Перейти к содержимому
Калькуляторы

Файрволл у провайдера что блокировать?

Ответить

Negator   

Negator
Опубликовано · Жалоба

Добрый день.

Меняем структуру сети, уходим от НАТ-а.

Каждому абоненту планируем выдавать реальный адрес.

(Сейчас большинство НАТ-им, реакльники по заказу)

Но существует проблема спамерской активности, а также участились случаи различных атак - например из за открытой DNS рекурсии юзеры бывают вовлечены в

DNS Amplification DDOS и т.д.

 

Собственно где то на форуме видел следующую схему:

Провайдер по умолчанию для каждого абонента включает некий файрволл, абонент же имеет возможность выключить его -установив галочку в личном кабинете на свой страх и риск(для гиков в основном). Собственно таким образом большинство клиентов будет защищено, и шанс попасть провайдеру в спам листы уменьшится.

Понятно что есть смысл закрывать(или ограничивать кол-во соединений в единицу времени) по 25 порту, также наверное будем закрывать UDP 53 порт снаружи. А вот больше идей нету. Не поделитесь практикой?

 

1.Собственно у кого реализовано? Вроде видел у Билайна.

2. Что режете и зачем?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

sexst   

sexst
Опубликовано · Жалоба

Stateless естессно?

Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам.

Навскидку tcp 25,udp/tcp 53,udp 80,udp 1900,udp/tcp 135-139,tcp 445. Icmp ограничить, хоть и примитивно, но вроде еще популярно в ddose.

А вообще в идеале stateful и прикрыть new снаружи кроме самых популярных игровых портов и http(s).

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Negator   

Negator
Опубликовано · Жалоба

udp 1900,udp/tcp 135-139,tcp 445 - это уже на доступе блокируется и за годы работы еще никто не попросил открыть эти порты.

Я думаю о сервисах которые нужно блокировать, но некоторым пользователям бывает нужно их открыть, чтобы они могли включить галку в ЛК.

 

Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам.

Идея не очень. Я далек от пользователя, да и знать не знаю о разных играх и прочих вещах.

Я ищу практику по проблеме, где то на форуме даже видел, но найти не могу.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

srg555   

srg555
Опубликовано · Жалоба

Чтобы не попадать в спамлисты, то тупо закрыть 25ый порт на out (stateless). Чтобы защитить от вирусов-сканеров, как уже сказали, надо прикрыть new(можно опять же это сделать stateless - для tcp). Но если винда без антивируса, то всё равно они через браузер и флешки заберутся к домохозяйкам, так что бесполезно.

 

Или есть более радикальный метод - выделть N x /24 для реальной статики, остальное - реальная динамика. И просто забить и ничего не делать. Ну будут у вас IP из динамических пулов в спамлистах, никому это не помешает

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...