Группа Black Lotus Labs опубликовала результаты анализа вредоносного ПО, задействованного в инциденте, в результате которого в октябре прошлого года в течение 72 часов было выведено из строя более 600 тысяч домашних маршрутизаторов одного из крупных американских провайдеров (в отчёте провайдер не называется, но упомянутые события совпадают с инцидентом у компании Windstream). В результате атаки злоумышленников, которая получила кодовое имя Pumpkin Eclipse, прошивка поражённых вредоносным ПО устройств была повреждена и провайдер был вынужден заменить оборудование у почти половины своих клиентов - сканирование сети показало, что после случившегося на оборудование другого производителя было заменено 179 тысяч устройств ActionTec (T3200s и T3260s) и 480 тысяч устройств Sagemcom (F5380)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61288
Вот поэтому в контексте домашнего использования NAT провайдера несомненное благо!
Вот поэтому в контексте безопасности жизнедеятельности заблаговременная посадка всех в тюрьму несомненное благо!
Реальны адрес требует для 2.5 гиков, остальным совершенно плевать на него. Главное чтобы ютуб и вк крутился.
с IPv6 будет жесть для операторов.
> с IPv6 будет жесть для операторов.В чём жесть при грамотно настроенном оборудовании? Файервол для клиентов будет отнимать куда меньше ресурсов, чем NAT.
в том что ты безграмотный.(полноценный) файрвол и нат используют одни и те же таблицы состояний. И асику все равно, какие поля в отправляемом пакете переписывать.
А вот размер и безумность v6 заголовка - таки не все равно.
> (полноценный) файрвол и нат используют одни и те же таблицы состояний. И асику все равно, какие поля в отправляемом пакете переписывать.У IPv6 нет никакой необходимости пересчитывать контрольную сумму пакета, потому что её там нет. Размер заголовка имеет постоянный размер, В IPv4 необходимо пересчитывать контрольную сумму.
Если использовать только файервол, то нужно делать меньше действий. Нужно только проверить необходимо ли пропускать пакет и после этого отбросить его или пропустить. А когда у нас есть NAT, прежде чем пропустить пакет дальше, нужно ещё залезть в таблицу соответствий, выяснить какой необходимо установить адрес получателя, модифицировать заголовок, пересчитать контрольную сумма пакета, после чего отправить пакет получателю. Не кажется, что это немного менее эффективно?
> А вот размер и безумность v6 заголовка - таки не все равно.
Размер заголовка IPv6 вырос по сравнению с IPv4 всего в 2 раза по сравнению с самым маленьким возможным (а заголовок может быть в IPv4 даже длиннее), при том, что размер адресного пространства, а значит и размер адресов отправителя и получателя выросли в 4 раза!!! Заголовок был максимально упрощен, чтобы его можно было эффективно и быстро обрабатывать на промежуточных узлах.
P.S. Не вижу необходимости соревноваться в том, кто больше знает. Давайте лучше обменяемся полезной для всех информацией.
>Давайте лучше обменяемся полезной для всех информацией.меняюсь- ivp6 не нужен!
Не обобщайте.
Вам не нужен - не используйте.
>что размер адресного пространства, а значит и размер адресов отправителя и получателя выросли в 4 раза!!!Размер адресного пространства, по сранению с IPv4, вырос в 2^(128 - 32) == 2^96 раз!
Не, раздавать ipv6 поштучно - моветон. Минимум /64 на оконечное устройство. И банить спамеров такими подсетями>.<‘ Меня сейчас будут бить за разбазаривание…
> Минимум /64 на оконечное устройство. И банить спамеров такими подсетямисовершенно бессмысленно. Имянно так.
И если посчитать все резервированные диапазоны, подумать как будешь маршрутизировать эти /64 - внезапно выяснится что адресов-то нифига не так много как сперва показалось.
>>подумать как будешь маршрутизировать эти /64Точно также как и раньше 1 адрес. Глубоко плевать будет там один адрес или одна подсеть
А вот маршрутизировать 100 000 /128, или 1 /64 - разница большая. В ipv6 не стоит тянуть привычки из ipv4, и думать нужно о подсетях, а не штучных адресах. Тем более что всякие мегакорпорации типа Google так и будут банить, подсетями
>>адресов-то нифига не так много как сперва показалось.
> Минимум /64 на оконечное устройство.Все же /64 - это минимальная сеть, а не устройство.
А если речь про провайдеров, то там полагается выдавать /56 на одно физлицо (по запросу), чтоб это физлицо не занималось стрельбой себе в ногу, т.е. не пыталось поделить /64 на подсети.
>чтоб это физлицо не занималось стрельбой себе в ногу, т.е. не пыталось поделить /64 на подсети.А чём стрельба? А то я и по /120 делил и ничего сверхестественного не заметил.
>>А чём стрельбаSLAAC не работает, а так, можно хоть по /128 раздавать через DHCPv6. Но такое… собственно по этому и были рекомендации изначально раздавать не меньше /48,на роутер (потом переобулись на /56). А /64 - минимум для работы SLAAC
И не только SLAAC. Вторые /64 в IP адресе выделены под ID хоста, и на это уже есть пачка стандартов, включая разные секьюрити/прайваси вроде генерации кучи временных адресов для исходящих соединений чтоб тебя сложнее было трекать на стороне сервера.
Полагается выдавать /48, только провайдеры для этого слишком жадные
> Размер адресного пространства, по сранению с IPv4, вырос в 2^(128 - 32) == 2^96 раз!Да, мой косяк. Конечно же не адресное пространство, а длина адреса.
> У IPv6 нет никакой необходимости пересчитывать контрольную сумму пакетаконтрольные суммы ip были сделаны во времена когда компьютеры были - большие. И пересчет их - совершенно элементарен (и не нужен даже весь пакет, он еще может быть даже недопринят - достаточно знать изменяемые поля)
> Если использовать только файервол, то нужно делать меньше действий.
нет. Ровно столько же. (повторяю - асику похрен, переписывать только destination mac или заодно и ip, и можно заодно и source и еще df флажок до кучи - для него это одна операция)
> Нужно только проверить необходимо ли пропускать пакет и после этого отбросить его или пропустить.
уровень опеннета... а если бы ты на секунду задумался, как именно надо узнать, необходимо или не совсем?
Впрочем, куда там...
Повторяю - stateful firewall НИЧЕМ с точки зрения железки не отличается от ната. Вот вообще. И carrier grade не могуть быть софтовыми - лопнут.
А stateless феерично бесполезен в современном мире.
> Давайте лучше обменяемся полезной для всех информацией.
так вы ж не хотите ее воспринимать, она ломает ваш устоявшийся мирок.
