Перейти к содержимому
Калькуляторы

какие tcp|udp порты стоит закрыть абонентам? составим список?

цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил автомобиль, но руль крутится только вправо - налево повернуть невозможно. Ну не п-ц ли?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что бы еще посоветовал уважаемый all?

воспользоваться снифером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извините, но насколько я помню, оператор не имеет права ограничивать связность абоненту. То есть, сами по себе такие ограничения не законны, и я бы просто подал в суд, на такого поставщика услуг.

 

З.Ы. Вы можете за денежку предоставлять сервис фильтрации трафика, на предмент наличия вирусов и прочего вредоносного ПО, однако, для подобных целей надо использовать специальные(!) потоковые антивирусные системы, которые стоят опеределенных денег. И потом, я не думаю что данная услуга будет пользоваться популярностью, да и потом, если клиент чего подхватит, разбиратья с ним будете долго нудно и упорно, а потому проблемы вирусов = проблемы абонента = за вашу денежку к вам придёт мальчик - сервисный инженер и спасёт вашу душу от напавшего на вас вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

53 udp/tcp, и на всякий случай 80 tcp
ххх Скажите IP какого нить ламера, адского виря нашёл!!

ууу 127.0.0.1

ххх спс

ххх - покинул канал - time out

bash :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а ежели сии ограничения указаны в приложении к договору/самом договоре на оказание услуг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опцией сделайте, не хочу я, чтоб мне навязывали какие-либо, пусть и бесплатные, услуги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе. А когда мне тупо порты режут... Это уже нарушение ФЗ, а в договоре может что угодно быть прописано. Абоненты всякие бывают, можно и штраф с предписанием от Связьнадзора словить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока чаще от абонентов идет ругань вида "У меня тут вирус на машине!! Это Вы виноваты, я через ваш интернет его получила."

 

В договоре черным по белому написано, что 135-139, 445 и udp/80 закрыто. на 25 стоит ограничение на количество в час. Под договором стоит подпись абонента, что он ознакомлен. И там же написано, что "Снятие по заявлению". ВСЕ остальное открыто (по заявлению можно конечно закрыть, но це будет платная услуга.)

 

Покажите мне сервис в интернете, куда Вы не можете попасть на 135 порту? Я зуб даю, что Вы туда не попадете, если Вам доступ туда откроют (у меня таких небыло пока;), ибо его там уже сломали. а уж udp.80 вообще бяда. туда постоянно кто-то пытается флудить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают?
Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бесплатная услуга - это когда оператор весь трафик клиента на вирусы/трояны/прочую гадость проверяет и блокирует/предупреждает о заразе.
Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps никто в здравом уме не будет делать. В лучшем случае можно делать анализ Netflow, и не в реальном времени, а через временные интервалы. Но лучше изначально закрыть некоторые порты для входящих соединений, чем провоцировать взлом пользовательских машин. Юзеры же в своей массе не устанавливают automatic updates, т.к. боятся, что у них слетит регистрация на пиратской копии ОС. Кстати и Microsoft во всех своих security advisories по поводу SMB рекомендует закрывать соответствующие порты.
Это уже нарушение ФЗ, а в договоре может что угодно быть прописано.
Какое именно ФЗ нарушает закрытие портов, прописанное в договоре? Может тогда и привязки IP-mac-port на свичах что-то нарушают?

Статья 29 конституции? Типо свобода доступа к массовой информации? А то вы тут понапридумывали проверок чтобы ограничить доступ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

 

ЗЫЫЫ А про привязку port-mac-ip - если у вас круглосуточная ТП, и она в состоянии изменить составляющие привязки, все нормально. Если нет, то это такое же ограничение прав абонента как и фильтрация портов.

Изменено пользователем Eugene Tsepelev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

shoorickello , GateKeeper - юмор принят но не оценен.

Господа, прошу перестать флудить по правам и свободам.

Речь не про конституцию. Лучше заплатим юристу за 2-3-5 разбирательств + штраф чем постоянно платить лишнему человеку в ТП который только и будет рассказавать какие мы пушистые и что абонент сам заразился/нарушил функционирование сети.

Половина провайдеров закрывает 25 порт и заставляет слать письма через свой сервер ("а че это они там с письмами делают?"), другая половина натит абонентов (фактически закрывая ВСЕ порты в одном направлении)...

