[TÓPICO DEDICADO] Redes Modulares, Roteadores e mini roteadores de Alta Performance - NanoPi, Raspberry Pi, Orange Pi, Banana Pi, x86 e etc.
- Iniciador de Tópicos xShARkx
- Data de Início
Opa!Opa! Mais uma Probezinha pra gente ficar pingando e tracertando o dia inteiro.
Quem sabe também sobe hoje a do @Snk B.
Globalping - Internet and web infrastructure monitoring and benchmarking
Run free latency tests and network commands like ping, traceroute, HTTP and DNS resolve on probes located worldwide.www.jsdelivr.com
Chuto que essa é a tua.
Minha sonda tá online! hehehe
Eu vou tirar a minha probe do ar (container docker). Tenho receio de que esse serviço do Global Ping possa ter alguma vulnerabilidade que possa ser explorada por algum "agente do mal" e transformar esses dispositivos numa botnet. Não que eu desconfie da Global Pint (certamente é idônea), mas o código que eles escrevem está rodando na minha rede interna (com acesso direto à LAN, onde em vários casos trafegam senhas sem criptografia como por exemplo o acesso aos roteadores e ao próprio VSOL via HTTP) e portanto qualquer vulnerabilidade que possa ter dará acesso completo à rede.
A própria arquitetura do Global Ping é parecida com a arquitetura "command and control", pois via o website é possível rodar comandos remotos como ping e traceoute. Qualquer falha no servidor deles pode permitir um hacker mandar eventulamente comandos que vão além desse. Claro que ao rodar num hardware separado ou no meu caso num container proporciona um isolamento adequado de outros softwares, mas ainda assim está rodando na rede interna.
Por exemplo, acabei de descobrir que o Global Ping usa o DNS configurado no meu roteador. Ele por exemplo tenta resolver os nomes locais que configurei (como por exemplo "router.home", mas pelo menos não permite ping e traceroute).
Bem, podem me chamar de paranóico, mas por enquanto vou desabilitar, se voltar a habilitar será numa VLAN separada sem acesso à minha rede local (mas aí precisa de um hardware dedicado, não sei se é possível colocar um container docker numa VLAN específica, pode ser que sim mas teria que pesquisar como fazer isso).
EDITADO: eles tem uma página de vulnerabilidades conhecidas abaixo. Porém por enquanto a lista está vazia...
https://github.com/jsdelivr/globalping-hwprobe/security/advisories
EDITADO 2: abaixo o checklist de segurança:
EDITADO 3: usando a probe AS28573 de Bento Gonçalves (do @capa_da_gaita?), rodei um traceroute e sei que:
1. Usa internet da Claro, pelo tempo de ping para o primeiro hop é provavelmente HFC
2. Está em CGNAT (pois IP do primeiro hop é 10.11.0.1)
3. O nome interno do roteador é router.lan
EDITADO 4: já a probe AS28573 de Jundiaí, da mesma maneira com um traceroute dá para descobrir que:
1. Usa internet da Claro, pelo tempo de ping para o segundo hop é provavelmente Claro Fibra
2. Está fora do CGNAT, IPv4 público provavelmente é 181.219.138.? (com base no default gateway 181.219.138.1)
3. O nome interno do roteador é pfSense.home (então está rodando pfSense).
Nenhuma informação muito importante, mas estão disponíveis para qualquer um na Internet e sinceramente não me sinto tranquilo em deixar isso aberto para qquer pessoa...
A própria arquitetura do Global Ping é parecida com a arquitetura "command and control", pois via o website é possível rodar comandos remotos como ping e traceoute. Qualquer falha no servidor deles pode permitir um hacker mandar eventulamente comandos que vão além desse. Claro que ao rodar num hardware separado ou no meu caso num container proporciona um isolamento adequado de outros softwares, mas ainda assim está rodando na rede interna.
Por exemplo, acabei de descobrir que o Global Ping usa o DNS configurado no meu roteador. Ele por exemplo tenta resolver os nomes locais que configurei (como por exemplo "router.home", mas pelo menos não permite ping e traceroute).
Bem, podem me chamar de paranóico, mas por enquanto vou desabilitar, se voltar a habilitar será numa VLAN separada sem acesso à minha rede local (mas aí precisa de um hardware dedicado, não sei se é possível colocar um container docker numa VLAN específica, pode ser que sim mas teria que pesquisar como fazer isso).
