Jump to content
Калькуляторы

Файрволл у провайдера что блокировать?

Добрый день.

Меняем структуру сети, уходим от НАТ-а.

Каждому абоненту планируем выдавать реальный адрес.

(Сейчас большинство НАТ-им, реакльники по заказу)

Но существует проблема спамерской активности, а также участились случаи различных атак - например из за открытой DNS рекурсии юзеры бывают вовлечены в

DNS Amplification DDOS и т.д.

 

Собственно где то на форуме видел следующую схему:

Провайдер по умолчанию для каждого абонента включает некий файрволл, абонент же имеет возможность выключить его -установив галочку в личном кабинете на свой страх и риск(для гиков в основном). Собственно таким образом большинство клиентов будет защищено, и шанс попасть провайдеру в спам листы уменьшится.

Понятно что есть смысл закрывать(или ограничивать кол-во соединений в единицу времени) по 25 порту, также наверное будем закрывать UDP 53 порт снаружи. А вот больше идей нету. Не поделитесь практикой?

 

1.Собственно у кого реализовано? Вроде видел у Билайна.

2. Что режете и зачем?

Share this post


Link to post
Share on other sites

Stateless естессно?

Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам.

Навскидку tcp 25,udp/tcp 53,udp 80,udp 1900,udp/tcp 135-139,tcp 445. Icmp ограничить, хоть и примитивно, но вроде еще популярно в ddose.

А вообще в идеале stateful и прикрыть new снаружи кроме самых популярных игровых портов и http(s).

Share this post


Link to post
Share on other sites

udp 1900,udp/tcp 135-139,tcp 445 - это уже на доступе блокируется и за годы работы еще никто не попросил открыть эти порты.

Я думаю о сервисах которые нужно блокировать, но некоторым пользователям бывает нужно их открыть, чтобы они могли включить галку в ЛК.

 

Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам.

Идея не очень. Я далек от пользователя, да и знать не знаю о разных играх и прочих вещах.

Я ищу практику по проблеме, где то на форуме даже видел, но найти не могу.

Share this post


Link to post
Share on other sites

Чтобы не попадать в спамлисты, то тупо закрыть 25ый порт на out (stateless). Чтобы защитить от вирусов-сканеров, как уже сказали, надо прикрыть new(можно опять же это сделать stateless - для tcp). Но если винда без антивируса, то всё равно они через браузер и флешки заберутся к домохозяйкам, так что бесполезно.

 

Или есть более радикальный метод - выделть N x /24 для реальной статики, остальное - реальная динамика. И просто забить и ничего не делать. Ну будут у вас IP из динамических пулов в спамлистах, никому это не помешает

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this