Еще раз прошу - давайте по существу - какие порты режем? Как это относится к нормам морали, конституции пожалуйста в других ветках.

Изменено пользователем KD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

цель - позакрывать потенциально опасный/вирусный трафик между абонентами, в/из Всемирной сети.

пока стоит минимум - 135, 139, 445 tcp, 80 udp

что бы еще посоветовал уважаемый all?

80/udp - не надо, по нему ТВ вещается кем-то.

135-139 udp забыл. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потенциально опасный - это 25/tcp и фрагментированные UDP/ICMP

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

заставляет слать письма через свой сервер ("а че это они там с письмами делают?")

так давайте и хттп разрешим только через свой прокси

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про конституцию уже сказали :) Пример, сайт вида http://mass.media:445 зарегистрированный как СМИ.
Во-первых, сайт с нестандартными портами как СМИ зарегистрировать не дадут. Во-вторых, покажите хотя бы один действующий сайт такого вида. В-третьих, по поводу 135-139 и 445 мы говорим о блокировании входящих соединений, а не исходящих, т.е. даже если этот гипотетический сайт будет создан, он будет доступен. А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют. И не по каким-то NetBIOS-портам, а по IP-адресам. И это прямое нарушение законов о свободе СМИ.

 

Далее, правила оказания..

статья 67, пункт "г) некачественное оказание услуг связи по передаче данных, в том числе в результате ненадлежащего содержания сети передачи данных;", отсутствие услуги - весьма некачественная услуга, вам не кажется ? Дальше искать лень :) Это то что сходу на ум пришло.

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Это, как и в конституции, расплывчатая юридическая формулировка, а не четкое указание на что-либо.

 

ЗЫ Если мы не доросли до "Анализ трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps..." это совсем не значит, что такой сервис никто не предоставляет. А ограничение портов это собственная нищета.

 

ЗЫЫ Продукты для "анализа и фильтрации трафика на прикладном уровне при гигабитных скоростях и сотнях тысяч kpps" есть у каждого уважающего себя вендора. И даже в России есть операторы, которые не жалеют денег на предоставление своему абоненту дополнительных сервисов.

Это бред, никто из операторов не будет сам себе увеличивать издержки. Ну назовите хотя бы одного оператора, который реалтайме проверяет на вирусы весь трафик и имеет абонентскую базу не менее 10 тысяч клиентов.
Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И абонента совсем не обязан уведомлять оператора о том что ему что то не нравится, он может сразу уведомить связьнадзор и арбитраж. Нас пока спасает только повальная тупость абонентов.

Ну в связьнадзор-то понятно, а вот в суд...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уж лучше раз в месяц суд, чем каждый день орево со стороны абонентов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я к тому, что видимо отменили досудебный порядок урегулирования, можно сразу идти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В каждом договоре указано, что всё решается путём переговоров, и, если не получилось, решает суд.

На поей памяти ещё никто из абонентов не оставлял заявку на открытие входящего трафика на 135/445.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всеобщая безграмотность и отсутствие правовой культуры, это болезнь России. Речь совсем не про суды 2-3-4 раза в месяц/год. А про то что в суде может быть представитель контролирующего органа. На первый раз будет предписание и штраф, а во второй уже действие лицензии приостановят.

 

А по поводу провайдеров с внедренным контролем - BT Group, за дополнительные, по моему, 15 фунтов в месяц они вас от необходимости иметь файервол и антивир избавят. Это около 30-40 процентов от ежемесячной платы, но платят многие. Бесплатно они какую то хрень клиентам впаривают и естественно порты никто там не режет.

 

ЗЫ А досудебный порядок давно отменили, можете и сразу в суд идти.

Изменено пользователем Eugene Tsepelev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

А еще Кавказцентр. Причем не только для российских пользователей

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата(photon @ 16.2.2010, 11:28) *

А вот сайты нацболов и Каспарова некоторые недобросовестные операторы постоянно блокируют

 

 

А еще Кавказцентр. Причем не только для российских пользователей

Это всё против совсем примитивных хомяков, которые:

1. не могут найти в гугле/яндексе "анонимайзер"/"прокси"

2. не сильно то и хотят

 

но таки да, официально их нигде не запрещали, получается нарушение закона.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.