@REXus
jaka jest realna szansa włamu
100%, raczej powinieneć pytać o czas w którym do tego dojdzie.
wystaw sobie ssh na raspberry pi i zobaczysz jak szybko małe chińskie rączki pukają do Twych drzwi 😃
Mam reverse proxy na którym wystawiam dwie aplikację a resztę żądań (na mój IP ale nie na zdefiniowane vhosty) przerzucam na duckduckgo i musiałbym CI pokazać ile-set megabajtów ma dzienny access.log 😃
a najpierw przestawieniem na jakiś pięcocyfrowy) portu rejestratora
zapomnij- w najlepszym wypadku botom zajęło dwa dni rozpracowanie że ssh nasłuchuje u mnie na porcie 22022.
i narobienia szkód w sieci wewnętrznej.
Jest takie powiedzenie- jeśli ktoś ma fizyczny dostęp do Twojego komputera- to już nie jest Twój komputer. Podobnie ma się sprawa z siecią. Przynajmniej ja do tego podchodzę bardzo na serio.
Temu możesz spróbować wdrożyć koncept DMZ - czyli takiej strefy sieci domowej która widoczna jest ze świata, z sieci wewnętrznej, ale ona NIE widzi Twojej sieci wewnętrznej.
Ja do takiego DMZu np mam wpięty firmowy komputer - bo traktuję go jako obce urządzenie w sieci. A nuż któryś admin będzie się nudził i odpyta cały zakres poszukując np zasobu SMB 😜
Mam też inny segment w którym siedzi np NAS - on widzi całą sieć domową i sieć domowa widzi jego, ale on nie ma łączności z internetem i lamentuje że nie może pobrać aktualizacji 😛 Ale dzięki temu wiem że jakich metryk nie zbierałby - nie zadzwoni do bazy i nie sprzeda mnie.
Także jakbyś pytał mnie o zdanie - tylko i wyłącznie VPN na chatę.
@REXus google nawet w starej wersji (chyba 9 czy 10) już postanowiło że VPNy będą "nielegalne".
Zjadłem zęby na eskponowaniu swojej sieci przez PPTP i L2TP+IPSec i konkluzje mam takie że jest to gówno warte na androgównie.
Pierwszy wiadomo - obsolete, ale dzieje się dokładnie to samo co z drugim. Czyli połączenie nawiązuje się i śmiga jak wściekłe, do pewneo momentu.
Po prostu komunikacja zamiera i Android nie wykrywa że pakiety wysłane nie doczekują odpowiedzi. Po prostu pcha cały ruch w devnulla a Ty dowiesz się o tym dopiero wtedy jak ziomek zadzwoni czego od 3h nie odpisujesz na telegramie ;d.
Po stronie mikrotika wygląda to tak jakby android niczego nie wysyłał. Połączenie jest nawiązane, niezerwane, ale bez ruchu w środku.
Troubleshooting tego to bół w d⁎⁎ie, bo zwiechy dzieją się między 15-240 min od nawiązania, Pod warunkiem że nie używasz tego łącza intensywnie. Przykładowo obejrzysz 10h kompilację nyancata, ale spróbuj zapauzować i wyskoczyć do żabki po zupę chmielową gdzie po drodze spotkasz znajomego z roboty.
Pingi nie lecą w obie strony. Tyle co zdążyłem ustalić przez 3 tyg podjęcia rękawicy.
Także popierwam przedmówcę - wireguard i zapominasz o problemach. Mikrotikowa implementacja (w przeciwieństwie do openvpn) jest bardzo przywzwoita, nie brakuje jej ficzerów i jest niezawodna.Przepustowością nie ustępuje przenatowanej na publiczny IP implementacji linuksowej.