Negator Опубликовано 24 декабря, 2013 · Жалоба Добрый день. Меняем структуру сети, уходим от НАТ-а. Каждому абоненту планируем выдавать реальный адрес. (Сейчас большинство НАТ-им, реакльники по заказу) Но существует проблема спамерской активности, а также участились случаи различных атак - например из за открытой DNS рекурсии юзеры бывают вовлечены в DNS Amplification DDOS и т.д. Собственно где то на форуме видел следующую схему: Провайдер по умолчанию для каждого абонента включает некий файрволл, абонент же имеет возможность выключить его -установив галочку в личном кабинете на свой страх и риск(для гиков в основном). Собственно таким образом большинство клиентов будет защищено, и шанс попасть провайдеру в спам листы уменьшится. Понятно что есть смысл закрывать(или ограничивать кол-во соединений в единицу времени) по 25 порту, также наверное будем закрывать UDP 53 порт снаружи. А вот больше идей нету. Не поделитесь практикой? 1.Собственно у кого реализовано? Вроде видел у Билайна. 2. Что режете и зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 24 декабря, 2013 · Жалоба Stateless естессно? Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам. Навскидку tcp 25,udp/tcp 53,udp 80,udp 1900,udp/tcp 135-139,tcp 445. Icmp ограничить, хоть и примитивно, но вроде еще популярно в ddose. А вообще в идеале stateful и прикрыть new снаружи кроме самых популярных игровых портов и http(s). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 24 декабря, 2013 · Жалоба udp 1900,udp/tcp 135-139,tcp 445 - это уже на доступе блокируется и за годы работы еще никто не попросил открыть эти порты. Я думаю о сервисах которые нужно блокировать, но некоторым пользователям бывает нужно их открыть, чтобы они могли включить галку в ЛК. Вывеситесь наружу на пару месяцев обычной виндовой машиной и посмотрите что будет по итогам. Идея не очень. Я далек от пользователя, да и знать не знаю о разных играх и прочих вещах. Я ищу практику по проблеме, где то на форуме даже видел, но найти не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 24 декабря, 2013 · Жалоба Чтобы не попадать в спамлисты, то тупо закрыть 25ый порт на out (stateless). Чтобы защитить от вирусов-сканеров, как уже сказали, надо прикрыть new(можно опять же это сделать stateless - для tcp). Но если винда без антивируса, то всё равно они через браузер и флешки заберутся к домохозяйкам, так что бесполезно. Или есть более радикальный метод - выделть N x /24 для реальной статики, остальное - реальная динамика. И просто забить и ничего не делать. Ну будут у вас IP из динамических пулов в спамлистах, никому это не помешает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...