firewall   14426

« earlier    

Little Snitch and the Deprecation of Kernel Extensions
In order to be able to perform filtering of network traffic, Little Snitch 4 installs a kernel extension (the above mentioned “System Extension”) which is based on Apple’s “Network Kernel Extension” API (NKE). -==- This API will be deprecated in a future version of macOS and replaced with a new “NetworkExtension” API (NE). Despite their similarity in name, these two APIs work very differently, so the underpinnings of Little Snitch do require a substantial rework.
firewall  kernel  macos 
2 days ago by jchris
Clients in same WLAN can't reach each other - Installing and Using OpenWrt / Network and Wireless Configuration - OpenWrt Forum
Q: Ethernet switch + 2.4G Wifi + 5G Wifi is bridged into one interface and firewall zone (lan).
I updated to LEDE 17.01.0 (stable) and got following problem:
Clients connected to the same Wifi SSID can not communicate with each other (same interface/firewall zone)
PING OPO.lan (192.168.0.17) 56(84) bytes of data. From MJ.lan (192.168.0.58) icmp_seq=1 Destination Host Unreachable ...
I can still reach it from Ethernet or from the other WLAN (5G -> 2.4G and vice versa) but not when both are connected to the same... It works fine if i create 2 different SSIDs on an adapter and put a client in each one.
Multiple clients connected through ethernet can also reach all others.
forumthread  openwrt  wifi  networking  firewall  configuration  issue  workaround  links  router  sysadmin  tips 
3 days ago by ezequiel
Little Snitch and the Deprecation of Kernel Extensions
In order to be able to perform filtering of network traffic, Little Snitch 4 installs a kernel extension (the above mentioned “System Extension”) which is based on Apple’s “Network Kernel Extension” API (NKE).

This API will be deprecated in macOS 10.16 and replaced with a new “NetworkExtension” API (NE). Despite their similarity in name, these two APIs work very differently, so the underpinnings of Little Snitch do require a substantial rework.

Little Snitch 4 will not be loaded on macOS 10.16, but there will still be an option to allow the loading.

The replacements APIs that are currently available (NetworkExtension framework on macOS 10.15.4) are not yet completely sufficient to implement the full functionality of Little Snitch. But we are working closely with Apple to fill the remaining gaps and we expect that a beta version of macOS 10.16 (most likely available at the next WWDC) or even an upcoming version of 10.15 will provide what is missing. As soon as the APIs allow us, we will complete the transition of Little Snitch to the new NetworkExtension API. It’s our goal to provide a public beta in June 2020 and a stable version in October.
macos  kernel  firewall 
3 days ago by some_hren
SadeghHayeri/GreenTunnel: GreenTunnel is an anti-censorship utility designed to bypass the DPI system that is put in place by various ISPs to block access to certain websites.
GreenTunnel is an anti-censorship utility designed to bypass the DPI system that is put in place by various ISPs to block access to certain websites. - SadeghHayeri/GreenTunnel
vpn  firewall  privacy  freedom  internet  proxy  tool 
3 days ago by orlin
SadeghHayeri/GreenTunnel: GreenTunnel is an anti-censorship utility designed to bypass the DPI system that is put in place by various ISPs to block access to certain websites.
GreenTunnel is an anti-censorship utility designed to bypass the DPI system that is put in place by various ISPs to block access to certain websites. - SadeghHayeri/GreenTunnel
firewall  bypass  dpi 
5 days ago by pinterb
Technical Note: Disabling / Blocking QUIC Protocol to force Google Chrome to use TLS
QUIC is a transport layer protocol that has been developed by Google and even when it started to be implemented in 2013, is still in an experimental stage. This protocol was designed to replace TLS/SSL providing multiplexed connections between two endpoints over port UDP/ 443.

The main goal of this protocol is to optimize connection-oriented web applications currently using TCP and reduce transport latency avoiding congestion. However, due to the protocol is still in an experimental stage, it is not supported by Fortinet and causes some issues when SSL inspection profiles are needed to block specific websites or applications provided by Google itself.

