- 1
https://habr.com/ru/post/456558/
Куча говна / Говнокод #25680
0
Какой багор )))))))))))))))))))))))))))))))))))))))) ))))))))))))))))))
Запостил: 
AHCKuJlbHblu_nemyx,
(Updated )
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
- "PHP" (6227)
- Куча говна (4352)
- Кресты (2940)
- ЙажаСценарий (2225)
- Си диез (2080)
- Jawa (1688)
- Няшная (1340)
- Змея (894)
- Школоло (781)
- mysql_real_escape_string (579)
- Бухгалтерия (547)
- ДействиеСценарий (419)
- Beri bash i ebash (298)
- Яuбy (294)
- Субъективный Си (290)
- =()= (267)
- Школоло (200)
- Сборный (158)
- Метатабличный (91)
- Хламидомонада (74)
- Ябло (Свежее) (49)
- Goвно (37)
- Koko (17)
- HTML (1)
https://ria.ru/20190619/1555686553.html
Закон этого не запрещает.
Отпечаток можно получить и другими способами:
http://ip-check.info/?lang=en
К примеру если занят порт 5938 (TeamViewer), то это либо админ, либо бухгалтер, которому помогает админ. Это можно использовать как фактор в таргетинге рекламы.
Браузер перед запросом GET/POST посылает запрос OPTIONS, чтобы прочитать заголовки для CORS. Если CORS разрешает запросы, то он посылает настоящий запрос GET/POST. Если CORS запрещает, то он запросы GET/POST посылать не будет, но ведь запрос OPTIONS он уже послал без спросу (иначе он не узнает правила CORS)!
вот этот keepstate и никакого вашего "-m state --state ESTABLISHED,RELATED" не нужно
иптаблес бяка
прыщебляди что сделали?
Это моя пика. Таких пик много, но эта моя. Моя пика без меня бесполезна. Я бесполезен без моей пики. С моей пикой и божьей помощью сокрушу любого врага. Аминь.
Мне сказал один мужик, нынче в моде лес из пик...
даю подсказку: «п…»
«пр…»
Зправщики картриджей!
Чего мы хотим?
Пиздеть про айпитейблс!
Кто мы?
Программисты!
Чего мы хотим?
Прыщебляди соснули!
Both DoS`s use something known as portfuck (e.g. `while true; do telnet
host port & done`).
1. If you use it against any inetd service, inetd will shoutdown that
service for about 30 minutes (i did not checked, but it seems to be about
that time).
2. If you use it against sshd, you have 99% that you crash the mashine in
few seconds.
TESTED:
sshd-1.2.26 on Debian 2.0
sshd-1.2.27 on Debian 2.1
sshd-1.2.27 on RedHat 5.2
inetd - one provided with Debian 2.0/2.1/Redhat 5.2
all above platforms are VULNURABLE to this attack
COMPROMISE:
Allows any user to hang many machines in the Internet (i guess that only
these behind a firewall are secure ;>
Это мои прыщи. Таких прыщей много, но эти —– мои. Мои прыщи без меня бесполезны. Я бесполезен без моих прыщей. С моими прыщами и божьей помощью сокрушу любого врага. Админь.
ты перепутал его с firewalld или ufw.
Кстати, pf имеет API в отличие от netfilter.
Но, конечно, если нужно просто закрыть порты — то iptables будут излишне сложными.
Например, в pf можно определить таблицу и налету добавлять/удалять из нее адреса через сишный API. И этим пользуется, например, proxy для ftp. У iptables это делается встроенными в ядро поддержками ftp (что вероятно не очень красиво).
В целом же iptables смокчут у pf по трем параметрам:
* у pf есть API, а у netfilter нет
* у pf весь конфиг описан декларативно в pf.conf и запускается через pfctl. А у iptables есть 42 вида "шел скриптов" и всяких iptables-restore, бо только утилита Iptables есть клиент netfilter и она не умеет читать конфиг.
* man pf.conf, man pfctl и man pf содержат отличный туториал про всё, начиная от простых файрволов до шейпинга (да, шейпинг делается НЕ отдельной утилитой tc).
А по iptables есть два отдельных, ужасно устаревших хауту, и весьма слабый ман.
В общем неконсистентная, плохо документированная и не очень логичная система, как и всё в linux. Тем не менее, свои задачи она решает
В «iptables» для такого используется «ipset». Правда, API у него — то ещё дерьмо, но оно таки есть (см. «libipset»).
Кстати, а в pf есть аналог «-m recent» (https://manpages.debian.org/unstable/iptables/iptables-extensions.8.en.html#recent)? Эта фигня крайне мощная, в сочетании с остальными возможностями «iptables» позволяет строить прямо-таки интеллектуальные фильтры.
ужасное неконсистентное
>recent
Это типа одно правило складывает адреса в лист, а другое проверяет?
Такие штуки лучше делать в юзерспейсе: правило сообщает о своих стейтах (через pflow например), а их слушает демон и правит таблицу и уже по таблице файрвол работает.
Все эти ваши iptables-extensions же работают в ядре, в netfilter?
Это может и быстрее, но сложнее. Я бы в ядре только NAT делал.
А для простых задач есть например max-src-conn-rate (чтобы лимитить частоту подключений)
С помощью «recent» можно складывать в лист адреса-источники пакетов, выбранных по произвольному критерию. Например, можно добавлять в вайтлист всех, кто послал пакет с определённым содержимым на определённый порт, причём не обязательно, чтобы порт был открыт.
Собственно, в своё время я знатно ебался с созданием антидудоса под древнюю игрушку, работающую по UDP — вот там без таких штук никак не обойтись было.
> Все эти ваши iptables-extensions же работают в ядре, в netfilter?
> Это может и быстрее, но сложнее. Я бы в ядре только NAT делал.
В хуйлоаде каждая инструкция дорога. В то же своё время я для пирфоманса переносил часть правил из таблички «filter» в табличку «raw» (где пакеты отбрасывались до обработки conntrack'ом) — и это давало ощутимый результат.
Но в 99% случаев тебе нужен NAT и пару портов открыть.
В этой ситуации iptables выглядит как закручивание болта посредством киянки, стамески и крестовой отвертки
Единственное, что вызывало у меня опасение — это виндовый фаерволл. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем фаерволл с тремя кнопками. Я знал, что рано или поздно мы перейдем и на эту дрянь.
Спермоволл — это такое кастрированное говно, что плакать хочется (когда пытаешься его настроить). Серьёзно, там можно задать программу, протокол, порты и список адресов, пакеты с которых будут либо блокироваться, либо пропускаться. Всё, блядь, больше — ничего!
в аналогах (в том же pf) тебе придется всю СЛОЖНУЮ логику перенести на юзерспейс
это медленее, но сделать ты там сможешь все что угодно
виндовый файрвол достаточно гибок для декстопа (в режиме advanced firewall), а для твоих задач там есть Windows filtering platform, тоесть апять таки апи коего у прыщей нет
кроме того есть MS ISA (Forefront), и там можно овердохуя всего
при всем уважении к линуксу (сейчас на нем сижу, кстати) давайти все таки не скатываться в лоровское прыщедрочерство
> виндовый файрвол достаточно гибок для декстопа (в режиме advanced firewall)
Ну хз, я как-то попытался настроить примитивную обработку трафика — и пригорел. Там же даже адаптер, на который прилетел пакет, задать нельзя!
> Windows filtering platform, тоесть апять таки апи коего у прыщей нет
Ознакомился с API, на первый взгляд — довольно ограниченная штуковина, условия уж больно простые. Можно, конечно, фильтровать «callout driver»'ом, но с абсолютно таким же успехом можно и для айпических таблиц написать расширение и течь.
> кроме того есть MS ISA (Forefront), и там можно овердохуя всего
Уже нет. 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка была прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не доступен для приобретения с 1 декабря 2012 года.
> давайти все таки не скатываться в лоровское прыщедрочерство
Давайте! Виндовый фаерволл мне просто так вспомнился, и я прекрасно понимаю, что в ориентированной на десктоп ОСи монстр-комбайн уровня айпических таблиц не нужен.
если уже юзать линукс то пусть это будет /etc/rc.d/rc.firewall (как в слаке)
обычный шел скрипт с iptables.
ТАк понятнее
asaaaaaaaaaaaaaaaaaaaa
Кстати, некоторые интернет-провайдеры блокируют входящие в сторону клиента запросы на порты 22, 80, 8080, 443, порты NETBIOS/SMB и ещё какие-то, которые «могут причинить вред оборудованию клиента». Чтобы разблокировать, нужно подавать заявку на статический айпишник.
Т. е. жопоскрипт из браузера на эти порты сможет достучаться, а внешний клиент из интернетов не сможет.
если жопаскрипт шлет запрос на 127001 то причем тут воще провайдер?
а наружу 25 штобы спам не слал
пров обомне заботица
и не признается, козел, хотя я сам проверял
Вероятно это делает его DPI, а он даже не знает