Мой роутер

А почему именно arj?

Так вышло.

Написать самому проще чем проводить аудит линукса или ещё чего-то огромного

Вряд ли ты аудит ДОСа проводил, а уязвимости могут быть и в нём.

Именно как скрин для главной, на мой взгляд, большого интереса не представляет. Вот если б ты выложил исходники своего «монолитного бинарника на турбо-паскале + ассемблере», это была бы действительно хорошая тема для обсуждения и имела бы непосредственное отношение хотя бы к opensource.ru. :)

Почему не FreeDOS?

Дос участвует только для чтения конфигов, какие уязвимости в нём могут быть?

Именно как скрин для главной, на мой взгляд, большого интереса не представляет

Думаю да. Я и не претендую на подтверждение в целом, просто выложил т.к. спросили.

Потому что залил то что было под рукой. Я кстати не помню какая там версия доса, есть вероятность что 5.0. А может и 7.х.

Идея с публикацией исходников тебя не прельщает? :)

Не думаю что они кому-то будут интересны кроме как экспонат музея.

Это что d-link dsl-2500? Ты в глуши за уралом живешь?

псевдографический оконный интерфейс и базовые утилиты типа шелла, телнета, сниффера и http-браузера - самописные в виде монолитного бинарника

Скрины?

А в целом - голова! Я как-то посмотрел, описание не прочитав, решил что очередной linux-гроб.

Предлагаю помимо кнопки «Уведомить модераторов» добавить «Уведомить санитаров»
Какова производительность роутинга на одном ядре?
Использовать ДОС для фс в 32битном коде, особенно из рамдиска наверно не лучшая идея, всё же вызов 8битных сисколов - дорогая операция

А что по железу? Скины или фото ОС будет?

Создай второй спецтопик для санитаров.

Что же касается остального, то, во-первых, повторюсь, фс там только чтоб прочитать несколько кб конфигов. Во-вторых, код 16-битный с 32-битными вставками (в основном аллокатор сетевых буферов), и всё это в реальном режиме.

Производительность маленькая, но не из-за одного ядра (так то и pentium4 вполне может гигабит роутить), а из-за того что это в первую очередь фильтр трафика по белым спискам, а не просто роутер. В частности, tcp-пакеты насквозь не идут, они парсятся, собираются в поток и затем генерятся уже новые, чтобы исключить приход из внешней сети чего-то битого/неожиданного в tcp/ip-метаданных, которые окажется какой-то дырой или бекдором в изолированной с помощью роутера ОС.

зачем ты эти абзацы текста генерируешь, вместо того чтобы просто показать код?

Чуваки, его ж задидосить можно с одного коннекта!

Ни в коем случае не надо его ддость, он и так «наказан»

Держу пари, что никакого кода на паскале и ассемблере под досом нет в природе.

Ну до 1 апреля то ещё далеко :)

Ну либо на лоре самозародился дух создателя TempleOS, либо автору дата не мешает брехать =)

это в первую очередь фильтр трафика по белым спискам

Тваюжмать, всё намного серьёзнее, чем я даже предполагал…

tcp-пакеты насквозь не идут, они парсятся, собираются в поток и затем генерятся уже новые, чтобы исключить приход из внешней сети чего-то битого/неожиданного в tcp/ip-метаданных, которые окажется какой-то дырой или бекдором в изолированной с помощью роутера ОС.

Вот тут то и проблема. Если бы твоё объяснение было «просто по приколу сделал, чтобы проверить свои возможности сетевого программирования» - вопросов бы не было, а так их более чем масса.

просто по приколу сделал

Делать мне нечего как про приколу тратить кучу времени. Делалось именно в целях обеспечения сетевой безопасности (хотя ладно, браузер наверно всё-таки по приколу, но он много времени не занял, там даже https нет), учитывая тот факт что у меня нет ни своего микроэлектронного завода, ни даже ресурсов на аудит опенсорсных ОС.

И ты зря удивляешься tcp-фильтру, какие-то уязвимости именно в парсере входящих пакетов я где-то припоминаю, не то в линуксе, не то в бсд, а может и там и там. А уж чего может оказаться в оффтопиках страшно представить.

