1.

[martin74]

простите, а если запретить нетбиос - самба как работать будет?

[Дегтярев Илья]

простите, а если запретить нетбиос - самба как работать будет?

CIFS называется.

А нетбиос и rpc (135 порт) банить на абонентском порту однозначно.

[HunterXXI]

Зачем вообще использовать нетбиос? Отключать у юзеров все настройки типа клиент сетей микрософт и прочее. Доступ только по IP/ Виндовые шары выложить на локальном сайте типа \\10.0.0.0\Films_rus\

 

[Дегтярев Илья]

Бедные пользователи провайдера, вынужденные запоминать еще и какие то цифры компов.

 

Решение:

1) По dhcp отдаем msовский vsa отрубающий netbios

2) Отдаем домен local

3) Регаем имя запросившего из запроса в зоне local

4) На порту в любом случае режем вообще весь броадкаст от клиента кроме dhcp запросов

5) Не igmp мультикаст тож режем, igmp через mvr в вилан с телеком.

6) ARP inspect не дает прописать юзеру левые настройки.

7) Через 10 мин после dhcp запроса поисковик индексирует все расшаренное клиентом. Если есть проблемы с доступом (требует логин-пароль) - оставляем запись в личном кабинете.

Самба закрытая паролем запрещена.

8) В каждой подсети оставляем один гарантированно свободный адрес. Снифером мониторим arp запросы на него. Если придут 2 запроса с интервалом количество ипов*4 или *0,5 сек - закрываем ему на порту доступ по самбе и в личном кабинете предупреждения чтоб лечился от вирусов.

Изменено 19 марта, 2009 пользователем Дегтярев Илья

[shicoy]

подскажите каким vsa отрубаете netbios у пользователя?

и снифирите все сети? или у вас их немного? я просто не представляю как сниферить порядка 30 подсетей с 400Мбит/сек трафиком в каждой.

[Дегтярев Илья]

1) Не вспомню, гуглите)

2) Там броадкаста+неизвестного мульткаста/юникаста не более 5 мбит с района, так на портах центра выставлено.

И считает его стоящая в воздухе (подключена 1 портом) l2 циска.

 

ARP более мегабита тож быть не может. Ибо на узлах arp inspect их до n штук срежет в секунду с дома.

[snark]

простите, а если запретить нетбиос - самба как работать будет?

CIFS называется.

А нетбиос и rpc (135 порт) банить на абонентском порту однозначно.

список портов для закрытия netbios, но разрешения работы cifs огласите, пожалуйста

[Дегтярев Илья]

permit 20-23,80,111,443,445

deny 1-1024,3128,8000,8080.

 

Инет через vpn и ограничение на него не действует. Другого в локалке не живет.

[sirmax]

побил нетбиос недавно, жалоб нет.

Судя по всему им реально никто не пользуется.

 

[RomanCh]

permit 20-23,80,111,443,445

deny 1-1024,3128,8000,8080.

Эээ, а DNS тоже через VPN ходит? Как-то не совсем красиво ИМХО: нет VPN - нет DNS.

[SmokerMan]

Есть DNS, есть ip over DNS...

[RomanCh]

Есть DNS, есть ip over DNS...

Это здесь при чём? Вопрос был не к вам и как мне кажется - вы его не поняли.

[Dyr]

permit 20-23,80,111,443,445

deny 1-1024,3128,8000,8080.

Эээ, а DNS тоже через VPN ходит? Как-то не совсем красиво ИМХО: нет VPN - нет DNS.

+1, тоже удивило такое тотальное закрытие 1-1024. DC+ не пользуйся, NTP не пользуйся, почтой не пользуйся, SSH перекидывай... Ну нахрен такого провайдера, сказал бы я на месте клиента.

[i.zhuvakov]

Маленький факт в пользу нетбиос :)

И вирусов.

После внедрения правильной маркетиновой политики 30% (примерно) юзеров купило у нас лицензионные антивири. Т.е. подсели на иголку. + аутсорс. Без учета аутсорса по продажам ПО арпу юзерский вырос на 2 бакса. Мало? Но зато вырос :)

[SmokerMan]

Маленький факт в пользу нетбиос :)

И вирусов.

После внедрения правильной маркетиновой политики 30% (примерно) юзеров купило у нас лицензионные антивири. Т.е. подсели на иголку. + аутсорс. Без учета аутсорса по продажам ПО арпу юзерский вырос на 2 бакса. Мало? Но зато вырос :)

Какие антивири продаете? Что подразумевается под правильной политикой?

[i.zhuvakov]

Антивири Касперский 2009 инет секурити 5 пользователей.

правильная политика - ориентированная на увеличение продаж :)

Надо чтобы люди поняли необходимость и сами хотели, а не считали, что вы им навязываете.

 

[SmokerMan]

И абоненты при одном домашнем компе реально понимают необходимость лицензии на 5 пользователей?..

[i.zhuvakov]

гм, покупают-то они за 1\5 цены коробки :)

Так просто удобнее работать :)

[SmokerMan]

гм, покупают-то они за 1\5 цены коробки :)

Так просто удобнее работать :)

Это легальный механизм работы с касперским?.. Я не язвительности для, на самом деле интересно :-)

[i.zhuvakov]

Да легальный.

Лицензия комерческая на 5 компов, собрались юзеры сами или вы их организовали (читай поставили им сей софт) люди скинулись и купили.

Ключевое чтобы 1 ключ не был активирован более чем на 5 компьютерах одновременно. В этом случае ключ видит только работник установщика.

Для продвинутых и особо умных юзеров - однопользовательские коробки. Пусть сами хранят свои ключи.

[SmokerMan]

Вы ногами ходите устанавливать?

[i.zhuvakov]

Да ногами.

Есть человек для этого :)

[Bond]

прога есть такая ftpdrive, ставишь и замечательно работает можно смотреть фильм любым плеером прям с фтп через созданный диск в винде.

элементарное решение проблемы.

http://rapidshare.com/files/165995591/ftpdrive.zip

Прога эта уже давно не работасет с виндой SP 2 and 3

[Дегтярев Илья]

+1, тоже удивило такое тотальное закрытие 1-1024. DC+ не пользуйся, NTP не пользуйся, почтой не пользуйся, SSH перекидывай... Ну нахрен такого провайдера, сказал бы я на месте клиента.

У пользователя на интерфейсе виртуальный ип. По впн - реальный.

Данные порты закрыты только для пакетов с виртуального на виртуальный. Так что никого не ущемляет. У провайдерских сервисов адреса реальные, так что и чат, и днс спокойно работают.

 

[RomanCh]

У пользователя на интерфейсе виртуальный ип. По впн - реальный.

"Виртуальный" - я полагаю имеется ввиду серый или приватный?

Данные порты закрыты только для пакетов с виртуального на виртуальный. Так что никого не ущемляет. У провайдерских сервисов адреса реальные, так что и чат, и днс спокойно работают.

Т.е. получается что у вас открыт NetBIOS в большой инет??? Кхм... Как бы это помягче... В общем вы поняли наверное.

По поводу реальных адресов провайдера - получается что даже локальный трафик гоняется через VPN хотя мог бы спокойно ходить по локальной сети тем самым не создавая дополнительной нагрузки на VPN сервер. Тоже Кхм... В меньшей степени, но тем не менее.