Jump to content

Какие порты резать?

NX_BIT
 Share

Recommended Posts

NX_BIT

NX_BIT

Posted
Posted (edited)

Ребят кто какие порты режит?

Есть сеть на 2т абонов,построена в основном на 3026(основная масса),местами 1228/me и DGS 1216/1224/

В сети из сервисов:Инэт через пппое,P2P и радио 10 каналов.

Топология сети в основном "герлянда" т.е пришла оптика к свичу и от свича по витой паре пошло по цепочке.

На данный момент подрезан нет биос,чего ещё посоветуете?

Зы:Железо и юзеры живут в разных виланах.

Если это обсуждалась сильно не пинайте,просто дайте линков.

Edited by NX_BIT
BiWiS

BiWiS

Posted
Posted

почитайте собственный договор и из него посмотрите, что вы сами себе разрешили клиенту резать :)

NX_BIT

NX_BIT

Posted
  • Author
Posted
почитайте собственный договор и из него посмотрите, что вы сами себе разрешили клиенту резать :)
По договору один инэт,так что реж не хочу.Но хотелось бы подрезать действительно бесполезные порты.

 

Nickuz

Nickuz

Posted
Posted

По договору один инэт

инет - это совокупность сетей и протоколов, функционирующих в этих сетях. Пункт про вредоносный трафик есть, я надеюсь, в договоре?

NX_BIT

NX_BIT

Posted
  • Author
Posted (edited)
По договору один инэт
инет - это совокупность сетей и протоколов, функционирующих в этих сетях. Пункт про вредоносный трафик есть, я надеюсь, в договоре?

Имеется ввиду порты локали,а не инэт.

Такого пункта в договоре нет.Есть пункт нарушения правил пользования,в котором указано про привязку мак и ип и невозможность изменять их юзерами.

На этом всё.

Edited by NX_BIT
BiWiS

BiWiS

Posted
Posted

один инет это как? :)

как у вас в договоре технически описана услуга "инет"?

NX_BIT

NX_BIT

Posted
  • Author
Posted
один инет это как? :)

как у вас в договоре технически описана услуга "инет"?

Телематические услуги связи.

 

 

BiWiS

BiWiS

Posted
Posted (edited)
один инет это как? :)

как у вас в договоре технически описана услуга "инет"?

Телематические услуги связи.

Значит закрывая некоторые порты, без уведомления об этом клиента и получения какого либо его согласия, вы нарушаете работу этой самой услуги. Если конечно не сможете доказать, что используя данные порты клиент (в вашем случае все поголовно клиенты) нарушали законы РФ, либо какие-то пункты договора. :)

 

п.с.

на самом деле не все так страшно, вряд ли ктото кинется подавать на вас в суд, но... всякое бывает :)) обычно рубят нетбиос, 139 и иже с ним там пара каких то портов.

Edited by BiWiS
NX_BIT

NX_BIT

Posted
  • Author
Posted (edited)
один инет это как? :)

как у вас в договоре технически описана услуга "инет"?

Телематические услуги связи.

Значит закрывая некоторые порты, без уведомления об этом клиента и получения какого либо его согласия, вы нарушаете работу этой самой услуги. Если конечно не сможете доказать, что используя данные порты клиент (в вашем случае все поголовно клиенты) нарушали законы РФ, либо какие-то пункты договора. :)

 

п.с.

на самом деле не все так страшно, вряд ли ктото кинется подавать на вас в суд, но... всякое бывает :)) обычно рубят нетбиос, 139 и иже с ним там пара каких то портов.

Будет тяжело доказать что мы закрыли порты....

указанные вами давно подрезаны.

На какие ещё стоит обратить внимание?

Edited by NX_BIT
NX_BIT

NX_BIT

Posted
  • Author
Posted (edited)
доказывается элементарно. Не стоит считать абонента идиотом априори.

А резать стоит то, что мешает вам работать.

.

Но суть не в этом,я не собираюсь ущемлять каким то образом абонентов.

Я просто хочу отсечь лишний хлам который не мне ни юзерам не нужен.

Вот и всё.

А то тема пошла по непонятному руслу......

Edited by NX_BIT
micho

micho

Posted
Posted

на самом деле не все так страшно, вряд ли ктото кинется подавать на вас в суд, но... всякое бывает :)) обычно рубят нетбиос, 139 и иже с ним там пара каких то портов.

Собственно ничего криминального нет в том, что б сначала все закрыть, а открывать уже по требованию.

white_crow

white_crow

Posted
Posted

кроме 137-139, 445 еще можно подрезать UDP 1900 - это SSDP - обнаружение uPnP сетевых устройств и сервисов - венда постоянно шмаляет мультикастом пакеты. Еще можно резануть порты широковещательных чатов типа Vypress.

 

Ну а лучше просто подробите на несколько VLAN свой широковещательный домен - благо, у вас свичи умные....

NX_BIT

NX_BIT

Posted
  • Author
Posted (edited)

white_crow

Спасибо!

Будем резать.

На vlanы разбить будет проблематично,т.к на 3026 поднят сервер доступа(ип мак биндинг) и из за этого многим юзерам пришлось прописать ип в ручную.

Занавао всё переписать не реально

Edited by NX_BIT
Alexandr Ovcharenko

Alexandr Ovcharenko

Posted
Posted

Еще можно резануть порты широковещательных чатов типа Vypress.

Проще резать вообще весь броадкаст кроме arp/pppoe/dhcp (нужное подчеркнуть, ненужное тоже резать). Это автоматом убъет не только броадкас-чаты, но и многие потуги умников использовать сеть провайдера для своего "субпровайдерства".

g3fox

g3fox

Posted
Posted

Если Вы предоставляете только услугу "инет", и пользование локальной сетью в договоре не как не оговорено, почему бы не использовать traffic segmentation на ближайших к клиентам управляемых коммутаторах ?

NX_BIT

NX_BIT

Posted
  • Author
Posted
Если Вы предоставляете только услугу "инет", и пользование локальной сетью в договоре не как не оговорено, почему бы не использовать traffic segmentation на ближайших к клиентам управляемых коммутаторах ?
traffic segmentation это немног не то что мне нужно,я не хочу лишать юзеров сети.

Я хочу порезать лишний хлам

traffic segmentation на сколько я знаю мне в этом не как не сможет помоч

kf72

kf72

Posted
Posted

traffic segmentation на сколько я знаю мне в этом не как не сможет помоч

благодаря ему весь трафик юзверей пойдет в центр. а там что хотите, то и делайте

NX_BIT

NX_BIT

Posted
  • Author
Posted
traffic segmentation на сколько я знаю мне в этом не как не сможет помоч
благодаря ему весь трафик юзверей пойдет в центр.

Да я это знаю.

Весь траф не реально завернуть на ядро,потому что оно загнётся.(точнее не оно а линки до него)

а там что хотите, то и делайте
Яж и спрашиваю кто что делает....

 

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.