Jump to content
Калькуляторы

какие tcp|udp порты стоит закрыть абонентам? составим список?

цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

Share this post


Link to post
Share on other sites

Купил автомобиль, но руль крутится только вправо - налево повернуть невозможно. Ну не п-ц ли?!

Share this post


Link to post
Share on other sites

что бы еще посоветовал уважаемый all?

воспользоваться снифером.

Share this post


Link to post
Share on other sites

Извините, но насколько я помню, оператор не имеет права ограничивать связность абоненту. То есть, сами по себе такие ограничения не законны, и я бы просто подал в суд, на такого поставщика услуг.

 

З.Ы. Вы можете за денежку предоставлять сервис фильтрации трафика, на предмент наличия вирусов и прочего вредоносного ПО, однако, для подобных целей надо использовать специальные(!) потоковые антивирусные системы, которые стоят опеределенных денег. И потом, я не думаю что данная услуга будет пользоваться популярностью, да и потом, если клиент чего подхватит, разбиратья с ним будете долго нудно и упорно, а потому проблемы вирусов = проблемы абонента = за вашу денежку к вам придёт мальчик - сервисный инженер и спасёт вашу душу от напавшего на вас вируса.

Share this post


Link to post
Share on other sites
53 udp/tcp, и на всякий случай 80 tcp
ххх Скажите IP какого нить ламера, адского виря нашёл!!

ууу 127.0.0.1

ххх спс

ххх - покинул канал - time out

bash :)

 

Share this post


Link to post
Share on other sites

а ежели сии ограничения указаны в приложении к договору/самом договоре на оказание услуг?

Share this post


Link to post
Share on other sites

Опцией сделайте, не хочу я, чтоб мне навязывали какие-либо, пусть и бесплатные, услуги.

Share this post


Link to post
Share on other sites

Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе. А когда мне тупо порты режут... Это уже нарушение ФЗ, а в договоре может что угодно быть прописано. Абоненты всякие бывают, можно и штраф с предписанием от Связьнадзора словить.

Share this post


Link to post
Share on other sites

Пока чаще от абонентов идет ругань вида "У меня тут вирус на машине!! Это Вы виноваты, я через ваш интернет его получила."

 

В договоре черным по белому написано, что 135-139, 445 и udp/80 закрыто. на 25 стоит ограничение на количество в час. Под договором стоит подпись абонента, что он ознакомлен. И там же написано, что "Снятие по заявлению". ВСЕ остальное открыто (по заявлению можно конечно закрыть, но це будет платная услуга.)

 

Покажите мне сервис в интернете, куда Вы не можете попасть на 135 порту? Я зуб даю, что Вы туда не попадете, если Вам доступ туда откроют (у меня таких небыло пока;), ибо его там уже сломали. а уж udp.80 вообще бяда. туда постоянно кто-то пытается флудить.

Share this post


Link to post
Share on other sites
Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают?
Edited by photon

Share this post


Link to post
Share on other sites
Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают?

Статья 29 конституции? Типо свобода доступа к массовой информации? А то вы тут понапридумывали проверок чтобы ограничить доступ :)

Share this post


Link to post
Share on other sites

Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

 

ЗЫЫЫ А про привязку port-mac-ip - если у вас круглосуточная ТП, и она в состоянии изменить составляющие привязки, все нормально. Если нет, то это такое же ограничение прав абонента как и фильтрация портов.

Edited by Eugene Tsepelev

Share this post


Link to post
Share on other sites

shoorickello , GateKeeper - юмор принят но не оценен.

Господа, прошу перестать флудить по правам и свободам.

Речь не про конституцию. Лучше заплатим юристу за 2-3-5 разбирательств + штраф чем постоянно платить лишнему человеку в ТП который только и будет рассказавать какие мы пушистые и что абонент сам заразился/нарушил функционирование сети.

Половина провайдеров закрывает 25 порт и заставляет слать письма через свой сервер ("а че это они там с письмами делают?"), другая половина натит абонентов (фактически закрывая ВСЕ порты в одном направлении)...

Еще раз прошу - давайте по существу - какие порты режем? Как это относится к нормам морали, конституции пожалуйста в других ветках.

Edited by KD

Share this post


Link to post
Share on other sites
цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

80/udp - не надо, по нему ТВ вещается кем-то.

135-139 udp забыл. :)

Share this post


Link to post
Share on other sites

потенциально опасный - это 25/tcp и фрагментированные UDP/ICMP

 

Share this post


Link to post
Share on other sites

заставляет слать письма через свой сервер ("а че это они там с письмами делают?")

так давайте и хттп разрешим только через свой прокси

Share this post


Link to post
Share on other sites
Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.
Во-первых, сайт с нестандартными портами как СМИ зарегистрировать не дадут. Во-вторых, покажите хотя бы один действующий сайт такого вида. В-третьих, по поводу 135-139 и 445 мы говорим о блокировании входящих соединений, а не исходящих, т.е. даже если этот гипотетический сайт будет создан, он будет доступен. А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют. И не по каким-то NetBIOS-портам, а по IP-адресам. И это прямое нарушение законов о свободе СМИ.

 

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Это, как и в конституции, расплывчатая юридическая формулировка, а не четкое указание на что-либо.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

Это бред, никто из операторов не будет сам себе увеличивать издержки. Ну назовите хотя бы одного оператора, который реалтайме проверяет на вирусы весь трафик и имеет абонентскую базу не менее 10 тысяч клиентов.
Edited by photon

Share this post


Link to post
Share on other sites

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Ну в связьнадзор-то понятно, а вот в суд...

Share this post


Link to post
Share on other sites

уж лучше раз в месяц суд, чем каждый день орево со стороны абонентов

Share this post


Link to post
Share on other sites

Я к тому, что видимо отменили досудебный порядок урегулирования, можно сразу идти...

Share this post


Link to post
Share on other sites

В каждом договоре указано, что всё решается путём переговоров, и, если не получилось, решает суд.

На поей памяти ещё никто из абонентов не оставлял заявку на открытие входящего трафика на 135/445.

Share this post


Link to post
Share on other sites

Всеобщая безграмотность и отсутствие правовой культуры, это болезнь России. Речь совсем не про суды 2-3-4 раза в месяц/год. А про то что в суде может быть представитель контролирующего органа. На первый раз будет предписание и штраф, а во второй уже действие лицензии приостановят.

 

А по поводу провайдеров с внедренным контролем - BT Group, за дополнительные, по моему, 15 фунтов в месяц они вас от необходимости иметь файервол и антивир избавят. Это около 30-40 процентов от ежемесячной платы, но платят многие. Бесплатно они какую то хрень клиентам впаривают и естественно порты никто там не режет.

 

ЗЫ А досудебный порядок давно отменили, можете и сразу в суд идти.

Edited by Eugene Tsepelev

Share this post


Link to post
Share on other sites
А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

А еще Кавказцентр. Причем не только для российских пользователей

 

Share this post


Link to post
Share on other sites
Цитата(photon @ 16.2.2010, 11:28) *

А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

 

 

А еще Кавказцентр. Причем не только для российских пользователей

Это всё против совсем примитивных хомяков, которые:

1. не могут найти в гугле/яндексе "анонимайзер"/"прокси"

2. не сильно то и хотят

 

но таки да, официально их нигде не запрещали, получается нарушение закона.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this