Делалось именно в целях обеспечения сетевой безопасности

какие-то уязвимости именно в парсере входящих пакетов я где-то припоминаю, не то в линуксе, не то в бсд, а может и там и там.

припоминаю

то ли

О том я как раз и говорю. Неуиение даже на минималках просчитать модель и вероятность угроз и вместо этого писать свой велосипед везде.

Очевидно, модель и вероятность я просчитал и пришёл к выводу что надо что-то предпринимать по этому поводу.

вместо этого писать свой велосипед везде.

Твой негатив по поводу самостоятельной реализации нужных вещей я не разделяю.

Очевидно, что нет, 15 лет назад про аппаратные закладки в PC ничего не говорили практически, однако ты их предусмотрел и внёс в модель угроз, ага.

Твой негатив по поводу самостоятельной реализации нужных вещей я не разделяю.

Ты зачем-то подменяешь понятия.

Ну, я не помню что там где тогда говорили, но я на тот момент их считал актуальными. Точно уже не вспомню откуда, по скорее всего дело было так: представил себя на месте злоумышленника с большими ИТ-ресурсами (скорее всего не 1 человек а организация), и подумал как бы я организовал негласное получение нужной информации с нужных чужих хостов по всему миру.

но я на тот момент их считал актуальными.

В этом и суть.

Даже сейчас вероятные закладки в оборудовании общего пользования (коим является обычный PC) ИМХО практически невозможно использовать удалённо и они не представляют какой-либо хоть сколь значимой проблемы для физика (да и для подавляющего числа юридических лиц). А ты на тот момент считал их актуальными и продолжаешь этим объяснять то, что ты наделал сетевой комбайн. Однако перед этим комбайном стоит длинк и после него, исходя из твоих описаний тут, зоопарк железа и софта (в т.ч. старого), Даже учитывая то, что модель/вероятность угроз для тебя совершеннно неприменима, ты не усиливаешь стойкость всех звеньев, а вложился в усиление одного.

Сетевой стек на турбопаскале — это мощно. HTTP-браузер (особенно нужный на серверной железяке, конечно) на нём же — тем более.

Код в студию! Можно затереть особо критичные в плане безопасности места, если уж так стрёмно.

Ты как-то смешал всё в кашу.

Во-первых, касательно длинка. Я конечно не питаю иллюзий по поводу его безопасности, но я тебе уже писал - считай его оборудованием на том (внешнем) конце аплинка. Ты ответил что так нельзя, но почему нельзя - объяснить затруднился. Мой софт был как раз вставлен между этой коробкой (на тот момент там был не dlink а что-то другое, но не суть) и потенциально дырявым компом, чтобы не дать им кооперироваться. Остаются утечки по воздуху (через излучение шиной материнки, или издавание каких-то звуков), вот про них я не думал да.

Во-вторых, закладки в железе конечно не сами по себе, но они могут использоваться в комплексе с другими, для обхода проблемных мест.

Насчёт звеньев - их в идеале всего два - защитный роутер и целевое устройство. Весь трафик с устройства попадает только в роутер, и тот дальше решает что с ним делать. Для бытового десктопа такая схема не используется, да, у него меньше требования, но причин из-за этого менять уже работающий свой роутер на что-то другое не вижу. Всё равно мне проще настраивать именно его, а не что-то мейнстримное. А насчёт «усиления всех» - ну, я давно убрал с них оффтопик, рандомные бинарники и curl | bash с инета не запускаю, разделение прав по юзерам и файрволлы настроил, итд. Для фрибсд ядерный патч для предотвращения побега из jail-а при определённых обстоятельствах сделал. Что ещё можно сделать? Дальше опять только свою ОС писать, или своё железо делать.

Есть на ютубе такой чел — Action Retro. И показывал он давеча такую приблуду, являющуюся по сути Wi-Fi-шлюзом для устройств, у которых есть только COM-порт. Он даже с Apple IIe через эту приблуду в BBS сидел и в MUD по телнету играл. Потроха у этого шлюза опенсорсные на ESP32. Может, стоит на нечто подобное внимание обратить, а не x86 мучать с его жутким энергопотреблением и аппаратными косяками и бэкдорами? А в качестве терминала к такому можно использовать хоть спектрум, хоть эппл2, хоть БК-0010, уж он-то точно без жучков будет.

Ты как-то смешал всё в кашу.

Нет, я пытался достать из каши информацию, получилось как получилось :)

Мда, из здравого для домашнего использования только «curl | bash», ну и оффтопик (хотя он иногда бывает нужен), остальное + объяснение прям совсем такое…

Как учебное пособие «как сварганить сетевой стек с нуля», например.

Хотя, конечно, зависит от того, как там код организован… Может, в исходниках условного BuguRTOS будет легче разобраться…

от кого защищаешься?
капец, гоняет фаервол на паскале под досом, боясь каких-то мифических «закладок», но при этом воротит нос от ВПН, отдавая весь свой трафик роскомпозору в реалтайме.

клован.жпг (лень тыкать)

Переадресую тебе наезды димеза про неспособность построить модель атак.

О том я как раз и говорю. Неуиение даже на минималках просчитать модель и вероятность угроз и вместо этого писать свой велосипед везде.

Интерпретация (в соответствии с некой моделью, например, по rfc) и последующее реконструирование данных - это вполне себе взрослая тема, как раз в контексте сетевой безопасности. Понятно, что ТС не решает аналогичную задачу для более высоких уровней сетевого стека (не парсит и не реконструирует tls, http, передаваемые по http файлы различных форматов, и тд и тп), но если говорить узко об аппаратных закладках в сетевом оборудовании, то они тоже где-то на уровне udp/tpc пакетов функционировать должны. Это интересно и как часть более обширного комплекса мер безопасности, и просто в качестве упражнения по изучению сетевых протоколов.

Очевидно, что нет, 15 лет назад про аппаратные закладки в PC ничего не говорили практически, однако ты их предусмотрел и внёс в модель угроз, ага.

Говорили. И не только говорили, но и делали. Например, Эльбрусы делали как раз из тех соображений, что без них нас поимеют на аппаратных закладках.

Пример холивара от 2011 года про закладки в интеловских процессорах - https://forum.ixbt.com/topic.cgi?id=8%3A21980&text=%E7%E0%EA%EB%E0%E4&amp... (14 страниц срача, с участием ведущих либероидных непараноиков и космополитов)

Но говорили об этом гораздо раньше, просто лень искать

Это интересно и как часть более обширного комплекса мер безопасности

Для домашнего интернета?

и просто в качестве упражнения по изучению сетевых протоколов.

Собственно, я это выше уже писал Мой роутер (комментарий)

Говорили. И не только говорили, но и делали. Например, Эльбрусы делали как раз из тех соображений, что без них нас поимеют на аппаратных закладках.

Ты опять либо путаешь, либо намеренно приравниваешь госзаказ и роутер для домашнего интернета.

Но зачем

Раньше был freesco, который бутился с дискеты и мог пищать крафтверк спикером при получении адреса от dhcp сервера.

Но зачем

Because I can и just for fun.

У него кстати не только for fun,а еще и работает много лет уже.

Человек может сделать нечто работающее и ему полезное - берет и делает. Я например гораздо ленивее чем он и мне из-за этого стыдно. Потому что могу много,а делать - мотивационные трудности мешают(говорить «лень» теперь неполиткорректно).

Когда один финн писал ядро для своей ОС - тоже неочевидна была его практическая полезность.

Ты какую-то ерунду написал, с какой стороны ни посмотри. Придумав факты и сделав из них неправильный вывод даже если факты вдруг правильные.

Какой аргументированный комментарий, могёшь, умеешь!

Разве что если автор обсуждаемого программно-аппаратного арт-объекта стал о нем рассказывать то логично было бы и архив с исходниками выложить куда-нибудь в общедоступное место чтобы народ мог заценить. А может и подсказать чего полезного.

Ты опять либо путаешь, либо намеренно приравниваешь госзаказ и роутер для домашнего интернета.
Для домашнего интернета?

Дело же не в госзаказе, а в том, что вопрос аппаратных закладок в массовом железе широко обсуждался. Вполне логично, что кто-то захотел не только пообсуждать, но и попробовать реализовать (хоть какие-то, частичные) контрмеры.

