приложениях, которые пакеты до VPN сами прокидывают. Всё идёт через прокси, если VPN упал - соединение рвётся, никаких извращённых манипуляций с таблицами маршрутизации. К сожалению UDP так не прокинуть.
Ответить | Правка | Наверх | Cообщить модератору

81. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 04:24 
Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же как без сокс5.
Ответить | Правка | Наверх | Cообщить модератору

85. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от wd (?), 08-Май-24, 04:44 
внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно allowed-ips
чем люто бесит
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +3 +/
Сообщение от Аноним (7), 07-Май-24, 11:54 
>Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0)

Я чайник в сетях, поэтому мне не понятно:

1. почему /0 имеет меньший приоритет, чем /1, но больший, чем /24?
2. А если самим указывать /1 2 раза, то что будет?

Ответить | Правка | Наверх | Cообщить модератору

14. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (14), 07-Май-24, 12:06 
Не парься, все годные закладки в железе.
Ответить | Правка | Наверх | Cообщить модератору

70. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (70), 07-Май-24, 23:19 
Какое удовольствие попариться самому, чтобы попарить закладчиков ммм:)
Ответить | Правка | Наверх | Cообщить модератору

17. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от MEXAHOTABOP (ok), 07-Май-24, 12:10 
1. При выборе маршрута берется наиболее совпадающий маршрут маска /24 означает что первые 24 бита ip адреса должны совпадать, он будет иметь приоритет над /1 и /0 и тут не написано обратного.
2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

22. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (7), 07-Май-24, 12:37 
Ничего не понял.

1. Если /24 приоритетнее, чем /0, то почему при врубании VPN с 0.0.0.0/0 всё должно идти через VPN?
2. маршрутизация - это не функция транспортного уровня, а сетевого. За неё отвечает IP. TCP тут вообще никаким боком, тем более что все современные VPN-протоколы основаны либо на UDP, либо на IPSec.

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (23), 07-Май-24, 12:42 
> современные VPN-протоколы основаны либо на UDP, либо на IPSec.

Бугага, а конечно, чтобы их блокировать удобнее было

Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  –1 +/
Сообщение от Аноним (7), 07-Май-24, 12:43 
Ответить | Правка | Наверх | Cообщить модератору

73. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 07-Май-24, 23:40 
> 2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами

Т.е. перед тем как выдать ИПшник, ДХЦП еще и скорость мерит ?
Или даже гонка, кто первый ?

:)

Нет, там все значительно проще, если гейтов больше чем один, то приоритет у того, у кого меньше метрика, вот и все


Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

65. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:11 
Поиск идёт по самому длинному префиксу.
Самым приоритетным будет /32, потом /31 и так до /0.
/1 менее приоритетный чем /24.
Потому что есть p2p линки, там /32 на другом конце и понятно что даже если там
192.168.1.22 хост то нужно к нему ходить именно через отдельный p2p интерфейс а не искать его в
локалке где 192.168.1.0/24 куча похожих адресов.


Вы не можете добавить в таблицу маршрутизации две одинаковых записи.
(там могут быть исключения, кажется бывают разные метрики для одного маршрута, но это не во всех ОС и тема сильно адвансед для того кто спрашивает такое :) ).

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

77. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (75), 08-Май-24, 03:01 
Спасибо за инфу.
Ответить | Правка | Наверх | Cообщить модератору

72. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 07-Май-24, 23:36 
> почему /0 имеет меньший приоритет чем /1,

Потому что это все, что не указанно эксплицитли, /1 - это уже более конретней, значит более приоритетней

> но больший, чем /24?

С чего это? Чем уже маска, тем конкретней скоп, /24 приоритет выше чем /1

Если гейтов более чем один в подсети, то приоритетность маршрута выбирается тогда не по маске, а по метрике гейтвеев, чем меньше значение метрики, тем  более приоритетный гейтвэй.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (13), 07-Май-24, 12:06 
> Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации.