Ну если хотите - записывайте: nat и firewall одно и то же (в современном мире)
ipv6 - развод л-хов, не достигший (и не бывший в принципе способен) ни одной из заявленных изначально целей (ну отдельно всякий iot который тоже развод л-хов, но по крупному - чтоб ключи от умного дома были у кого-то поумнее хозяина)
сказки о недостатке адресного пространства - откровенная беззастенчивая ложь торгашей адресамиЖивите теперь с этим знанием...
> нет. Ровно столько же. (повторяю - асику похрен, переписывать только destination mac или заодно и ip, и можно заодно и source и еще df флажок до кучи - для него это одна операция)Может быть и так. Но для IPv4 в ASIC должна вкладываться более сложная логика. И она чисто физически будет отнимать какое-то время. Если у вас не будет там NAT, то логика упрощается, а обработка пакета может быть ускорена. В конце концов, ASIC - это же не что-то магическое. Оно так же работает с данными, как и всё остальное железо. Просто там логика зашита в саму микросхему. Тем сложнее алгоритм, тем больше нужно времени на обработку.
> "ipv6 - развод л-хов, не достигший ни одной из заявленных изначально целей ..."
> - откровенная беззастенчивая ложь торгашей адресамивот так надо соединить твои фразы и все становится на свои места. IPv4 нужен только этим торгашам, потому что бизнес.
> Живите теперь с этим знанием...Как вообще можно приравнивать NAT и фаервол в новости, где сделали ботнет из 660 тыс. устройств?
В фаерволе ты просто блокируешь соединения на управляющие узлы и весь этот ботнет выключается.
И все что может сделать NAT в этой ситуации - продолжать ломать всем интернет, прикидываясь устройством обеспечивающим безопасность. У него тут лапки.
>> Живите теперь с этим знанием...
> Как вообще можно приравнивать NAT и фаервол в новости, где сделали ботнет
> из 660 тыс. устройств?вот будь у них банальны нат - с ботнетом что-то пошло бы не так на самом начальном этапе.
Нет ножек - нет варенья. Ищи кроссайт дырки или еще какие альтернативные ходы, а мы пока без ботнета обойдемся.> В фаерволе ты просто блокируешь соединения на управляющие узлы и весь этот
которые становятся известны когда ботнет уже развернулся в полную силу, и то не тебе? Молодец, садись, два.
> ботнет выключается.
или не выключается, а так и ддосит того кого ддосил - команды отмены не было. Но обычно в них предусмотрены запасные варианты управления, если основной недоступен. Так что бороться с ботнетом таким образом - это уже даже для эксперта опеннета перебор.
Вот те, имени которых эта новость, васяны - все сделали правильно. Хренак и нет ботнета. И фиревал не нужен. Ну правда нет заодно и интернета - но это не их проблема.
> Так что бороться с ботнетом таким образом - это уже даже для эксперта опеннета перебор.Что и ожидалось. В мире святого NAT-а не знают про стандартные нормальные практики защиты.
Вот один из наверное сотни доступных IP block листов - https://www.provya.com/subscriptions/33-357-bad-and-maliciou... Первый что нашел.
И сразу скажу, нормальный фаервол не только автоматом обновляет эти списки, но и кидает алерты, когда это правило срабатывает, что сразу говорит местному админу, что кто-то поймал малварь.
PS: иногда, когда споришь насчет "защитных функций" святого NAT-а, какое-то дежавю бывает, вспоминаются споры со сторонниками уринотерапии. Те тоже видели чудесные свойства там где их никогда не задумывалось.
принятая в твоем подвале - это не "нормальные", это - подвальные.Если оператор вздумает блокировать клиентам доступ в сеть по м-цким блоклистам имени неведомых васянов - у этого оператора даже в нынешнюю эру толерантности (монополизма) начнутся проблемы.
> И сразу скажу, нормальный фаервол не только автоматом обновляет эти списки, но и кидает алерты,
которые никто не читает, потому что их за пределами твоего подвальчика будет миллион.
Это любимая тема ентер-прайсных недо-админчиков и горе-ибшников с синдромом фюрера. Поскольку их-то за это не уволят. Операторам такое щастье пока не светит, им-то платят чтоб интернет работал.
> контрольные суммы ip были сделаны во времена когда компьютеры были - большие.
> И пересчет их - совершенно элементарен (и не нужен даже весь
> пакет, он еще может быть даже недопринят - достаточно знать изменяемые поля)И в результате надо выколупывать структуру пакета и считать. При том - много и быстро. Что нифига не элементарно по сравнению с ничегонеделанием. А вот просто форвардить пакеты и правда элементарно, особенно с ускорением этого в железе.
> нет. Ровно столько же. (повторяю - асику похрен, переписывать только destination mac
> или заодно и ip, и можно заодно и source и еще df флажок до кучи - для него
> это одна операция)Это может брякнуть только тот кто никогда программировать сам не пробовал. В том числе и на HDL.
> уровень опеннета... а если бы ты на секунду задумался, как именно надо
> узнать, необходимо или не совсем?А если бы ты на каждом пакете в потоке в миллионы PPS задумывался о пересчете чексум, это как минимум грело бы твой мозг^W ASIC. А в всяких мыльницах и вовсе таких асиков нет.
> Повторяю - stateful firewall НИЧЕМ с точки зрения железки не отличается от
> ната. Вот вообще. И carrier grade не могуть быть софтовыми - лопнут.Большинству файрволов не обязательно быть именно steteful с именно полным контреком.
> А stateless феерично бесполезен в современном мире.
Давайте шарахаться из огня в ледовитый океан, ведь более сбалансированых вариантов жизни не бывает.
Не только размер и безумность. Ещё легко забить таблицу состояний коннектами, в основном даже большие роутеры умеют файрволу ограничивать число сеансов per ip, но не per subscriber внезапно. А в IPv6 внезапно минимум 2^64 ip у клиента, поэтому про stateful можно забывать.
> Не только размер и безумность. Ещё легко забить таблицу состояний коннектами, в
> основном даже большие роутеры умеют файрволу ограничивать число сеансов per ip,
> но не per subscriber внезапно. А в IPv6 внезапно минимум 2^64
> ip у клиента, поэтому про stateful можно забывать.а, кстати, да. Чем мощнее железка, тем дальше она от этих сабскрайберов и тянуть до нее эту информацию может оказаться вообще немыслимо. Ну ничего, лет десять-пятнадцать еще потерпеть, и они научатся лимитам по префиксам. Жаль только жить в эту пору прекрасную...
Ога.Ну и stateful по префиксам - так себе затея :) Т.е. только разве что лимит на число коннектов. Которого увы да, нет.
У Вас умного дома просто ещё нет, и тем более большого.
Поэтому, того что есть интернета и хватает.