Те, кто производит чипы с бэкдорами, не могут делать это избирательно. Они выбрасывают чипы на рынок, массово, и дальше должны полагаться на то, что эти чипы в составе каких-то железок так или иначе попадут в интересующие их страны, в критическую инфраструктуру, к воякам, и так далее.

И активация kill switch в этих чипах тоже будет не очень избирательной. Не всегда легко различить, дома у тебя этот чип работает, или где-нибудь на электростанции или в военной части. Так что домашние железки вполне себе в зоне риска находятся.

Они выбрасывают чипы на рынок, массово, и дальше должны полагаться на то, что эти чипы в составе каких-то железок так или иначе попадут в интересующие их страны, в критическую инфраструктуру, к воякам, и так далее.

Статистически и логически выглядит крайне малореально. Партии не отследить, соответственно, железо может попасть вообще куда угодно, а не только в интересующие их страны, в критическую инфраструктуру этих стран.

Второе - такой план абсолютно невозможно будет сдержать в секрете, о нём надо будет знать сотням или даже тысячам людей - через некоторое (крайне небольшое) время он 100% выплывет наружу.

Ну смотри:

1) ты выдумал своё утверждение о том, что целевым его назначением при первоначальной разработке было «роутер для домашнего интернета»

2) ты выдумал какие-то рассуждения про госзаказ

3) на основании этих двух выдуманных фактов ты делаешь ещё более ложный вывод о том, что «ну раз так, то безопасность не требуется»

Кстати, руководствуясь твоей логикой в третьем утверждении, следует отказаться от использования ssh и ходить телнетом везде, кроме государственно- или хотя бы бизнес-значимых проектов. И такой подход даже прокатит в подавляющем большинстве случаев - вряд ли кто перехватит plaintext пароли к чьему-то малонужному vps с сайтом-визиткой. А многие кстати их так и шлют до сих пор, пользуясь легаси фтп на шаред хостингах.

ты выдумал

Вообще-то ты сам это указал на прошлой странице: «Первоначальное назначение этого софта было hw-файрволл который точно без закладок и выполняющий ровно то что хочу я». Я не вижу там ничего более, исхожу из того, что написано.

в каком-то из моих комментов

Супер аргумент.

ты выдумал какие-то рассуждения про госзаказ

Про «госзаказ» я не с тобой переписывался.

«ну раз так, то безопасность не требуется»

Кстати, руководствуясь твоей логикой в третьем утверждении, следует отказаться от использования ssh и ходить телнетом везде, кроме государственно- или хотя бы бизнес-значимых проектов.

А, к нам приехал демагогический приём «доведение до абсурда», ещё более великолепно.

Супер аргумент.

Да, коммент я сам не нашёл, поэтому стёр эту часть.

Первоначальное назначение этого софта было hw-файрволл который точно без закладок и выполняющий ровно то что хочу я

А вот ты походу и нашёл этот коммент. Вот слово «первоначальное», подразумевает что есть ещё какое-то, которое стало потом. И это «потом», видимо, как раз домашний роутер. А первоначальное, как видно из текста, было устройством сетевой защиты, в котором роутинг был лишь затем что без него ничего бы не получилось. Ну а раз он уже есть, почему бы его не использовать и в качестве просто роутера.

А, к нам приехал демагогический приём «доведение до абсурда», ещё более великолепно.

Да нет, не абсурда. Я там даже дописал в конце уточнения - этот так называемый абсурд и по сей день живёт, и я даже на лоре встречал его защитников (в ответ на мои комменты что нешифрованное фтп нельзя использовать нигде кроме своей локалки). Просто в какие-нить условные 80-е об этом вообще не задумывались, сейчас уже в целом до масс дошло что удалённые консоли шифровать обязательно, когда-нить потом дойдёт и необходимость избегать аппаратных закладок, хотя бы в тех случаях где это можно сделать относительно малыми затратами.

Пишу (если что, хоть бинарник и моноплитный, но оно модульное через ООП, каждая «прога» - отдельный объект). Ну ладно, тут ещё можно заявить будто я недостаточно компетентен для такого и спорить, но чего я точно не делаю так это не встраиваю намеренные бекдоры.

И это ты делаешь на работе, в рабочее время и за деньги? Так? Это наверное самый всратый способ зацепиться за место в конторе. Уважаю люто.