Мощно.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Алкоголизм (?), 07-Май-24, 12:51 
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам раздавать целевым устройствам по ethernet/wifi. И проблема считай решена. Своеобразно, правда, но решена.
Ответить | Правка | Наверх | Cообщить модератору

34. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (33), 07-Май-24, 13:39 
Так тебе просто роутер целиком завернут куда не нужно
Ответить | Правка | Наверх | Cообщить модератору

66. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +2 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:13 
Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойдут.
Ответить | Правка | Наверх | Cообщить модератору

36. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Banned (?), 07-Май-24, 13:57 
Я вот не понял. VPN зло или DHCP?
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (42), 07-Май-24, 15:00 
ОС которые слепо верят DHCP
Ответить | Правка | Наверх | Cообщить модератору

67. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:15 
Вы же верите электрикам и сантехникам - они вам базовый сервис организуют.
Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его на все возможные подлости?
Мне вот интересно, а как вы обезопасиватесь от того что из унитаза может вынырнуть питон и цапнуть вас?) (кейсы из австралии)
Ответить | Правка | Наверх | Cообщить модератору

89. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (89), 08-Май-24, 08:19 
Ага и службе безопасности верим, которая звонит с левого номера (нет), а так верить никому нельзя потому что все врут.
Ответить | Правка | Наверх | Cообщить модератору

110. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 08-Май-24, 22:06 
> Вы же верите электрикам и сантехникам - они вам базовый сервис организуют.

А напрасно. М...ков которые путают фазу и ноль или просто не парятся - в природе хватает. Некоторые по запаре, некоторые потому что ДЛБ и не в курсе чем они отличаются. И вот на вид вроде "света нет" - но провода все равно смертельно опасны если рядом заземленные предметы. Прошареные монтеры - тыкают индикатором, и нафиг ваше доверие, жизня дороже.

Или к вопросу почему у нормальных электриков бывает сертификация и проч.

> Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его
> на все возможные подлости?

Ну, насчет унитаза не скажу - а отрубив электричество я таки проверяю что опасного напряжения по факту нет. Потому что прецеденты были.

> Мне вот интересно, а как вы обезопасиватесь от того что из унитаза
> может вынырнуть питон и цапнуть вас?) (кейсы из австралии)

Поставить решету на канализацию :). И таки да, в ряде стран это вполне себе лучше мониторить, как и наличие всяких незваных гостей в доме. Они еще ядовитые бывают. И вас в тех странах не поймут. Да что там, б..я, летом достаточно на осу сесть не глядя - и потом батхерта будет вполне себе! Не питон конечно, но все равно не айс.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

111. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 22:19 
Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за провод с фазой то автомат отключит электричество раньше чем вы почувствуете что вас бьёт током.
Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
Ответить | Правка | Наверх | Cообщить модератору

117. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (117), 09-Май-24, 18:25 
> Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за
> провод с фазой то автомат отключит электричество раньше чем вы почувствуете
> что вас бьёт током.

Ну вообще-то проверявшие как это работает на своей тушке (нет, сам я под 220 соваться лишний раз не хочу, даже через дифавтомат) - рассказывают что почувствовать очень даже успеваешь. А заодно, поскольку это довольно дорогая вундервафля - обычно вырубает весь дом или существенный кусок, сильно за пределами того что отключалось обычным защитным автоматом.

> Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.

В случае РФ и прочих диких мест с куплеными сертификатами или абы кем - нехило проверить что именно привинтили - таки бывают промышленные дифавтоматы и проч, срабатывающие при более крутых утечках. Они дешевле ;) так что если какой-то изобретательный козел удумает сэкономить - там порог срабатывания круче и шанс сыграть в ящик имеется.

Ответить | Правка | Наверх | Cообщить модератору

121. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 10-Май-24, 01:48 
У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)

Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на группу - размеры х2 или х3.

Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.

Ответить | Правка | Наверх | Cообщить модератору

133. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 11-Май-24, 06:47 
> У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)

Хрена вы там неаккуратные. Я всего 1 чела видел который на себе тестил, правда, в мокрых условиях. В этом случае - сказали что ощутили, после чего - все вырубилось. А так на дифавтомате есть кнопочка тест. Надеюсь у вас хватает ума ее жать хотя-бы раз в год, проверяя что оно еще и работает.

> Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на
> группу - размеры х2 или х3.