The reason why this is affecting the filtering of apps and websites is because the most recent versions of Google Chrome browsers have QUIC enabled by default when connections to Google servers are established. For example, connections to Gmail, Google Translate, Google Drive, Google Maps, Google search engine, YouTube, Hangouts and more, are using QUIC instead of TLS when the connection is established through a Google Chrome browser.
google  network  quic  http2  http3  fortigate  firewall 
8 days ago by some_hren
UDP Flood от Google или как не лишить всех Youtube / Хабр
Пару минут общения с Корпорацией Добра — и все встает на свои места. В попытке улучшить скорость доставки контента компания Google еще в 2012 году анонсировала протокол QUIC, позволяющий убрать большую часть недостатков TCP (да-да-да, в этих статьях — Ррраз и Два говорится о совершенно революционном подходе, но, будем откровенны, хочется, чтобы фоточки с котиками загружались побыстрее, а не вот эти вот все ваши революции сознания и прогресса). Как показало дальнейшее исследование, на подобный вариант доставки контента многие организации сейчас переходят.
Проблема в моем и, я думаю, не только в моем случае оказалась в том, что пакетов в итоге идет очень уж много и файрвол воспринимает их как флуд.
Вариантов решения оказалось немного:
1. Добавить в список исключения для DoS Policy на файрволе скоуп адресов Google. При одной только мысли о диапазоне возможных адресов глазик начал нервно дергаться — отложена идея как бредовая.
2. Повысить порог срабатывания для udp flood policy — тоже не комильфо, а вдруг кто действительно зловредный прошмыгнет.
3. Запретить обращения из внутренней сети по UDP на 443 порт наружу.
Почитав дополнительно про реализацию и интеграцию QUIC в Google Chrome был принят как указание к действию последний вариант. Дело в том, что, любимый всеми повсеместно и беспощадно(не пойму за что, уж лучше наглая рыжая Firefox-овская морда будет получать за отожранные гигабайты оперативки), Google Chrome изначально пытается установить соединение с использованием своего выстраданного QUIC, но если чуда не происходит, то он возвращается к проверенным методам типа TLS, хоть и стыдится этого дичайше.
...
Почему нельзя исползовать например conntrack или правило на фаерволе, которое будет разрешать входящие udp пакеты с списка адресов.
Создать список:
ipset -N gquic_set nethash
Сам список адресов организовать с помощю ipset автоматическим добавлением в список правилом типа:

iptables -A FORWARD \
-p udp --dport 443 \
-s 10.0.0.0/8 \
-j SET --add-set gquic_set dst

Таким образом, хосты dst будут попадать в список, если клиент из внутреней сети 10.0.0.0/8 отослал пакет на 443 порт по udp.
Дальше по этому списку можно разрешать ходить пакетам.
dizaar
6 ноября 2019 в 23:48
+2
Конкретно в моем случае, Fortigate я не нашел возможности динамической генерации списка. Согласен, такой метод намного предпочтительней.
...
Современные реалии таковы, что самостоятельно блокировать дос-флуд на конечных узлах технически невозможно. Это должен делать или твой провайдер или соединяться с каким-то облаком безопасности, которое бы риал-тайм имело информацию о всех бот-сетях и проходящих атаках и автоматически конфигурировало бы ваши IPS-ки и файрволы. Но даже это лучше делать на стороне провайдера.
Максимум что сейчас можно сделать конечному хосту, это включить syn_cookies и начинать копить бабло на готовые облачные решения. Пытаться самому генерить какие-то листы на основе наколеночной эвристики — это создать больше вреда бизнесу и пользователям, чем пользы.
...
Везде, где есть 1е100 в домене, это тоже google. Так как он назван от числа с 100 нулями.
google  network  tcp  udp  protocols  security  fortigate  linux  firewall  ddos 
8 days ago by some_hren
Fail2Ban: how to unban IPs that are blocked?
Fail2ban is a great tool for server owners to automatically ban suspicious IP addresses in server firewall. Here are the steps to unban an IP in Fail2ban.
fail2bain  sshd  security  firewall  iptables  hardening  servers  linux  systemadministration 
10 days ago by setecastronomy

« earlier    

related tags

!p-🌔-counterantidisintermediation  -  2013  2014  2015  2017  2018  2019  2020  2fa  302  4th+++  a  accesspoint  ad  amazon  android  anonymous  ap  app  apple  apps  article  attack  avast  azure  bash  between  blindingly_useful  blogpost  browser  bundle  bypass  cheatsheet  children  china  cli  cloud  cloudcomputing  codes  compatibility  configuration  container  content  contentfilering  control  coreos  ct  ddos  deep  dev  development  direction  dns  docker  dpi  edgeos  edgerouter  endpoint  example  exploit  facebook  fail2bain  fail2ban  fedora  filter  firejail  firewalld  fortigate  forumthread  freedom  from  git  github  google.cloud  google  gpo  greentunnel  greynoise  gufw  guide  hacking  hardening  hardware  heise  home-security  homekit  homelab  how  howto  http  http2  http3  hub  hybrid  igmp  images  important  in  infosec  inspection  interface  internet  ios  iot  ip  iphone  ipsec  iptables  ipv6  issue  isv  kbase  kernel  kubernetes  lang:en  links  linux  littlesnitch  log  lps  mac  machines  macos  management  manual  microsoft  monitoring  move  mutliple  nas  nat  network  networking  node.js  node  nodejs  offline  online  openbsd  opensnitch  opensource  openwrt  opnsense  package  pc  pentesting  perapp  pfsense  php  policy  posh  preprocessing  privacy  protect  protocols  proxmox  proxy  python  quic  raspi  rdp  reference  remote  return  rfc  router  routing  rules  scanning  screenshots  script  security  selfhosted  server  servers  set  setup  smarthome  software  solution  sonicwall  sonos  ssh  sshd  stackexchange  stackoverflow  status  support  switch  sysadmin  systemadministration  tcp  tips  to  tool  tools  torr  tricks  tutorial  ubuntu  udp  ufw  unifi  up  ve  version  vlan  vpn  waf  wan  webapp  wifi  wikientry  wikipedia  windows  winrm  wireguard  wireless  workaround  wsl  your  zyxel 

Copy this bookmark:



description:


tags: