Jump to content

какие tcp|udp порты стоит закрыть абонентам?

KD
 Share

Recommended Posts

KD

KD

Posted
Posted

цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

sdkikilo

sdkikilo

Posted
Posted

Извините, но насколько я помню, оператор не имеет права ограничивать связность абоненту. То есть, сами по себе такие ограничения не законны, и я бы просто подал в суд, на такого поставщика услуг.

 

З.Ы. Вы можете за денежку предоставлять сервис фильтрации трафика, на предмент наличия вирусов и прочего вредоносного ПО, однако, для подобных целей надо использовать специальные(!) потоковые антивирусные системы, которые стоят опеределенных денег. И потом, я не думаю что данная услуга будет пользоваться популярностью, да и потом, если клиент чего подхватит, разбиратья с ним будете долго нудно и упорно, а потому проблемы вирусов = проблемы абонента = за вашу денежку к вам придёт мальчик - сервисный инженер и спасёт вашу душу от напавшего на вас вируса.

witch

witch

Posted
Posted
53 udp/tcp, и на всякий случай 80 tcp
ххх Скажите IP какого нить ламера, адского виря нашёл!!

ууу 127.0.0.1

ххх спс

ххх - покинул канал - time out

bash :)

 

Eugene Tsepelev

Eugene Tsepelev

Posted
Posted

Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе. А когда мне тупо порты режут... Это уже нарушение ФЗ, а в договоре может что угодно быть прописано. Абоненты всякие бывают, можно и штраф с предписанием от Связьнадзора словить.

st_re

st_re

Posted
Posted

Пока чаще от абонентов идет ругань вида "У меня тут вирус на машине!! Это Вы виноваты, я через ваш интернет его получила."

 

В договоре черным по белому написано, что 135-139, 445 и udp/80 закрыто. на 25 стоит ограничение на количество в час. Под договором стоит подпись абонента, что он ознакомлен. И там же написано, что "Снятие по заявлению". ВСЕ остальное открыто (по заявлению можно конечно закрыть, но це будет платная услуга.)

 

Покажите мне сервис в интернете, куда Вы не можете попасть на 135 порту? Я зуб даю, что Вы туда не попадете, если Вам доступ туда откроют (у меня таких небыло пока;), ибо его там уже сломали. а уж udp.80 вообще бяда. туда постоянно кто-то пытается флудить.

photon

photon

Posted
Posted (edited)
Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают? Edited by photon
goletsa

goletsa

Posted
Posted
Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают?

Статья 29 конституции? Типо свобода доступа к массовой информации? А то вы тут понапридумывали проверок чтобы ограничить доступ :)

Eugene Tsepelev

Eugene Tsepelev

Posted
Posted (edited)

Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

 

ЗЫЫЫ А про привязку port-mac-ip - если у вас круглосуточная ТП, и она в состоянии изменить составляющие привязки, все нормально. Если нет, то это такое же ограничение прав абонента как и фильтрация портов.

Edited by Eugene Tsepelev
KD

KD

Posted
  • Author
Posted (edited)

shoorickello , GateKeeper - юмор принят но не оценен.

Господа, прошу перестать флудить по правам и свободам.

Речь не про конституцию. Лучше заплатим юристу за 2-3-5 разбирательств + штраф чем постоянно платить лишнему человеку в ТП который только и будет рассказавать какие мы пушистые и что абонент сам заразился/нарушил функционирование сети.

Половина провайдеров закрывает 25 порт и заставляет слать письма через свой сервер ("а че это они там с письмами делают?"), другая половина натит абонентов (фактически закрывая ВСЕ порты в одном направлении)...

Еще раз прошу - давайте по существу - какие порты режем? Как это относится к нормам морали, конституции пожалуйста в других ветках.

Edited by KD
UglyAdmin

UglyAdmin

Posted
Posted
цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

80/udp - не надо, по нему ТВ вещается кем-то.

135-139 udp забыл. :)

Nickuz

Nickuz

Posted
Posted

заставляет слать письма через свой сервер ("а че это они там с письмами делают?")

так давайте и хттп разрешим только через свой прокси

photon

photon

Posted
Posted (edited)
Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.
Во-первых, сайт с нестандартными портами как СМИ зарегистрировать не дадут. Во-вторых, покажите хотя бы один действующий сайт такого вида. В-третьих, по поводу 135-139 и 445 мы говорим о блокировании входящих соединений, а не исходящих, т.е. даже если этот гипотетический сайт будет создан, он будет доступен. А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют. И не по каким-то NetBIOS-портам, а по IP-адресам. И это прямое нарушение законов о свободе СМИ.

 

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Это, как и в конституции, расплывчатая юридическая формулировка, а не четкое указание на что-либо.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

Это бред, никто из операторов не будет сам себе увеличивать издержки. Ну назовите хотя бы одного оператора, который реалтайме проверяет на вирусы весь трафик и имеет абонентскую базу не менее 10 тысяч клиентов. Edited by photon
SmokerMan

SmokerMan

Posted
Posted

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Ну в связьнадзор-то понятно, а вот в суд...

terrible

terrible

Posted
Posted

В каждом договоре указано, что всё решается путём переговоров, и, если не получилось, решает суд.

На поей памяти ещё никто из абонентов не оставлял заявку на открытие входящего трафика на 135/445.

Eugene Tsepelev

Eugene Tsepelev

Posted
Posted (edited)

Всеобщая безграмотность и отсутствие правовой культуры, это болезнь России. Речь совсем не про суды 2-3-4 раза в месяц/год. А про то что в суде может быть представитель контролирующего органа. На первый раз будет предписание и штраф, а во второй уже действие лицензии приостановят.

 

А по поводу провайдеров с внедренным контролем - BT Group, за дополнительные, по моему, 15 фунтов в месяц они вас от необходимости иметь файервол и антивир избавят. Это около 30-40 процентов от ежемесячной платы, но платят многие. Бесплатно они какую то хрень клиентам впаривают и естественно порты никто там не режет.

 

ЗЫ А досудебный порядок давно отменили, можете и сразу в суд идти.

Edited by Eugene Tsepelev
LaoWang

LaoWang

Posted
Posted
А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

А еще Кавказцентр. Причем не только для российских пользователей

 

Ivan_83

Ivan_83

Posted
Posted
Цитата(photon @ 16.2.2010, 11:28) *

А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

 

 

А еще Кавказцентр. Причем не только для российских пользователей

Это всё против совсем примитивных хомяков, которые:

1. не могут найти в гугле/яндексе "анонимайзер"/"прокси"

2. не сильно то и хотят

 

но таки да, официально их нигде не запрещали, получается нарушение закона.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.