Нормальный диф стоит в разы дороже обычного автомата. А хороший, нормальной фирмы и вовсе довольно прилично.

> Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.

Мне попадался диф встроеный в водонагреватель, где сие актуально. Прикольная идея, но это был топовый агрегат за уйму денег. В более простых не ставят.

А в розетку... смысла не очень много. Если на входе не ставить - окей, куча опасных проводов НЕ прикрытых дифом. А если ставить - окей, какой их них отвалится первым как бы рандом. В целом идея этой штуки в том что оно защищает контур за собой. Кусок контура ДО него продолжает быть опасным если нет дифа до него, потому что на утечку там всем будет пофиг.

Ответить | Правка | Наверх | Cообщить модератору

138. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 12-Май-24, 01:08 
Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный что я нашёл сходу в местных прайсах.
Самые дешманские примерно от 500 руб.

Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :)
(типа хотя бы один то хороший можно купить на всю хату)

В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и там всегда есть возможность поставить дифф и не страдать фигнёй надеясь на производителя.
И подозреваю что любой производитель в инструкции по монтажу пишет что подключать только в розетку после дифф автомата.

Ответить | Правка | Наверх | Cообщить модератору

144. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 16-Май-24, 13:47 
> Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный
> что я нашёл сходу в местных прайсах.

Ну дык. Вот и жмутся на них.

> Самые дешманские примерно от 500 руб.

А ставить китайскую электрику, особенно дешевую - ну такое себе. Как впрочем и российскую.

> Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :)

1 штучку норм - а пачками их расставлять жаба таки поддушивать начнет.

> (типа хотя бы один то хороший можно купить на всю хату)

В общем то - да. И довольно глупо это не делать.

> В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и
> там всегда есть возможность поставить дифф и не страдать фигнёй надеясь
> на производителя.

Это все сильно зависит от того что и где. Просто видел такие водогреи, но с этой штукой только дорогие околотоповые модели конечно.

> И подозреваю что любой производитель в инструкции по монтажу пишет что подключать
> только в розетку после дифф автомата.

Ну да, типа отмазались а дальще - вы сами.

Ответить | Правка | Наверх | Cообщить модератору

118. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (33), 09-Май-24, 18:43 
Это же только если правильно подключить такой автомат и правильно поставить землю. Просто слепая установка от балды может ничем не помочь. Например, землю на ноль до автомата завернули тем или иным способом
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

123. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 10-Май-24, 01:58 
Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ (дифф же) силы тока в обоих проводах.
Ответить | Правка | Наверх | Cообщить модератору

129. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (33), 10-Май-24, 18:42 
Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока что умеют читать и писать только так), но у реальности на этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать. И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый вывод, практически каждую розетку, нужно заворачивать в отдельный автомат.
Ответить | Правка | Наверх | Cообщить модератору

131. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 11-Май-24, 02:30 
Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или взялся за холодильник и батарею.
Иметь заземление желательно, но не обязательно, в самом автомате его подключать некуда.
https://electrograd.pro/blog/chto-takoe-difavtomat-i-dlya-ch.../

У меня в одной хате 2 дифф автомата: один на ванную и там только стиралка.
Другой на кухню - там пачка розеток.
Это прекрасно работает.
Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.

Ответить | Правка | Наверх | Cообщить модератору

135. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 11-Май-24, 07:01 
> Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.

Это как раз наименее тупой вариант. Иначе остается дофига опасного контура где никто не мониторит утечку - а вот при каких-то отколениях от идеала там вполне себе есть фаза и оно при контакте с заземленными предметами не менее опасно чем все остальное.

Ответить | Правка | Наверх | Cообщить модератору

134. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 11-Май-24, 06:59 
> Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока
> что умеют читать и писать только так), но у реальности на
> этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать.

Дифавтомат таки - не оперирует землей. Он ставится между фазой и нулем в разрыв обеих, и ему в разумных пределах похрен как оно с землей соотносится.

Что ему НЕ похрен - разница втекающего и вытекающего тока. Потом и диф. Как только разница превышает порог он вырубается. Это ессно актуально только для систем с нейтралью и проч где 1 из проводов близок к земляному потенциалу.

