[uanog] мобильные сети киевстар-а

Volodymyr Litovka doka at funlab.cc
Thu Jul 15 11:54:56 EEST 2021 

Привет,

как по мне, это опасный путь. Киевстар никогда не будет никому сообщать 
об изменениях, в том числе NAT pools, потому жалобы или потеря трафика 
неизбежны.

  * ModSecurity
  * Snort
  * TCP security
      o или SYNPROXY
      o или ручные игрища с параметрами TCP:
          + tcp_synack_retries (default установлен в 5, что означает
            около трёх минут до сброса half-opened connection; если
            поставить 2 - будет 21 секунда)
          + по той же причине уменьшить tcp_syn_retries до, скажем, 3
          + tcp_syncookies можно в таком случае отключить, поскольку не
            существует единого мнения о его полезности в условиях
            _отсутствия_ атаки (сброс TCP Options в стартовом SYN)
          + если отключаем syncookies, то надо увеличить размер очереди
            для half-opened соединений (комбинируется с агрессивными
            таймерами сброса таких сессий) путем установки переменной
            tcp_max_syn_backlog до минимум 1024, а вообще это
            устанавливается опытным путем
          + tcp_keepalive_(time|probes|interval) :: при текущих
            параметрах неживое (установленное ранее) соединение будет
            сброшено через 130 минут (2 часа!). В условиях, когда
            основной обмен - это HTTP, можно снизить это время до 2-3
            минут (максимальное время, в течение которого клиент может
            ждать ответа от сервера - впрочем, человек обломается
            смотреть на песочные часики намного быстрее :-) ), т.е.
            time=75, probes=3, intvl=15
          + в итоге, я ставил вот так,но так и не проверил
            работоспособность

            sysctl -p 11-network-security.conf
            net.ipv4.tcp_syncookies = 0
            net.ipv4.tcp_synack_retries = 2
            net.ipv4.tcp_syn_retries = 3
            net.ipv4.tcp_max_syn_backlog = 1024
            net.ipv4.tcp_keepalive_time = 75
            net.ipv4.tcp_keepalive_probes = 3
            net.ipv4.tcp_keepalive_intvl = 15

Enjoy :)

On 14.07.2021 19:09, VASYL MELNYK wrote:
> Привет всем
>
> Может случаем кто знает список мобильных сетей киевстара? надо 
> ограничить диапазон желающих поломать апачу, а клиенты все будут 
> приходить с мобильных телефонов и условие - без впн-а. Решили, что 
> ограничить список сетей будет достаточно.
>
> Вот теперь сижу и понимаю, что если не найду, то придется ручками 
> отлавливать
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210715/0bb1cb8e/attachment-0001.html>

More information about the uanog mailing list