EDITADO: eles tem uma página de vulnerabilidades conhecidas abaixo. Porém por enquanto a lista está vazia...
https://github.com/jsdelivr/globalping-hwprobe/security/advisories
EDITADO 2: abaixo o checklist de segurança:
EDITADO 3: usando a probe AS28573 de Bento Gonçalves (do @capa_da_gaita?), rodei um traceroute e sei que:
1. Usa internet da Claro, pelo tempo de ping para o primeiro hop é provavelmente HFC
2. Está em CGNAT (pois IP do primeiro hop é 10.11.0.1)
3. O nome interno do roteador é router.lan
Código:
Bento Goncalves, BR, SA
-
Claro NXT Telecomunicacoes Ltda (AS28573)
Time:
63 ms (average)
traceroute to www.google.com (142.250.219.164), 20 hops max, 60 byte packets
1 router.lan (192.168.1.1) 0.627 ms 0.777 ms
2 10.11.0.1 (10.11.0.1) 12.530 ms 12.448 ms
3 bd07a2f1.virtua.com.br (189.7.162.241) 12.985 ms 13.077 ms
4 embratel-T0-2-0-0-2-agg02.cslnet.embratel.net.br (189.23.36.21) 20.116 ms 20.161 ms
5 200.230.29.229 (200.230.29.229) 64.045 ms 64.194 ms
6 ebt-B1511-tcore01.ctamc.embratel.net.br (200.230.251.218) 68.936 ms 69.070 ms
7 ebt-B10-tcore01.ctamr.embratel.net.br (200.230.231.74) 65.053 ms 65.048 ms
8 * *
9 ebt-B2111-tcore01.rjo.embratel.net.br (200.230.251.1) 61.994 ms 62.008 ms
10 ebt-B211-agg03.rjo.embratel.net.br (200.244.18.8) 60.710 ms 60.725 ms
11 peer-B54-agg03.rjo.embratel.net.br (201.39.52.58) 57.559 ms 57.505 ms
12 142.250.39.225 (142.250.39.225) 53.402 ms 52.356 ms
13 142.250.39.227 (142.250.39.227) 53.545 ms 53.512 ms
14 209.85.250.109 (209.85.250.109) 49.921 ms 54.590 ms
15 172.253.67.189 (172.253.67.189) 54.361 ms 54.388 ms
16 108.170.245.161 (108.170.245.161) 61.703 ms 62.171 ms
17 142.251.76.105 (142.251.76.105) 64.841 ms 64.834 ms
18 gru06s63-in-f4.1e100.net (142.250.219.164) 62.880 ms 62.873 msEDITADO 4: já a probe AS28573 de Jundiaí, da mesma maneira com um traceroute dá para descobrir que:
1. Usa internet da Claro, pelo tempo de ping para o segundo hop é provavelmente Claro Fibra
2. Está fora do CGNAT, IPv4 público provavelmente é 181.219.138.? (com base no default gateway 181.219.138.1)
3. O nome interno do roteador é pfSense.home (então está rodando pfSense).
Código:
Jundiai, BR, SA
-
Claro NET (AS28573)
Time:
15 ms (average)
traceroute to www.google.com (172.217.28.228), 20 hops max, 60 byte packets
1 pfSense.home (192.168.1.1) 0.173 ms 0.171 ms
2 b5db8a01.virtua.com.br (181.219.138.1) 11.561 ms 12.396 ms
3 bfbc64c1.virtua.com.br (191.188.100.193) 2.526 ms 2.521 ms
4 10.212.104.81 (10.212.104.81) 2.775 ms 2.768 ms
5 b39a65d5.virtua.com.br (179.154.101.213) 2.762 ms 2.755 ms
6 embratel-H0-4-0-1-4003-agg01.jaigc.embratel.net.br (189.43.174.1) 2.798 ms 2.792 ms
7 200.230.4.21 (200.230.4.21) 13.857 ms 13.851 ms
8 * *
9 ebt-B2111-tcore01.rjo.embratel.net.br (200.230.251.1) 12.007 ms 12.001 ms
10 ebt-B211-agg03.rjo.embratel.net.br (200.244.18.8) 13.059 ms 13.054 ms
11 peer-B54-agg03.rjo.embratel.net.br (201.39.52.58) 12.549 ms 12.527 ms
12 142.250.39.225 (142.250.39.225) 12.095 ms 12.065 ms
13 142.250.39.227 (142.250.39.227) 12.764 ms 12.737 ms
14 142.251.245.155 (142.251.245.155) 11.815 ms 11.795 ms
15 216.239.54.142 (216.239.54.142) 14.939 ms 14.933 ms
16 74.125.243.1 (74.125.243.1) 15.370 ms 15.935 ms
17 209.85.246.137 (209.85.246.137) 12.651 ms 12.624 ms
18 gru14s05-in-f4.1e100.net (172.217.28.228) 14.576 ms 14.553 msNenhuma informação muito importante, mas estão disponíveis para qualquer um na Internet e sinceramente não me sinto tranquilo em deixar isso aberto para qquer pessoa...
Última edição:
Não estou em cgnat, nome do router é router. O acesso se dá via API da globalping, pra um hacker mandar comandos que façam outra coisa além dos permitidos teriam que ter acesso ao servidor da API e alterar as rotas. Uma tarefa e tanto.
Não mesmo.Bem, isso prova que para hacker eu não sirvo!
Sobre a rede interna: uso uma faixa de rede diferente para essas coisas públicas, bloqueio no firewall o roteamento para a rede "privada". Se algum hacker conseguir romper isso eu considero que pode levar tudo, afinal mereceu pelo esforço.
Edit: acho que não é possível saber o IP público com um traceroute pois o primeiro salto é o router e o segundo é o gateway da operadora.
No meu caso (Claro Fibra) veja o traceroute (editei o 999, na real é outro valor):
Código:
traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 52 byte packets
1 router (192.168.1.1) 4.969 ms 3.965 ms 4.781 ms
2 c925aXXX.virtua.com.br (201.37.999.1) 6.607 ms 5.795 ms 5.848 ms
(...)O meu default gateway é 201.37.999.1, e meu IP público só muda o .1 para 201.37.999.261 por exemplo.
Como eu rodo o GlobalPing em uma VM no MiniPC, eu configurei uma VLAN separada para ela.
Pessoal estou querendo comprar um domínio mas estou em dúvida onde pegar um, inicialmente iria de GoDaddy mas vi o IONOS e achei interessante o preço por oferecer também um certificado SSL e email num valor semelhante ao domínio na GoDaddy, alguém conhece esse register ou tem alguma indicação?
Pretendo publicar na internet alguns serviços na internet e queria me precaver a segurança, o server vai ser um appliance rodando OPNSense na minha casa, tenho que fazer alguma configuração a mais ou o filtro padrão block-all já serviria ao caso?
Pretendo publicar na internet alguns serviços na internet e queria me precaver a segurança, o server vai ser um appliance rodando OPNSense na minha casa, tenho que fazer alguma configuração a mais ou o filtro padrão block-all já serviria ao caso?
Eu uso a namecheap pros meus domínios "normais".
Eu uso registro br mesmo e a cloudflare para gerenciar ele tanto os tunnels zero trust como o email
o site é o namecheap.com mesmo? tentei acessar do pc main aqui de casa que tem kasperksy e falou que tem cert expirado, não sei se pode ser falso alarme mas para acontecer isso aqui é sempre em site realmente não muito confiável kkk
edit: Na verdade foi meu ADGUARD que de alguma forma caiu no filter controle parental, sim, de sites adultos huahuahauhauh
Versão estável 23.05.0 do OpenWrt já foi "taggeada" no GIT e os builds estão sendo feitos nesse momento. Release oficial deverá anunciada no sábado:
precisa esperar sair a versão do firmware do meu roteador? ou posso instalar a versão global?Versão estável 23.05.0 do OpenWrt já foi "taggeada" no GIT e os builds estão sendo feitos nesse momento. Release oficial deverá anunciada no sábado:
não existe versão global do openwrt, cada dispositivo e arquitetura tem sua build única e própria.
vou falar uma coisa, as vezes é melhor esperar coisa de 4 a 7 dias depois de um lançamento do openwrt pra atualizar/intalar a versão, pq geralmente os pacotes extras levam um tempo maior pra copilar.
OpenWrt Firmware Selector
deixei rodando o container do globalping por uns dias,
mas notei que tem um monte de request http pra dominio que resolve ip.
dai peguei uma das requests recentes no log do container,
e vi se vc for ao site do globalping fazer um request http pra esses dominios, como a gente normalmente faz pra atualizar um ddns,
ele devolve o ipv4 da probe.
desliguei o container depois disso.
ao menos foi bom pra ter uma ideia da latencia dos provedores por aqui.
poderia explicar o que vc fez? onde fez a consulta que retorna o IP da probe ?
O método mais pratico é fazer uma consulta HTTP para o domínio ifconfig.me
Ou qualquer outro domínio que envie o IPv4 de quem fez a requisição.
Se você adicionar "/ip" no "path" você consegue pegar apenas o IPv4 da probe. (Reduz bastante o resultado HTTP.)
Última edição:
Pessoal, boa noite! Estou procurando um roteador melhor para usar na minha internet, 1000/500 da Flix/Vtal. Estou pensando em fazer o esquema do VSOL ou usar um stick SFP para substituir a ONU original. Como é 1000/500, estava pensando em partir logo para um roteador com porta 2.5Gbps, e comprar uma placa de rede 2.5Gbps também.
Dando uma pesquisada, tanto aqui no tópico como na internet em geral, parece que a melhor escolha na faixa dos 400~500 reais seria um NanoPi R5S. Estou certo? Queria aproveitar e comprar antes do remessa conforme.
Atualmente eu tenho um TP Link Archer AX10 que uso apenas como AP, não sei se ele tankaria 1000/500 com um bufferbloat satisfatório.
Dando uma pesquisada, tanto aqui no tópico como na internet em geral, parece que a melhor escolha na faixa dos 400~500 reais seria um NanoPi R5S. Estou certo? Queria aproveitar e comprar antes do remessa conforme.
Atualmente eu tenho um TP Link Archer AX10 que uso apenas como AP, não sei se ele tankaria 1000/500 com um bufferbloat satisfatório.
ah sim, consegue obter o IP da probe.
qual seria o problema nisso?
qual seria o problema nisso?
expor seu ipv4
Em questão de segurança? Quase nenhum, desde que você não tenha nenhum serviço aberto ao público o máximo que acontece é expor o seu IPv4.
O meu medo de rodar essas probes é de alguém abusar do serviço e realizar ataque DDOS ou algum tipo de ataque brute-force usando a sua própria conexão.