Если это изолированая от земли система, в ней дифавтомат работать не будет, потому что току утекать при контакте юзера с чем-то заземленным нет причин. В этом случае нет понятия фазы и ноля и однополюсный автомат в любой из проводов - ОК. Но в случае фазы и ноля при ноле близком к земле - отрубить ноль, оставив фазу под напряжением весьма чреватый фэйл. Как показали эксперименты далеко не любой козел называющий себя электриком в курсе этой ерунды. Так что доверять им? Ну вот нет. Только проверять.

> И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый
> вывод, практически каждую розетку, нужно заворачивать в отдельный автомат.

Ноль таки - не земля. Его потенциал может заметно отличаться от земляного. Бывает вольт 30 в хоршо нагруженой сети, за счет падения напряжения на проводах. Тем не менее он относительно безопасен по сравнению с фазой, кроме разве что экзотичного случая когда где-то вдали заземление нуля все же отгорело, и тогда - он будет под потенциалом фазы через кучу нагрузок. Но поскольку при этом работать ничего не будет, этот фэйл быстро чинят и вероятность под него попасть мизерная.

Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

40. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +2 +/
Сообщение от Tron is Whistling (?), 07-Май-24, 14:48 
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-серверы приоритетными. Шах и мат. Много мата.
Ответить | Правка | Наверх | Cообщить модератору

41. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Tron is Whistling (?), 07-Май-24, 14:48 
(да и RA тоже ничего так себе)
Ответить | Правка | Наверх | Cообщить модератору

46. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (46), 07-Май-24, 16:00 
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей локалке, это всё только если роутер от провайдера  и т.д. — бвспомните про публичные сети (кафе, отели), особенно для тех мест, где иначе доступ к интернету не получить (например, деревня далеко от города). Ещё бывают публичные сети корпоративные, там тоже подвержено.

А по поводу DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее. Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников

Ответить | Правка | Наверх | Cообщить модератору

48. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (48), 07-Май-24, 17:21 
> DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее

DCHP — атавизм для легаси сетей. Мобильные провайдеры как раз-таки с радостью выкидывают этот хлам и переходят на сингл стэк IPv6 с NAT64/DNS64 для IPv4.

Ответить | Правка | Наверх | Cообщить модератору

54. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Oleg (??), 07-Май-24, 21:08 
Есть ли примеры таких провайдеров в РФ?
Ответить | Правка | Наверх | Cообщить модератору

68. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:16 
Чувак, есть DHCPv6, и есть RA.
Они все ни чуть не лучше DHCPv4, просто там IPv6.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

79. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (48), 08-Май-24, 03:44 
DHCPv6 — костыль. У RA совершенно другая семантика. В частности, RA позволяет динамически перенастраивать клиентов.
Ответить | Правка | Наверх | Cообщить модератору

49. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (48), 07-Май-24, 17:23 
> Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников

Это вообще никаким боком к DHCP. Источник времени, тем более доверенный, к DCHP никак не относится и без MACSec в данном случае неосуществим.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

69. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 07-Май-24, 23:18 
Почитайте уже какие опции есть в DHCP.
Там не только список DNS, но NTP, SMTP, IRC, WINS, и уже не помню чего ещё.
Ответить | Правка | Наверх | Cообщить модератору

78. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (48), 08-Май-24, 03:43 
В DHCP можно произвольную информацию передавать с кастомными номерами опций, лишь бы клиент и сервер оба знали, что с ними делать. Это как раз не проблема. Проблема в том, что проверить подлинность ответов DHCP никак нельзя без криптографии. Поэтому с голым DHCP «про поддержку синхронизации времени по NTP у _доверенных_ источников» можно забыть.
Ответить | Правка | Наверх | Cообщить модератору

82. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 04:30 
1. Клиент в запросе указывает опции которые он хочет.
Если сервер передаст лишнее то клиент это проигнорит.
А может и вообще дропнет пакет, надо смотреть настройки и реализации.


2. Крипта не нужна.
В управляемой сети ответы можно получать только от строго определённых админом хостов подключённых к определённым портам.


3. Есть совсем управляемые сети, где хосту надо пройти авторизацию прежде чем коммутатор его выпустит в общую сеть.
На практике такое редко делают, обычно в совсем лютых местах в плане безопасности :)
Авторизация там не хуже чем в вифи: пароль или сертификат, но без возможности перехвата.

Ответить | Правка | Наверх | Cообщить модератору

83. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 04:33 
И да, админ сети может положить на вас с прибором и просто на фаере завернуть все запросы к 123 порту на свой локальный NTP сервер.
Аналогично с DNS.
Я так иногда делаю и делал.
Ещё и 80 в сквид на кеширование и резалку рекламы заворачивал раньше.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

59. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 07-Май-24, 22:53 
Мда.
А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке.
А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники.
И ещё 100500 вариантов из серии "враждабное окружение".


DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков.
В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя.
Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.

Ответить | Правка | Наверх | Cообщить модератору

84. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 04:35 
Теперь ждём от авторов такие новейших открытий как:
- DoS атака на DHCP сервер для исчерпания свободных лиз;
- WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
Ответить | Правка | Наверх | Cообщить модератору

101. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 08-Май-24, 13:31 
> - DoS атака на DHCP сервер для исчерпания свободных лиз;

Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Ну и arpwatch никто не отменял

> - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.

DNS: http(s)?://wpad.* => reject

Ответить | Правка | Наверх | Cообщить модератору

106. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 21:41 
Зачем нужные фаеры за пределами роутера?)

> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").

Это вас никак не защитит.
В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.

Защита от подмены MAC - port inspection у длинка называется и позволяет ограничивать количество MAC адресов на каждом порте коммутатора. Правда это не удобно при наличии виртуалок, придётся им или без инета или нужно NAT поднимать на хосте виртуализации.

DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал лишнее и пересылал только от нужных DHCP серверов пакеты.

Ответить | Правка | Наверх | Cообщить модератору

115. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 09-Май-24, 17:28 
> Зачем нужные фаеры за пределами роутера?)

А у вас в локалках полное доверие всем?

>> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").
> Это вас никак не защитит.
> В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.

Вот именно для этого локалка и должна быть управляемая, или мы про домашню сеть с двумя тремя юзерами где на  802.1X свитч не наскребли ?


> DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал
> лишнее и пересылал только от нужных DHCP серверов пакеты.

Т.е. все таки "нормальный" свитч есть ;)

Ответить | Правка | Наверх | Cообщить модератору

122. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 10-Май-24, 01:55 
Доверие не нужно.
Я вообще думаю почти полностью отказатся от фаера дома и расшарить локалку в инет.
На приватных сервисах поставлю TTL=1 и оно само автоматом за локалку не выйдет.


> 802.1X

Не удобно, им на практике почти никто не пользуется.
И я вам не про дурацкую фильтрацию по IP которую вы собрались на каждом хосте настраивать, а про фильтрацию DHCP на уровне коммутатора, которая настраивается один раз и для всех сразу.

Ответить | Правка | Наверх | Cообщить модератору

108. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 21:44 
> DNS: http(s)?://wpad.* => reject

Это какой такой DNS сервер у вас http/https понимает в конфиге?))))

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

116. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 09-Май-24, 17:44 
>> DNS: http(s)?://wpad.* => reject
> Это какой такой DNS сервер у вас http/https понимает в конфиге?))))

http(s)? выше только для понимания о чем wpad.* и блокать надо не на ДНС а на файрволе, на рабочих станциях

Ответить | Правка | Наверх | Cообщить модератору

124. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 10-Май-24, 02:04 
Походу с понимаем у вас не очень :)
С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста.

Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах.

У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере.
DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx.
В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.

Ответить | Правка | Наверх | Cообщить модератору

125. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 10-Май-24, 11:37 
> Походу с понимаем у вас не очень :)

Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер

Ответить | Правка | Наверх | Cообщить модератору

136. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Аноним (132), 11-Май-24, 07:04 
> Походу с понимаем у вас не очень :)
> С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг
> каждого хоста.

