achitsai wrote:
亮哥真是太有材了!!!
我決定改成用亮哥的創作圖
..(恕刪)
亮哥畫的好棒..
讓我想起..古代帝王的頭像..歷史課本常有耶..
個人積分:918分
文章編號:67017544
個人積分:56605分
文章編號:67017765
亮哥+ wrote:
有同感.而且因為同...(恕刪)
--
Khloe Kardashian Talks 'Surreal' First Pregnancy and Possible Marriage人品是做人最好的底牌.
個人積分:330118分
文章編號:67024735
個人積分:23929分
文章編號:67026293
個人積分:330118分
文章編號:67026753
個人積分:16055分
文章編號:67026952
個人積分:56605分
文章編號:67027679
兩者差異不會太大.就UDP那條根棒棒插著頂天罩的無敵硬壁.事實證實.老祖宗就涵蓋了一切.
achitsai wrote:
昨天喝下午茶時有把...(恕刪)
--
| /ip firewall nat add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=tcp \ to-ports=53 add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53 add action=masquerade chain=srcnat comment="IP Masquerading" src-address=\ 192.168.88.0/24 /ip firewall filter add action=reject chain=forward dst-port=53,443 log=yes protocol=udp \ reject-with=icmp-network-unreachable src-address=192.168.88.0/24 add chain=input comment="Accept established connections" connection-state=\ established add chain=input comment="Accept related connections" connection-state=related add action=reject chain=input comment="Reject invalid connections" \ connection-state=invalid reject-with=icmp-network-unreachable add action=accept chain=input comment=UDP limit=0,0:packet protocol=udp \ disabled=no add action=accept chain=input comment="Allow limited pings" icmp-options=\ !8:0-255 limit=50/5s,2:packet protocol=icmp tcp-flags="" add action=reject chain=input comment="Reject excess pings" log=yes protocol=\ icmp reject-with=icmp-network-unreachable add action=accept chain=input comment="From our LAN" in-interface=bridge \ src-address=192.168.88.0/24 add action=log chain=input comment="Log everything else" log-prefix=\ "REJECT INPUT" add action=reject chain=input comment="Reject everything else" reject-with=\ icmp-network-unreachable |
寶貝:)就真的又兜一圈.這只是檯面上的.當然較細節的部份我沒提到.只說這兩個差異並不大.
後者規則把UDP及ICMP兩條拿掉.就等於前者老祖宗了.基本上那三條拿掉加最底部的兩條.
功能並不會流失.只多了一個顧慮的地方就是紀錄不夠完整.後者加底部兩條下去是保有記錄功能.
至於防堵暗流針對.基本上只要保持一個原則就是原廠原則.這樣就夠了.前者後者為啥差異不大.
因為我多加了幾條僅記錄的規則下去紀錄動向.前者沒加forward仍有具備後者加上的功能.
所以這證實了.前者其實包辦了一切.那條UDP宇宙無敵盾與底部最後兩條防線機關槍貢獻最大.
較細節的部份這就要從黑洞那部分摸索.因為已經有暗流派代表上去官方討論區發文問相關的主題.
--
Prince - Purple Rain (Official Video)人品是做人最好的底牌.
個人積分:16055分
文章編號:67028157
個人積分:56605分
文章編號:67028216
我心想隨著改來改去過程造成麻煩還真的很抱歉.但一切都值得.
achitsai wrote:
好幾個都已經沒有來...(恕刪)
--
若有時間的話.我是建議換到前者.若已換到後者沒空換到前者沒關係或是一剛開始前者也沒關係.
擺著有時間再換前者或上述整理的規則.這樣就好了.規則裡面我就是很不喜歡電腦對電腦假裝熟.
永遠只有電腦對路由.路由對電腦.這才是最能確保不出事的原則.電腦對電腦?無線先拿掉再說.
因為我發現前者確實比後者好.雖精簡但很厲害.為啥很厲害呢?因為前者啟動時.RAW擋聯外.
就已率先擋了AD主機列表還擋了少見的Hijacked.至於這些列表更新腳本近期會釋出來.
光是這樣的差異就很清楚知道.前者與後者的差異就在.我看法是中繼AP若有漏洞時.就會聯外.
通常這聯外謹代表回報給對方主機知道存在感.廣告主機僅在網頁時就會對比列表而及時攔截回報.
後者彈性比較大.通常直接出去就出去了.不會過問RAW而致Hijacked列表不會被觸發.
前者就僅餘精簡.較不易具備彈性.出去?可以.但會經過RAW於是就觸到Hijacked表.
可見我很欣賞老祖宗.就是它沒有Forward.不代表它有運作而是經過我投入紀錄規則下去.
事實上它是處於不啟動的.也就說這功能是不允許.在前後者切換之際.我終於明白老祖宗是對的.
後者規則沒經過RAW是因為多了Forward允許的規則.RAW在後者功能僅剩封包出去時.
才會有作用的.至於內部的尤其是暗流.若是這樣子還有一個方式可以解決就是在防火牆多加規則.
也是能達到同樣的效果.只是要分很多順序排列才不會噢噢噢~給它跑掉了.但前者比較好是事實.
這幾天真的是為了等待數據上的觸發與證實.我一直不是很確定.所以就會刻意保留了一些客觀性.
RAW是這樣用的.若你有踹單過濾規則.過濾踹單就設在RAW的Src.若是擋回報則Dst.
RAW的Dst用在於像是有更新一些列表要擋內部回報的.Src則是用於自主性防禦被動增單.
最常見就是網頁.比方說暗流的暗樁.就藏在某網頁.當使用者用一用.封包出去都會經過RAW.
若不幸剛好踩到暗樁的伺服主機.這時RAW列表對比符合就招喚守護神出來射掉回報的飛鴿傳書.
但這些功能還不能論及到擋廣告.只能說廣告你看得到.但或許有機會擋掉廣告底暗藏的暗樁回報.
這樣就能減少被攻擊報復的機率.暗流的暗樁目的就是要蒐集使用者的IP.來日就會去擴大攻擊.
這就是暗樁的目的.甚至回報給暗流主機.讓他們知道噢.是誰來了.噢.剋星來了.改天喬計畫.
會比較好喬.甚至它能知道說.噢.又是你.就算你不具備檔廣告.通常一開始他就知道.知道後.
它就會認定你是某某某.知道你的牆不好搞.就開始擴大稿中繼AP.這是暗流的目的與娛樂性質.
老祖宗證實是很好用的.至於少了列表也無妨.它只是要知道你的存在.來日試著公器私用當娛樂.
但老祖宗弱點就是中繼AP.這也是不會影響太多.通常都是看情況.我用過曾遇過最機車的狀況.
它就是真的入侵到中繼AP.但這也不稀奇.還自主性觸動很多.但被老祖宗連續擋未必成功得逞.
上次的經驗好久遠呢.它是能藉由鄰近寄生AP.入侵中繼AP.達到暫駐.就這樣.這樣算嚴重.
運氣不好還會給你ARP.或洋蔥.咦?為啥01上不去之類的鬼遮眼.是時尚就是利用中繼AP.
包括無線訊號的攔斷.所以為啥我才會說NAT那一條很重要.看似不重要但對暗流來說能利用的.
若NAT只有在WAN出去時偽裝.那才慘.只有WAN出去偽裝.但中繼AP漏洞一旦被鑽成後.
通通外洩.他就能知道你的網內裝置出去是啥對啥.若網內對外一律偽裝.那更無法有利用的機會.
網內出去一律經過偽裝.也就是ISP的IP.要進來很困難.進來是外牆.這就是偽裝的重要性.
若NAT只有在WAN出去時偽裝.會發生一種現象就是.中繼AP若被當寄生.它只需要旁竊取.
這樣就能掌握到你的一切資訊.NAT偽裝.若僅設WAN端.雙邊任意出去進來經WAN時偽裝.
那也是一樣.問題仍還在.它也是只需從中繼AP鑽進來就能達到它要的目的.所以NAT很重要.
像網內對任何然後!LAN或!Bridge.意思是網內對所有非網內一律穿衣服.網內脫光光.
這裡的作用就在於比方說像是有網路硬碟阿.或是儲存壓媽爹之類.才有可能會用到這種選項設定.
通常我不喜歡用那種方便的儲存壓嘛跌.直接USB硬碟不是比較快嘛!又實際.通常這種潛在性.
我是不會去想到說好方便噢一定要用之類的.必須要知道世界存在一種制衡定律.很爽但有後遺症.
每一種生態每一種環境每一種很多種的任何存在是有它的道理.若刻意太過度最後導致大自然反撲.
空屋怎麼辦?就多生小孩啊.空汙怎麼辦?就多創造森林阿.而不是一直蓋.一直弄一堆空濾科技.
這是最耗能的成本也是最不實際的極端.若交給大自然森林而換取不用一直製造過濾塑料當垃圾堆.
回到老祖宗.只要UDP無敵盾與最後兩條格林機關槍防線.這樣就是外牆的抵禦.內部有NAT.
出去偽裝後.暗流只看到ISP的IP.這時候它要攻擊絕對先遇到宇宙無敵盾與格林機關槍防線.
這就是老祖宗的定義.暗流只剩玩什麼?看看老祖宗.暗流只剩下暗樁回報與知道你存在感可以玩.
這部分就夠了.其餘?就剩網頁與網頁的網路攻防戰.就算你連得到它惡意網頁.但它未必能反擊.
我頂多只遇到過EDGE自主性關掉.還有電郵自動關掉重啟.電郵部分就是APP自動更新重啟.
以前NAT沒做好的時候.主機還會不時性的當機.那就是遭遇攻擊.甚至它透過當機方式來知道.
知道什麼?知道你會不會重開機.順便從中繼AP回報給鄰近的寄生AP來回報給暗流來知存在感.
非常建議NAT不要鐵齒囉.他們早就對MikroTik研究得很徹底.所以我就是很清楚知道.
面對老祖宗.它們能搞的就是賭你NAT.你NAT若設得好與不好都會特定在01玩他們的套路.
所以我為啥要說.要等久一點.我最終早知道.居易好不好?說實在.用在別人很好.用在我不好.
為啥不好?他們要的針對目標是紀錄.輕鬆刪掉紀錄.直到ROS的出現.紀錄一切都保持紀錄著.
一台路由器的好壞.就是紀錄不被輕易被搞到紀錄無法正常紀錄.他們都很聰明.一律用跳板IP.
不管怎樣ROS永遠不會變的動作就是持續記錄.備存.最後寄到微軟永久封存.這樣的循環動作.
最近的動向我只能說.就是虛擬幣.今年最該重視的.老祖宗?不用擔心.它早就能擋掉外對內的.
不管勒索還DDoS.老祖宗都能輕鬆抵禦甚至今年的虛擬幣沒問題.最棒是我把老祖宗散佈出來.
--
Prince - Let's Go Crazy (Official Music Video)人品是做人最好的底牌.
個人積分:330118分
文章編號:67031667
