Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.

Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.

Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки.
Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.

#security #authentication

Если пропустили большую драму, а может трагикомедию на этой неделе CVE-2021-28918 - читайте на opennet или тут и по ссылочкам из статей пройтись можно.

А суть в неверном толковании представления IPv4 адресов. Ну никак сегодня не воспринимается, что '0177' это число в восмеричной системе счисления, потому что об этом говорит '0' в самом начале. Когда-то, это было очевидно всем (лет 20-30 назад), даже если не очевидно, то почти все пользовались как минимум одной и той же libc. Сейчас это искусственная вещь, настолько искусственная что приводит как раз к таким драмам. Классический пример водораздела "старого" и "нового".

​SSH через QUIC, пока в виде прокси.

И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.

​Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь.
Сторонние приложения это:

"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."

Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:

"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."

Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.

Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.

Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.

Пирингов мало не бывает.

Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/

Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.

FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.

Великолепный способ и пример разделения окружений свой/чужой и возможность избежать статического маршрута при подъёме туннеля с динамической маршрутизацией в блоге Networking with FISH. Не бойтесь VRF и берите на вооружение.

Петли маршрутизации это не очень хорошо, не стоит увеличивать энтропию гоняя лишний трафик, ну и чтобы на всякие DDoS не нарваться. Хотя полезность тоже можно найти.

Простое правило, все ваши сети должны иметь место назначения и это не должен быть 0.0.0.0/0, то есть они должны быть в таблице маршрутизации. Если их нет - сделайте агрегированный префикс в null. Для серых сетей можно максимально широко /8, /12, /16 прямо из RFC1918, про IPv6 не забывайте. Помимо петель это сэкономит правила в ACL, даже поэффективнее будет, гарантированно не даст в Интернет просочиться тому чему не надо.

BGP всё ещё можно сделать лучше на фундаментальном уровне, а не просто прикрутив очередной контейнер для переноса чего-либо. Описание одной из возможных причин возникновения маршрутов зомби, как следствие неучтённого состояния TCP соединения с нулевым размером окна. При этом один из BGP спикеров не в состоянии отправить ответ своему соседу, но и не в состоянии разорвать соединение удерживая маршруты активными. Решать предлагается новым таймером, в самое сердце основного алгоритма.