Централизованое админство имеет минус: оно видите ли в случае чего очень удобно оказывается не только админу... :). Особенно хороша в этом AD, там сразу можно всей конторе малварь раздать не отходя от кассы. Удобно то как! А вы потом можете подумать что с этой конторой делать и как ее вообще оживить, когда там ВСЕ компы - с троянами. Удобство и безопасность живут по разную сторону улицы ;)

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

137. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 11-Май-24, 14:16 
>> Походу с понимаем у вас не очень :)
>> С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг
>> каждого хоста.
> Централизованое админство имеет минус: оно видите ли в случае чего очень удобно
> оказывается не только админу... :). Особенно хороша в этом AD, там
> сразу можно всей конторе малварь раздать не отходя от кассы. Удобно
> то как! А вы потом можете подумать что с этой конторой
> делать и как ее вообще оживить, когда там ВСЕ компы -
> с троянами. Удобство и безопасность живут по разную сторону улицы ;)

This ^^^ Секьюрность не должна быть - single point of failures, это многоступенчатая задача, начиная от air gaped центра сертификации SSL и заканчивая lock-downed рабочими станциями которые настраиваются автоматически и "удобно" удаленно, бегать с флэшкой  по локалке совсем не надо, но и права админов должны быть так же легко отзываемыми через то же центр сетификации в случае когда один админ дал подруге поиграть на своем компютере и ликнули ключики

Ответить | Правка | Наверх | Cообщить модератору

146. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 16-Май-24, 14:38 
> права админов должны быть так же легко отзываемыми через то же
> центр сетификации в случае когда один админ дал подруге поиграть на
> своем компютере и ликнули ключики

А что будет если атакующий вот этот центр сертификации - раз...т - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как комодохакер себе серты на все подряд выписал, вопрос то не теоретический а после вполне себе прецедентов вот именно этсамого :)))

Ответить | Правка | Наверх | Cообщить модератору

148. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от OpenEcho (?), 16-Май-24, 17:19 
> А что будет если атакующий вот этот центр сертификации - раз...т -
> и сертифицирует себя от души на все и вся?

Всё от установленого уровня секьюрности зависит. Центр сертификации в серьёзных организациях не должен быть вообще онлайн, а на отдельных изолированных, географически распределенных машинах, доступ к приватному ключу по схеме авторизации Шамира, для того, чтобы подписать/отозвать сертификаты админов

Ответить | Правка | Наверх | Cообщить модератору

147. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 16-Май-24, 14:39 
> права админов должны быть так же легко отзываемыми через то же
> центр сетификации в случае когда один админ дал подруге поиграть на
> своем компютере и ликнули ключики

А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как comodohacker серты на все подряд вплоть до виндусапдейта выписал, вопрос то не теоретический, а после вполне себе практических прецедентов.

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

139. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 12-Май-24, 01:12 
Это вы сами себе придумали сценарий и сами его радостно хакнули.
Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

145. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (-), 16-Май-24, 14:36 
> Это вы сами себе придумали сценарий и сами его радостно хакнули.

Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohacker'ом. Который раздолбал фирму Diginotar (УЦ SSL такой _БЫЛ_ - уже не с нами) в хламину. Затроянив через АД - тадам - ВСЕ КОМПЫ В ФИРМЕ. И даже суперсекурная фирменная железка от RSA не помогла - он прямо ей и подписал серты на кучу всего. Включая виндусапдейт и прочие интересные вещи. Вы же хотели удобство? Так что процессить сертификаты ручками - ну что вы, как можно. Вот, удобно же, на автомате то.

...после чего дигинотар и не придумал ничего умнее как заявление на банкротство подавать, что еще УЦ с таким факапом и таким подарком в сети фирмы может то? :)

И кстати не так давно были прецеденты когда еще пару фирм через AD разнесли в таком же духе, но за их дальнейшей участью я не следил - запоминается только первый прецедент, показываюший что так можно было.

