Добрый день.
Интересует возможность организовать работу ноды по белому списку. Ограничить доступ к порту ноды только с определенных белых ipv4 адресов.
Каким образом осуществляется наливка трафика на ноду - с определенных адресов сателитов , тогда наверно есть перечень сетей или клиент напрямую льет трафик на ноду и тогда моя задумка не осуществима ?
В текущий момент tcpdump отслеживаю одну ноду и набралось 130 уникальных адресов , часть из которых можно агрегировать в сети.
(an attempt at Google Translate)
Конечно, вы можете иметь белый список IP-адресов вашего брандмауэра или маршрутизатора. Но клиенты могут подключаться к вашему узлу из любой точки мира (они не проксируют через спутники).
Однако вам нужно будет внести спутники в белый список, чтобы не провалить проверки онлайн и аудита
1 Like
Встречный вопрос: а зачем?
Совершенно верно, клиенты напрямую соединяются с узлом.
Белый список точно не пойдет.
Черный список — может быть, через fail2ban, если злобный клиент шлет всякую фигню — но это тоже особо смысла делать нет: куча ресурсов разобрать логи и/или деконструировать drpc протокол, для крайне сомнительной выгоды: если это атака — трафик будет с ботнета.
Лучше запихать узел в jail или LXC контейнер и пущай сам выкручивается.
1 Like
Ну скажем так ) подумывал об использовании ряда адресов , но от ИБ можно получить по шапке. Хотел прикрыться , но при децентрализованной заливке это фокус не пройдет
Кто такой ИБ?
Если нежелательно светить домашний айпи по какой либо причине — всегда можно настроить VPN где нибудь в соседнем датацентре и тогда провайдер будет видеть трафик до VPS.
Многие без публичного ip вынуждены так делать. Работает неплохо.
ИБ - информационная безопасность (information security) . Я в курсе за nat и vps . Тут дело в другом . Внешние адреса организации периодически сканируются с целью найти опубликованные ресурсы . Если бы наливка на ноды была с определенных адресов , то я их просто бы добавил в исключения и все было бы хорошо.
1 Like
A, ясно. Ну тогда вам прямой смысл ВПН – никаких портов открывать не нужно и все довольны.
Я бы следил за новостями очень подробно и делал что пишут разработчики, впринципе этого достаточно.
Если есть свободное время и силы лучше думать о том как сохранить данные. У меня вот NAS вообще спёрли люди которых мужик у которого я снимаю квартиру пустил в комнату под видом электриков пока меня не было дома.
2 Likes
Я вот не знаю с чего офигевать больше – что воришки знали что такое NAS, что хозяин квартиры решил пускать кого-либо, сразу забив болт на все, уже не говоря о том, что все это происходит без присутствия и согласования со съемщиком, или что хозяин вообще не понимает что значит снять квартиру и думает что он все еще может делать что захочется. Ну ваще просто… Надеюсь вы с него стрясли все что причитается. Вот говнюк, а..
Да я сам выфегеть не могу уже много времени. Вот запустил новую ноду.
That’s called insurance in the west.
2 cents,
Julio
You mean you would make a claim under your home insurance for a nas?? It makes no sense. Small replaceable things like these you self-insure.