>> У Вас умного дома просто ещё нетА потом какой-нибудь протокол типа «matter» неожиданно требует поддержки IPv6 для сети в которой будет работать. А у вас сломано.
Iot-ятина вообще не должна смотреть в интернет, тем более если её много. NAT породил безумное количество железок, которые работают через «китайские облака», разве это благо?
Люди привыкли жить со сломанным интернетом, но это не нормально. Разве механизмы пробоя nat придуманы от хорошей жизни? А ведь мессенджеры используют активно, в том числе и для звонков
Каким образом ей управлять, если она не смотрит в интернет? А внешние данные она как будет получать? Ради прогноза погоды ставить локально метеостанцию?)
>>Каким образом ей управлять, если она не смотрит в интернет?Через контроллер, который ей и будет рулить. К нему можно дать доступ из вне, ибо там будут ресурсы для защиты
>>А внешние данные она как будет получать?
>>Ради прогноза погоды ставить локально метеостанцию?)Можно так, а можно резать фаерволом любые входящие подключения не из локальной сети. Я был некорректен в выражении своей мысли. Исходящие соединения можно, входящие - нельзя. Хотя и это может не помочь, при наличии вредоноса в прошивке
> Ради прогноза погоды ставить локально метеостанцию?Примерно так нормальные люди и сделали. Вместо беготни к градуснику - смотрят на базовую станцию погодной станции в более удобном месте, или свой компьютер/смарт/планшет если оно интегрировано с умным домом. А что в этом такого? Они простые, дешевые и массовые. Другое дело что посмотреть сколько градусов дома через сеть тоже вполне нормальная идея. А если бояться всех гадостей которые могут случиться через сеть - не надо к сетям подключаться, очевидно.
>У Вас умного дома просто ещё нет, и тем более большого.
>Поэтому, того что есть интернета и хватает.Вообще-то, умный человек будет держать внутренние адреса умного дома внутри пространства своей Virtual Private Network. А наружу только один единственный белый адрес VPN-сервера. Всё руление устроствами УД _исключительно_ через VPN-доступ. Если не хотите, чтобы ваши "умные" итернет-свищи с проприетарными прошивками стали частью какого-либо ботнета и/или не начали шпионить за вами.
Почему людям не понятны такие простые вещи... я в ахере иной раз когда людям приходится объяснять что вода мокрая.
> внутри пространства своей Virtual Private Network.Причем здесь VPN?
У тебя есть сеть с IoT и умным домом. Ты ее или изолируешь от интернета, и тогда у некоторых твоих умных устройств ломается функциональность - просто даже прогноз погоды не подгрузить. Или ты не изолируешь, и тогда все твои IoT устройства полезли в облака становится шпионами.
Для IoT сети нужен не VPN, а фаервол, с фильтрацией входящих И ВЫХОДЯЩИХ соединений и там должен быть белый список (можно погоду, все остальное нельзя). Тогда будет норм. Ни NAT ни VPN этого не дают. Только фаервол.
А когда есть фаервол, уже все равно на каких адресах это все, приватных или глобальных в IPv6.
>фаервол, с фильтрацией входящих И ВЫХОДЯЩИХ соединений и там должен быть белый список (можно погоду, все остальное нельзя).Ну отфильтруешь по входящим IP источника и... Как будто, для взломщиков спуфинг - такая ракетная наука.
Когда у тебя всё запрятано в локалку, полностью изолированную от внешней сети, единственный способ это через VPN-сервер на пороге умного дома. Тут он единственный возможное место уязвимостей. Ну тут уж стоит тщательно весь софт подобрать, сконфигурить и защитить. Да, и файерволом тоже, оставив доступ только на порт VPN.
_Прогноз_ погоды не относится к IoT.Ограничиваешь свои умные-тупые железки локалкой, оставляешь только какой-нить home assistant, чтоб за прогнозом ходил л
для дашборды
Это в теории так прекрасно. На практике все развалится или усложнится с первой железкой, которой все же надо ходить в инет.В фаерволе - это плюс одно правило "кому, куда, когда", можно даже с логом для отчетности. В решениях без фаервола - удачи.
> Вообще-то, умный человек будетДаже у "не умных" домашняя сеть изолирована, и пробрасываются порты на сервер. А у продвинутых не сеть, а сети...
>>А наружу только один единственный белый адрес
Так только о том и речь, что нужна полноценная сеть, а не NAT кастраты.
У меня десяток китайских реле и пара лампочек. Как мне их завернуть в VPN, если это нельзя сделать через ПО производителя, нету лишней железяки для кривого home assistant и роутер от провайдера?
Текущий "умный дом" - это тупой придаток к "облаку", которому входящие коннекты снаружи вообще не упёрлись, оно само ищет хозяев, и, как ситуация с ляоми показала - без них становится совсем не умным.
> коннекты
> снаружи вообще не упёрлись..Если речь об типовой квартире, то там умные дома там приятрое баловство. А если не одна, а если и загородный дом, а там ещё и умный огород. Тогда ко всему этому нужны внешние подключения. Кстати, умный дом, это не только контроллер и железки, а ешё и камеры, которые кроме как удаленно не особо нужны.
Камеры вообще в нормальном случае на камсервер сливаются, ему как правило 1 порта извне достаточно, да и вообще пускать к нему с внешнего мира без VPN не комильфо - ну его нахер.
> Камеры вообще в нормальном случае на камсервер сливаютсянет, это немодно. Камеры в нормальном случае вообще получают v6 адрес автоматом, автоматом же ищут своего хозяина (и это не ты!) и давай ему туда сливать твой хомпрон. Ты на них ни зайти не можешь, ни посмотреть чего. Ставишь наше модное приложение (qr код прямо на камере), и, вот, пожалуйста.
Ну а если вдруг хозяин передумает - то опаньки, твой шибкоумный дом разом становится слепым и т-пым.
Можно ли еще пока купить такие которые работают по другому, и что делать с этим если на твоем ранчо их нужна пара сотен (то есть что делать на самом деле знали китайцы длинка еще в нулевые, но это тайное знание умерло вместе с носителями) - это вот я что-то уже и не уверен.
>> Камеры вообще в нормальном случае на камсервер сливаютсяВы путаете уличные охранные камеры, которыми служба охраны занимаюся, и отвечает за них (насколько, это другой вопрос), и собственно камеры умного дома, которые часто не средство съемки а для автоматизации.
С просмотром камеры есть для растений, контроля автоматики, и на роботах. В чистом виде камер для подсматривания за самим собой нет.> модное приложение (qr код..
Вы мыслите масштабами "обычного потребителя"
Подобное баловство почти не годно для интеграции в свою систему.
Впрочем, именно к "обычным потребителям", Ваши предупреждения вполне справедливы.
Вы не осилили сарказм.
И сарказм-то к тому же вполне дружит с той реальностью, которую да, дельцы "умных домов" плохо не посоветуют.
Ну и кстати да, OpenVPN решает всю проблему просто окончательно :D
> Ну и кстати да, OpenVPN решает всю проблему просто окончательно :DПозволяя сделать вашему камсерву какой-нибудь heartbleed при случае? Это да, тема! :)
Ну да, облако никогда ничего плохого не посоветует.
Устройство голым задом в открытую сеть через v6 - тоже.
И да, у вас там намечается тема пострашнее - пильщики VPN'ов в угоду телеящику.
В итоге товарищу не так давно пришлось OpenVPN в ssh-туннель заворачивать.
>с IPv6 будет жесть для операторов.NAT6 уже давно есть в ядре, еcли что. И да, большинство "негиков" не заметят ;)
> NAT6 уже давно есть в ядре, еcли что. И да, большинство "негиков" не заметят ;)Это как бы несколько другое. И с другими целями как правило. Провайдеру самому по себе нет никакого смысла тратить на это свои ресурсы чисто по приколу. Безопасность клиентов их на самом деле интересует в 9000-ю очередь, а вот жаба на IPv4 - душит. Тем более что во многих RIR их уже просто нет и взять их негде.
Нормальные админы благо а не нат.
нормальным админам (даже если они откуда-то возьмутся в штате оператора) неинтересно героически защищать клиентов от хакеров. Им не за это платят.
Я правильно понял, что ты утверждаешь что "нормальным админам" нет дела до того что администрируемая ими сеть станет рассадником ботов и попадет в черные списки на популярных сервисах? Отличный сервис предоставляют господа нормальные админы. Не зря зарплату получают
всё верно
а вот это кстати порочная мысль которая проникла и укоренилась в индустрии. админ провайдера администрирует **СВОЮ** сеть. а клиент — свою.но нет - люди с низкими интеллектуальными способностями извратили всё, написали на эту тему кучу регуляторки, словно бы моя сеть и я сам - раб провайдера.
в общем шит от неучей как обычно :(
Продали дырявые маршрутизаторы и теперь это не их дело? не думаю что клиенты меняли роутеры за свой счет.
На моем локалхосте админ не нужен. Я денюшку плачу за интернет и вот пусть там админы получают зарплату, а мне нужно чтобы стримчики с видосиками работали в любой момент.
по-хорошему таких "клиентов" надо полностью отключать от сети. пока не минимально не разберутся как "софт атраивать".к сожалению жадность людей этому не даст случится и мы все ещё не раз услышим про подобную хрень.
Нормальные админы для каждого роутера. Гениально!
Вот и пан Пох тоже об этом...
У нас ведь 200 рубликов за сто мегабит в месяц и место на дачном участке недалеко от грядок для проживания-работы админа. Никто только не идет.Наверное надо 300р платить за компетентность,а то ведь больше никак не дать. Такая печалька,а у них в европах интересно как там обстоят дела?
> Вот поэтому в контексте домашнего использования NAT провайдера несомненное благо!Не NAT защищает сеть, а файервол!!! Сколько уже можно говорить. Возьмите, хотя бы Мегафон, где по умолчанию закрыты определённый порты по IPv6. И этого в вполне достаточно для защиты без всяких там NAT. При желании, можно отключить.
>Не NAT защищает сеть, а файервол!!! Сколько уже можно говоритьНе умаляя значимости файервола:
Побочным результатом использования NAT является невозможность инициировать коннект извне внутрь (функция мембраны). В этом смысле NAT защищает и без файервола.
> Побочным результатом использования NAT является невозможность инициировать коннект извне внутрь (функция мембраны). В этом смысле NAT защищает и без файервола.Зачем пользоваться побочными эффектами, если для этого есть свой инструмент? Возможно кто-то гвозди забивает микроскопом, потому что побочным эффектом тяжести микроскопа является его возможность забивать гвозди.
Зачем пользоваться побочными эффектами, если для этого есть свой инструмент?
Экономическая целесообразность.Если побочным свойством топора является возможность забивать гвозди обухом, то часто целесообразно не покупать молоток, когда уже есть топор.
> Если побочным свойством топора является возможность забивать гвозди обухом, то часто целесообразно не покупать молоток, когда уже есть топор.Только в этом случае получается то, что ваша задача только забивать гвозди, а вы, вместо того, чтобы купить молоток, купили топор и теперь им только и делаете, что забиваете гвозди.
Вроде я русским языком изъясняюсь. Стараюсь как можно яснее и доходчивее. Все впустую!>часто целесообразно не покупать
*Смысл* (содержание, значение) написанного все равно не воспринимают.
Потому что НАТ для этого сделано, а Фаирвол создан для другого. НАТ прост и элементарен, когда в Фаирволе можно дел наделать.
Так мы вместо кирпича используем молоток, причем для разных гвоздей, разные молотки. А могли бы универсальным камнем) Надеюсь аналогию понимаешь
> Потому что НАТ для этого сделано, а Фаирвол создан для другого.Что? NAT сделан для того чтоб блокировать входящие соединения? Серьезно. А почему же он называется Network Address Translation а не Incoming Connection Blocker?
Че только не услышишь на opennet-е.
(еще оказывается и фаервол создан не для того чтоб блокировать соединения, интересно для чего ...)
>Не NAT защищает сеть, а файервол!Эт не Вы ещё 30 лет назад в фиде писали, что нат не фиревол? ;-)
> Эт не Вы ещё 30 лет назад в фиде писали, что нат не фиревол? ;-)Не... Не я. Я к интернету то подключился только 24 года назад, а до него сети вообще никакой не было. Но даже тогда я не понимал как и что работает. С этим позже разобрался. :-D
>а до него сети вообще никакой не былоС 90-х годов прошлого столетия сети IPX/SPX от Novell замечательно работали, в том числе в РФ. Сети TCP/IP появились позже.
Он имеет в виду, что у него сети не было. Ваш капитан.
>Не NAT защищает сеть, а файервол!!!NAT не занимается защитой. Нат это сетевая адресная трансляция.
И нет, НАТ это не фаирвол. Это разные сетевые технологии. Но работают в связке! Не надо путать связку и одну технологию.И хоть НАТ не защищает сеть, у него функция в другом, но его действия повышают защищенность внутренней сети.
Это приятный бонус от костыля. Который, замечу я, организовали даже в ipv6. Что для таких как ты, должно хоть немного намекнуть, для чегото да нужен он.>И этого в вполне достаточно для защиты без всяких там NAT.
Закрыть порт не означает отсечь сеть. Даже элементарные вещи не понимаешь.
В одной из тем по ipv6 меня за эти мысли чуть не казнили)))
да по поводу ipv6 идёт вечная борьба админов локалхостов, которые никогда в жизни не сталкивались с взломами и ддосами и поэтому топят за прямой доступ из интернета к каждой умной зубной щётке, и нормальных людей, понимающих, что приватных диапазонов ipv4 хватит на сеть организации любого размера и что ipv6 нафиг не нужон.
>>локалхостов, которые никогда в жизни не сталкивались с взломамиЧтобы защитить тебя, мы сломаем тебе интернет. И вообще, он тебе не нужен, отрежешь себе провод, когда будешь дома
>>ддосами
Чего? Тут-то какое преимущество даст тебе NAT в IPv4? Быстрее умрет от DDOS-атаки забрав с собой интернет?
Я правильно понял, это тебя будут DDOS-ить с миллионов IPv6 адресов, подожди? Aeza? Блочить фаерволом по /64, /56, /48 не пробовали?
>>топят за прямой доступ из интернета к каждой умной зубной щётке
Неа, не топим, им неплохо будет и на link-local, но если тебе зачем-то надо… 1) поди найди адрес на котором она принимает входящие соединения, ведь это совсем не обязательно тот адрес, через который она ходит в интернет
2) неоднократно напоминаем о существовании фаервола, которым и режем входящие соединения к щетке на роутере
>>>локалхостов, которые никогда в жизни не сталкивались с взломами
> Чтобы защитить тебя, мы сломаем тебе интернет. И вообще, он тебе не
> нужен, отрежешь себе провод, когда будешь домаТы здоров?
>>>ддосами
> Чего? Тут-то какое преимущество даст тебе NAT в IPv4? Быстрее умрет от
> DDOS-атаки забрав с собой интернет?Пусть мой роутер ддосят, я переживу. На роутере легче от ддоса отбится чем на зубной щетке.
> Я правильно понял, это тебя будут DDOS-ить с миллионов IPv6 адресов, подожди?
> Aeza? Блочить фаерволом по /64, /56, /48 не пробовали?Вопрос, как это относится к НАТу и к прямому доступу к локальной сети? А ни как.
>>>топят за прямой доступ из интернета к каждой умной зубной щётке
> Неа, не топим, им неплохо будет и на link-local, но если тебе
> зачем-то надо… 1) поди найди адрес на котором она принимает входящие
> соединения, ведь это совсем не обязательно тот адрес, через который она
> ходит в интернет
> 2) неоднократно напоминаем о существовании фаервола, которым и режем входящие соединения
> к щетке на роутереТопите, топите.
Причем аргументы тупые.
Как к примеру
>неоднократно напоминаем о существовании фаерволаОбъясняю почему это тупой аргумент.
Начну с того, что НАТ и Фаирвол это разные технологии.
Для включения НАТ надо воткнуть кабель.
Для включения Фаирвола надо его настроить.
И вот тут начинаются проблемы.
Чтобы настроить Фаирвол, надо иметь знания. У скольки процентов людей есть такие знания? Я дам тебе подсказку! Грамотно настроить ФФ не могут даже многие админы. Или не согласен? А что тогда говорить, про обычных людей, которые слово интернет и браузер ассоциируют?Сколько ты не говорил, что есть Фаирвол, но воткнуть кабель и отсечь локальную сеть от мировой сети, будет эффективней. Чем требовать от пользователя настройки того, о чем он даже не подозревает.
Второй глупый аргумент
> поди найди адрес на котором она принимает входящие соединения, ведь это совсем не обязательно тот адрес, через который она ходит в интернет
С одной стороны, да, миллиарды адресов ipv6 дает некую сложность. Но это не значит, что ситуация прям всё имба.
Найти в сети все активные хосты это не проблема. Мультикаст тебе в помощь
И я тебе больше скажу, не надо чтобы через этот адрес ходили в интернет.
А еще ты забываешь, а что делать, когда злоумышленник узнал айпи адрес нужный? Ты почемуто мыслишь "а вот попробуй узнать". И упускаешь момент, что надо мыслить дальше, когда человек узнал уже адрес, что делать в этом ситуации.Я могу согласится с одним, что это усложняет жизнь. Но это не решает проблем. И еще тут мы выходим за тему НАТы.
И соглашусь, что Ната не панецея. Но также усложняющая жизнь злоумышленникам.
И если бы ната была бесполезной, то нату бы в ipv6 не делали бы. Как планировали изначально. Но слава богу, очухались и ната уже в стандарте.
> да по поводу ipv6 идёт вечная борьба админов локалхостов, которые никогда в
> жизни не сталкивались с взломами и ддосами и поэтому топят за
> прямой доступ из интернета к каждой умной зубной щётке, и нормальных
> людей, понимающих, что приватных диапазонов ipv4 хватит на сеть организации любого
> размера и что ipv6 нафиг не нужон.У меня волосы седеют от мысли, что моя зубная щетка будет смотреть в интернет напрямую.
Я не понимаю зачем это нужно. Вот абсолютно НОЛЬ разумных аргументов. Если надо чтобы зубная щетка выходила в интернет ради чегото то там. Я это через НАТ сделаю.Согласен полностью, ipv6 нужно внедрять для то что требуют прямого доступа и только.Оставьте мою локальную сеть мне.
>Вот поэтому в контексте домашнего использования NAT провайдера несомненное благо!Если бы попробовать отNATить 10-100Gb/s -- ты бы не говорит такую тупость.
>>Вот поэтому в контексте домашнего использования NAT провайдера несомненное благо!
> Если бы попробовать отNATить 10-100Gb/s -- ты бы не говорит такую тупость.Тебе же прямым текстом написали "в контексте домашнего использования"
А ты пишешь, явно не про домашний сегмент.Под каждую задачу свой инструмент. НАТ тут использоваться нецелесообразно. Так как канал 10Гб и больше это уже для очень серьезной сети. Уровня выше средней корпорации. Или провайдера.
В офисе, на дому, таких каналов не существует.Короче это ты тупость сморозил.
Для сетей где нужен выход 10ГБ и больше, используются свои технологии.
Но для сетей домашнего и офисного уровня, НАТ отличный инструмент.
> Тебе же прямым текстом написали "в контексте домашнего использования"Там написано "NAT провайдера". Домашний NAT никак бы не защитил от этих взломов. Более того - уверен он там и так был на взломанных роутерах.
>> Тебе же прямым текстом написали "в контексте домашнего использования"
> Там написано "NAT провайдера". Домашний NAT никак бы не защитил от этих
> взломов. Более того - уверен он там и так был на
> взломанных роутерах.Обосрался и продолжаешь делать вид что не обосрался.
БУКВАЛЬНО НАПИСАНО "в контексте домашнего использования"
Учись читать, а не писать глупости в пылу спора.
> в контексте домашнего использования
> попробовать отNATить 10-100Gb/sЧукча, однако, не читатель. Чукча писатель. Да?
Есть подозрение, что речь идет о устройствах выдаваемых оператором абонентам, у таких частенько предусмотрено удаленное управление и даже загрузка прошивки оператором.
В этом случае никакой NAT вам не поможет.
Все таки как-то сложно поверить что одна атака могла бы затронуть сотни тысяч разнородных устройств
Красиво.
Интересно, это кто-то решил что "такой ботнет нинужен", или хотели как лучше но попалась прошивка чуть-чуть не от того роутера?
A propos , что с Debian'ом
https://security.debian.org/debian-security/dists/bookworm-s... verification failed
Только у меня, или за пределами государства Российского тоже такое наблюдается ???
Всё ок.
>>Как именно устройства были скомпрометированы для установки вредоносного ПО информации нетАмерикански провы ставят на клиентские маршрутизаторы бекдоры. Мне говорили, что это чуть ли не в договоре на аренду оборудования прописано. Так что тут имно всё просто подобрали пароль, а пров не стал заморачиваться с доступом только с определённых ип. Так что удивительно, что такое только сейчас случилось.
>>Американски провы ставят на клиентские маршрутизаторы бекдорыА… зачем? Когда железа умеющего в TR-069 или чего-то сходного доступно для Американских провайдеров чуть меньше чем дофигище?
>>это чуть ли не в договоре на аренду оборудования прописано
С моей колокольни кажется не самой правдоподобной историей, но я бы почитал такой договор
Вот по этой причине и выключаю роутер когда я не дома.
Правильно, ддосить лучше под прикрытием твоего легального траффика.
А смысл, если атаку проводить по таймеру повторно
> организующего централизованное управление ботнетом и применяемого для Linux-устройствКто ж на серьёзное оборудование линукс-то ставит?
Банки, оборонная промышленность, Big Tech.
У меня для вас плохие новости -- линукс там только в некритичных местах, потеря и развал которых уже просчитан.Спецов по Коболу не просто так выискивают.
Ну поставьте винду или мак кто ж вам не дает.
Как там в ваших 1990-х?
> в результате выставления провайдером ненадёжных учётных данных, использования типового пароля для входа в интерфейс администрирования или эксплуатации неизвестных уязвимостейОт "эксплуатации неизвестных уязвимостей" никто не застрахован, а вот цпе-оборудование, управляемое суппортом провайдера с наружной стороны - это абсолютное зло. От таких провайдеров надо держаться подальше.
Кто-то мешает поставить свою железку за оборудованием провайдера?
Своя железка за оборудованием провайдера может защитить сеть абонента от заражённого роутера, но никак не помешает ему подцепить заразу. А это чревато, например, попаданием IP в блэклисты или забиванием полосы трафиком от малвари.
Спокуха, как VDSL vectoring так и GPON (а будущее за GPON) иных вариантов не имеют.
>>GPON (а будущее за GPON) иных вариантов не имеютТвой провайдер не хочет платить за лицензию, позволяющую ставить оборудование, вендоров отличных оборудования «на голове». И не хочет лишний раз бегать к клиентам.
И да, я его понимаю по обоим пунктам.
Но это не значит что нельзя иначе, и ont можно перевести в мост, и держать соединение на своем роутере, и в некоторых случаях «подменить» информацию на китайском sfp-ont чтобы мимикрировать под провайдерский, и воткнуть его в свой роутер
Дело не в лицензии, дело в саппорте. С "чужими" железками тебя просто пошлют нафиг в 95% случаев, а траблы с ними вылезают железно, интероп у разновидностей гпона никакой. Ну и если ты хочешь что-то сверху данных (тот же SIP например, или дать возможность клиенту рулить "клиентской" частью роутера) - тут вообще инвариантно, иначе руками будешь конфигурить.
Причём поскольку GPON - это шаред медиа, по сути TDM, одна кривая ONT может легко положить всё дерево.
Поэтому играться с мультивендорностью на гпоне - себе дороже.
Про VDSL векторинг вообще молчу - он чуть ли не сертификации (в техническом смысле) требует - одна кривая железяка, и у всех клиентов в пределах пучка кабеля будут проблемы.
Рассматривал эту технологию ещё году в 2006ом что-ли и уже тогда был в этом.. в ужасе от неё. И не только по этой причине. Вся фича её - это долбаное крохоборство. Широковещание всего и всем по волокну - это немногим лучше вайфая.
Вот это "крохоборство" и позволяет не задирать ценник при нормальном качестве сервиса.
Нет, в этих ваших человейниках можно свободно и свитчи ставить, тем более, что на лапшу мало кто пока внимания обращает, хотя в итоге всё равно придётся упорядочивать, а вот когда речь идёт о малоэтажке или вообще частном секторе, который в этих ваших Европах почти везде - тут уже GPON решает.
Ну и да, эта технология спокойно перейдёт без смены волокон, ну, почти без смены, на 10G.
А вот любителям ставить свитчи придётся чуть тяжелее.
Что же касается "перевести ONT в мост" - так не бывает. Нет, бриджи вполне бывают, и мы их спокойно клиентам включаем по запросу. Но в пределах сети-то там GEM'ы ходят, т.е. этот бридж всё равно в GPON упакован.Сейчас вот ещё 25-гигабитный гпон подтягивается - это вообще прикольная штука. ONT вполне может быть гиговой в сторону клиента, но общий канальчик широкий, и типичная проблема с аплоудом тоже решена.
(и да - там не мой провайдер, я сам провайдер :), хотя дома тоже GPON есть - плевать я хотел на мультивендорность, как технарю мне именно бриджа за тупой ONT и достаточно, а SIP и мультикаст не упёрлись)
>>будущее за GPONКстати, а какое преимущество он дает клиенту? Все «плюшки» там только для провайдера. Так что я отношу это высказывание в ряд сомнительных
>>>будущее за GPON
> Кстати, а какое преимущество он дает клиенту? Все «плюшки» там только для
> провайдера.ну дык - а кто по-твоему этот дэушка ужынаэт?
Ценник он даёт, ценник. Выделенка будет дороже.
> Ценник он даёт, ценник. Выделенка будет дороже.напоминаю - ценник в одной вот пока еще дружественной стране - ну там где-то $30 за сотку входящего. Трехсотка подороже обойдется. У недружественных еще хуже.
В РФ таких цен в помине нет. А ethernet - есть. Пока еще есть. Причем кое-где до гигабита вполне себе.
> В РФ таких цен в помине нет. А ethernet - есть. Пока
> еще есть. Причем кое-где до гигабита вполне себе.Да и сети построены через пень-колоду, с тенденцией на удорожание. "До гигабита" - уже в районе EUR 10, и выше бы поставили, но проблема в том, что в РФ "и зарплат таких нет", среднее на уровне EUR 800 - это очень красиво.
У тех у кого есть куда втыкать гигабитный аплинк - есть зарплата, превышающая 800eurПробегал месяц назад мимо дворовой парковки - все забито новыми модными китайцами размером с самосвал.
Стоит такая штука - 30-40 тыщ $$
Ездит три года, пока работает гарантия или пока не обанкротится очередной Гнили или как там этих китаез зовут, или не переключится на выпуск тушенки. Запчастей на более старые нет, как чинить никто не знает, инструкции по китайску да и те толком недописанные, некогда, некогда, надо осваивать станок для закатки банок.
И ничего, вся парковка заставлена. И нет, это не донстроевский дом для богатых, там парковка не на улице.
Теперь побегай, выясни, сколько за эти штуки будут "ипотек" платить. Удивишься.
Ну и да, чтобы воткнуть гигабитный аплинк, достаточно какого-нибудь микротика hEX или около.
Понимаю, он тоже целое состояние стоит, но гигом ныне уже мало кого удивишь.
> Теперь побегай, выясни, сколько за эти штуки будут "ипотек" платить. Удивишься.три года, дальше ее предполагается продавать (раньше так и получалось, а кто их сейчас будет покупать - загадка) - обычно кредит и берут на все время эксплуатации новой тачки. Чтоб есличо его гасила страховая, а если ничо - то пока она еще хоть как ездиет он был выплачен.
Типа пол-ляма они платят из заначки, еще пару сот за сдачу в ути...трейдин своего ниссана 2003го года, остальное из зарплаты. Уверен, на интернет там еще осталось.
> Ну и да, чтобы воткнуть гигабитный аплинк, достаточно какого-нибудь микротика hEX или
> около.только пусть эту нёх такие вот и обслуживают потом.
(а очень-плохая-дорога сюда больше ничего не продаст... ну кроме конечно того что в комплекте с безопастным городом и разбирать нельзя, товарищмайор не одобрит)
Ну и там дальше чудеса начинаются на уровне distribution, потому что нормального железа для этого нет за никакие деньги. Ну и теперь еще из-за сранкций надо придумывать как именно твоя циска окажется одной ногой в Мyxocpaнске, а другой в уютном Тбилиси, а с плохой дорогой ничего не придумаешь, сдавай в утиль.
У gpon все это можно вынести подальше где уже есть нормальная вентиляция и охлаждение, и недорого.
Но в целом до того как случилось что-то - все уже было - на нормальном ethernet, с нормальными симметричными скоростями. Иногда полезно начинать позже других - не будешь повторять их глупостей. К тому же тут человейники, аналогов которым только у китаез есть, да и то не факт (в смысле не факт что в тех живут способные оплачивать по $10)
С обычным p2p эзернетом беда - сейчас уже любители удешевить перекладывают кабели на 4-парные :DА при тотальном выходе на 1G (думаю больше до оконечки в ближайшие лет 5 точно не светит, девать некуда) будет совсем беда: свитчи стоят и будут стоить конских денег, в бросовых для агрегации пары портов 10G может не хватить, не по одному свитчу ж на ветку вешать, короче в итоге проще будет просто 10GPON/25GPON перерастянуть.
Не, в человейниках прокатит - при такой плотности медь дешевле гпона. А вот в малоэтажке, которой в этих Европах пруд пруди, там уже по свитчу на дом/дуплекс не наставишься, а медь улицей тянуть - грозы очень быстро подскажут, что лучше так не делать.
> С обычным p2p эзернетом беда - сейчас уже любители удешевить перекладывают кабели на 4-парныестранно что медные dsl кабели в палец толщиной их не возбудили. Это ж если на медь сдать, сколько ж бабосов поднять можно! А этот ваш ляминь...
> свитчи стоят и будут стоить конских денег
почему-то это совершенно не мешает 4-5-гдетовосемь ге? "В этом бизнесе капитальные затраты не имеют никакого значения"(c)
Там больше проблема что свитчи эти - дерьмо на палочке. Разьве что у очень плохой дороги что-то подходящее есть, тут я не в теме. Цискины же asr901 - те что сама циска периодически НЕ рекомендует использовать для подключения оконечки - это какой-то п-ц. Мне лень пробиваться через файрволы для стран с неправильными паспортами чтобы проверить, не понавыпускали ли они за последние годы еще большей х-ни, но сдается что нет. Эти поапгрейдили.
Но оно для RAN, для подключения абонентов у той же циски нет НИЧЕГО. И никогда в общем-то и не было. Нужную для домика на 1000-1200 квартирок (обычный дибилдинг конца 80х в дефолт сити) плотность портов просто негде взять вот вообще. Ну ок, в донстроевском домике можно 4500 поставить. Там наверное не сп-ят. И то не факт что он все нужное умеет.
> почему-то это совершенно не мешает 4-5-гдетовосемь ге?Ну 4-5-гээээээээ (чем дальше тем большее гээээээээээ) - оно на хомяках живёт, у которых аж до 150 мегабит это гэээээээээээ но с пакетом гига в 4 в месяц. Абонентка ныне растёт у всех, кстате, что у вас что по еуропэам, потому что гэээээээээээ надо отбивать. Тут да, согласен, капиталка размазывается очень сильно.
> Нужную для домика на 1000-1200 квартирок (обычный дибилдинг конца 80х в дефолт сити) плотность
Вот прямо можно взять и в жепоне получить. 16 портов на дерево до 64 оконечек - уже 1024. Ну кнешн 1024 - это очень сердито если на обычный 2.5G down / 1G up, но в целом суть понятна думаю. 3-4 1U оконечки как раз и решают проблему пролетариата. Т.е. жэпон хорош не только на малоэтажку.
> Ну 4-5-гээээээээ (чем дальше тем большее гээээээээээ) - оно на хомяках живёт, у которых аж до 150
> мегабитт.е по сути даже гигабит, который теперь стандартно тянут до КАЖДОЙ БС - уже иногда упирается в пределы
В пакетах есть всякие ништяки вроде безлимитного ютрупа и еще чего-нибудь этакого.Ну вот осталось вместо БС начать подключать квартирки в человейнике (заодно и нагрузка на бс упадет)... но нечем. Те штуки - помимо безумных цен - еще и плохо пригодны для втыкания туда чужого железа.
> Вот прямо можно взять и в жепоне получить.
можно, только вот пипл чота не рад. Пипл хочет за эти деньжищи симметричный линк без гпоновых проблем. И в РФ - пока еще получает. Но в основном это сотки. А это уже становится пиплу неинтересным. Даром он чтоль вафельницу на 700 покупал? (ну да, там нет 700 - но больше ста-то есть)
> т.е по сути даже гигабит, который теперь стандартно тянут до КАЖДОЙ БС - уже иногда упирается в пределыВсё хуже, радиоканал упрётся раньше. Поэтому и вводят пакетики с пакетиками, пилят всякие немодные протоколы типа торрента, тетеринг органичивают, и т.п. С 5G другая проблема - у него радиус действия - до ближайшего дерева, их для стабильной связи надо тыкать очень много, и там уже все эти ограничения носят просто экономический характер. Фемтосоты по офисным локациям уже ставят только в путь в Европах, чтобы хоть как-то внешнее радио разгрузить. Дальше будет ещё хуже, мобильная сеть по сути упёрлась в физику, но об этом пока молчат.
>> Вот прямо можно взять и в жепоне получить.
> можно, только вот пипл чота не рад. Пипл хочет за эти деньжищи симметричный линк без гпоновых проблем.Да не, ну на 10GPON/25GPON банально асимметрию заметишь разве что в ЧНН, если оператор не зверствует с плотностью. По сути 25GPON - будущее реальное решение, 32-40 абонентов на ветку вполне себе поместятся даже с гигом.
На свитчах так-то тоже в целом такая же фигня, пара 10G аплинков на 40 дырок.
Циску на такой домик я не рискну предложить, по плотности портов там всё очень плохо на самом деле.
Проще всего собирать на бросовых 1U 48x1G + 2-4x10G, чего-нибудь типа **ялинка, если хочется ипотеку - можно на экстримах, всё равно отобьётся.
потом ипстись с этой вот простотой - чур не я. Там можно делать на более дешевых, поскольку понятно что из ста квартир на подъезд к тебе подключатся допустим даже 15, но проблема что и таких свитчей нет.Для ста мегабит нормальные access делала плохая дорога, в которых было все чего почему-то ниасилила циска даже в гигабитниках по кругу, а вот что у них там есть посвежее - я не в курсе, посколь покинул этот совсем уже печальный бизнес (и даже не сп-л на память плохую дорогу, потому что они были ценные...)
Ну и я о том же, поэтому таки будущее за жепоном, хоть там и своя жжжж в виде шаред медиа присутствует в полный рост.
Хер эвей делал ужаснейшие свитчи, я с ними чутка успел поработать. Там баг на баге и багом погоняет.
а нефиг тырить по подъездам. Купи как приличные люди - будет тебе техподдержка.
Те баги что могли бы как-то нас затронуть в 57й серии исправляли быстрее чем мы до них добирались.А это уже почти уровень ядра (так не надо, но в принципе они могут)
После того, как они с домовой серии слили 2 гига внутреннего дебага, чтобы с DHCP разобраться, как-то расхотелось вообще с этими свитчами дело иметь :DК слову - разобрались.
Почему расхотелось - думаю, в курсе :)
Проблема в том, как это дебаг сливался.
тут кстати в рамках корпоративных завлекаловочек прислали контору по сдаче этих китайских (других-то нет уже) планшетов на колесиках в долгосрочную аренду.
Не лизинг (дураков-то нет) - будешь платить даже если оно не ездит, но никаких тебе забот и хлопот - твоего только бензин, все расходники и то включены. От 60 штук за гнили до 85 за похавал (ну понятно кому надо по 130, таких тоже есть).
Можешь ее потом через три года купить если совсем ох... понравитсо, а можешь сдать обратно.И ничего ж, берут-с.
Да и йа о том же - как поговоришь - там половина лизинг, половина ипотека, с которой не расплатятся даже после того, как оно сгниёт. Каску за две стоимости ипотеки брать желающих мало.
> Да и йа о том же - как поговоришь - там половина
> лизинг, половина ипотека, с которой не расплатятся даже после того, какненене, то что мне прислали - это не лизинг. Это аренда на долгосрок с потенциальным выкупом если совсем дурак. Все каски-шмаски уже включены в ценник. И ценник не так чтоб недоступен для эффективного менеджера какого-нибудь райфайзен-банка или девляпса там же, успешно откосившего от призыва. Даже после выплаты по ипотеке за однушку в Молоково. Т.е. единственная подстава - что камушек из под камаза в лобовуху - и ты ездишь на автобусе до метро, потому что каска-шмаска и направление на ремонт в императорские му/\ищи из южного зае6утова, с записью на через три месяца в полночь, а если сам что-то рискнешь поменять то тут же слетишь с гарантии.
Ну собственно мне недавно понадобилась машина - любимая прокатная контора и подогнала... прям в центре лобового стекла отпечаток метко брошенного кирпича, трещины во все стороны, и... и... и натеберите а то и такого не будет. А поменять стекло - ну может осенью, к ноябрю, например. Если оно раньше не вылетит на дорогу на какой-нибудь кочке. При попытке завести начала пищать что ей срочно на ТО, за 500 километров от ближайшего. Ну вот так и ездят.
А то что на нашей парковке - это машинки успешных состоявшихся людей способных купить двушку в разваливающемся доме за сво...за потребкредитные деньги и похоронные бабушки, она все равно слепая и не заметит. Уверяю тебя, на интернет у них точно хватит. Но свитч с чердака они сп-ят прямо сегодня на исходе шаббата, на добавить уже сильно будет надо.
600000 пластмассовых роутеров! Вот это классно. Жаль фб не положили.> провайдер был вынужден заменить оборудование у почти половины своих клиентов
Получается, пустить по домам монтажников с программатором оказалось менее приемлемо чем с новым роутером? Интересно...
монтажники не умеют в программаторы. Монтажники умеют ковырять дырку в стене, засунуть туда антенный кабель и обжать разъем. Иногда криво.В лучшем случае еще они могут скопировать с бумажки настройки сети, если у тебя нет модного TR-069
- но не дай Ктулху ты им на бумажке напишешь десятичную маску, а в этой разновидности роутера - префиксная.(нет, им бесполезно пытаться объяснить что эти цифирки значат и как одну в другую пересчитать - "х-ле, семь классов образованье")
А ты про программаторы... для которых наверное надо расковыривать устройство и прищепкой цепляться к чипу, если вообще до него прищепкой достать можно.
Яхз, у нас монтажники вполне себе умеют в апдейт фирмвари и если надо сброс железки с заливкой по TFTP. Некоторый даже базовый конфиг с NAT в циску вбить могут. Но это не РФ, да, у них зарплаты приличные.
Админ:Админ? Как обычно важные ИТ пиджаки наняли обезян, а ФОТ распилили себе на золотые парашюты. Отрапортовали о 300% нодоях. Теперь где-нибудь ещё МВАсить будут.