Ответить | Правка | Наверх | Cообщить модератору

90. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от 1 (??), 08-Май-24, 09:30 
DHCP - костыль. Использовали бы IPX и не надо было бы никакого DHCP.
Опять же без всякой авторизации получать кучу настроек на устройство от того, кто первым откликнулся по сети, такое себе. Вот и приходится извращаться с RADIUS и 801.2x на свитчиках.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

99. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 08-Май-24, 13:06 
DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум.
Ответить | Правка | Наверх | Cообщить модератору

104. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (104), 08-Май-24, 20:43 
Психология виндовс админа и цисковода. С этим уже только на пенсию.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

107. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 08-Май-24, 21:43 
У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги.
Ответить | Правка | Наверх | Cообщить модератору

71. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (70), 07-Май-24, 23:26 
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленник всё равно ничего не прочтёт? Или я ошибаюсь?
Ответить | Правка | Наверх | Cообщить модератору

74. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +1 +/
Сообщение от Ivan_83 (ok), 08-Май-24, 01:39 
Соединение между девасом где клиент и хостом где впн сервер - да.
Но суть в том, что впн клиент ставит маршрут 0.0.0.0/0 чтобы загнать весь трафик в туннель.
А по DHCP можно заслать пачку /1 маршрутов или даже просто до конкреных хостов/сетей, и тогда есть вероятность что ваше устройство начнёт посылать траффик не через впн туннель а через шлюз который будет указан для /1 такой подсети.

У вас же грубо говоря доступ до веб админки роутера не пропадает при подключении впн, а дело в том, что до сети где эта админка обычно есть маршрут вида /24 через интерфейс и он имеет более высокий приоритет чем /0 от впн клиента (или роутера, до впн клиента /0 выдаёт вам дхпп сервер с адресом шлюза - роутером).

Ответить | Правка | Наверх | Cообщить модератору

91. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (91), 08-Май-24, 09:46 
Надо пользоваться Tor over VPN.
Ответить | Правка | Наверх | Cообщить модератору

92. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +4 +/
Сообщение от Аноним (92), 08-Май-24, 10:01 
Кто-то просто прочитал инструкцию к DHCP-серверу?) Уровень расследований возрос)
Ответить | Правка | Наверх | Cообщить модератору

97. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от 1 (??), 08-Май-24, 11:17 
2 чая этому господину.

Как любили говорить "вот и выросло поколение ..." и оно осваивает чудесные, удивительные технологии как постройка пирамид и DHCP.

Ответить | Правка | Наверх | Cообщить модератору

98. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от anonymous (??), 08-Май-24, 13:06 
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был единственно доступным для программы. И даже если ты как-то убедишь программу отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.

Для TOR оно тоже актуально.

Ответить | Правка | Наверх | Cообщить модератору

112. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  –1 +/
Сообщение от Аноним (-), 09-Май-24, 04:08 
> Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был
> единственно доступным для программы. И даже если ты как-то убедишь программу
> отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.
> Для TOR оно тоже актуально.

Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить. Так всякое фуфло с телеметрией конкретно обломается. Специальный бонус: нарулить логгинг и apt purge на всю выявленную спайварь.

Ответить | Правка | Наверх | Cообщить модератору

105. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (104), 08-Май-24, 20:55 
Даже имея секурное клиентское устройство и правильную криптографию, можно получить MITM. Хаха.
Сеть доступа почти всегда идет через роутеры с проприетарными прошивками, ОС от сотрудничающих с ЦРУ корпораций, с незакрытыми уязвимостями, бэкдорами и тд и тп. Вероятность, что вашу локалку контролирует кто-то кроме вас или ее администратора очень велика в современном мире.

Лично мне никогда не нравилась идея давать впн ради доступа к парочке админок. Для этого достаточно порт прокинуть через ссш туннель. Все это виндовс головного мозга. Ну и поделом.

Ответить | Правка | Наверх | Cообщить модератору

114. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Аноним (114), 09-Май-24, 12:16 
А что в списке уязвимых делает wireguard?
Там нет никаких DHCP, захардкоженные в конфиге IP-адреса и allowed-ips.

Понятно, что можно сделать любую надстройку, но это проблема надстройки.

Ответить | Правка | Наверх | Cообщить модератору

140. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."  +/
Сообщение от Ivan_83 (ok), 12-Май-24, 01:16 
А почему нет?
Вот вы будете ходить через варегард в инет (0.0.0.0/0), а провайдер вам выдаст пару (/1) маршрутов и получит весь ваш траффик в раскрытом виде.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру