Jump to content
Калькуляторы

Блокировка портов на доступе

Давайте поговорим кто какие порты режет на доступе? К примеру, есть влан с физиками, в основном сидящими без роутеров.

Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще?

Share this post


Link to post
Share on other sites

1200 не помню кто

5938 тивьювер

6113-6119 варкрафт

20014,32810-32814 танки

 

а так - зачем их блочить?

 

разве что wins и прочую виндовую нечисть

Share this post


Link to post
Share on other sites

tcp 2869,3587,5357,5358

udp 1900,3540,3702,5355

 

Кароче блочить все указанное здесь http://windows.microsoft.com/ru-ru/windows/networking-home-computers-running-different-windows#networking-home-computers-running-different-windows=windows-7

Edited by pppoetest

Share this post


Link to post
Share on other sites

Ничего не блокирую.

Возможно скоро буду ограничивать исходящий 25.

А зачем блокировать?

Share this post


Link to post
Share on other sites

уменьшить количество мусора в сети и вирусные эпидемии предотвратить )

Share this post


Link to post
Share on other sites

Изолировать от интернета? :)

 

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

По желанию клиента за небольшую денежку даем IP без этих блокировок.

Share this post


Link to post
Share on other sites

Я так и не понял, для чего блокировать входящие порты. Особенно tcp/22.

Share this post


Link to post
Share on other sites

Изолировать от интернета? :)

Друг от друга

Share this post


Link to post
Share on other sites

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут.

Что за синдром вахтера? Бежать от такого провайдера.

Share this post


Link to post
Share on other sites

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

Share this post


Link to post
Share on other sites

Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще?

 

Посадить бедных людей за nat, не дав даже "белой" динамики, а так же блокировать порты. Это не серьезно.

Если Вас беспокоят такие мелочи, что Вы задумались блокировкой портов, то выделяйте влан на пользователя (дом, подъезд). Но так... Это выше моего понимания.

 

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок)

 

Защитить от кого? Из за nat внутри сети?

Если внешняя статика(динамика), то такой подход возможно частично и оправдан, если можно от этих ограничений избавится. В противном случае это"миздулины" локального района.

Share this post


Link to post
Share on other sites

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный..

Share this post


Link to post
Share on other sites

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут.

Что за синдром вахтера? Бежать от такого провайдера.

А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета.

И да, даем только белую статику - фильтрация вполне оправдана.

Share this post


Link to post
Share on other sites

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный..

ничего не понял

Share this post


Link to post
Share on other sites

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

Это ж не на доступе, не на абонентских портах? У вас трафик через сервера проходит, там и ограничиваете?

Share this post


Link to post
Share on other sites

по поводу tcp/25 out это явное ненужно. проще в реверс написать dynamic или nat и никто эту почту не примет

Это ж не на доступе, не на абонентских портах?

почитайте форум длинка. там каждый второй это делает ацл-ми на свитчах

Share this post


Link to post
Share on other sites

А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета.

И да, даем только белую статику - фильтрация вполне оправдана.

 

Разницу между входящими и исходящими портами прекрасно понимаю (ТС помоему про доступ говорил, не? Уровень доступа? Коммутаторы)? От какой точки пляшем?) Специально для ув. 'kayot', поверте, даже году в 2001 поддерживал такую же точку зрения, которая у Вас сейчас, но время идет. Ну не выход блокировать пользователей. Ежеминутный "профит", может боком выйти в последствии.

Вы наверное никогда не настраивали родителям пенсионерам(друзьям и т.д.) удаленно через teamviewer (shh, telnet) компьютер. Мне лень ездить по всякой ерунде к своим родителям за 20 км через пол города. А по поводу блокировок, вам наверное не звонят хомяки с ps3, ps4, всякими боксами и т.д. у которых частичная деградация сервисов.

Поступите лучше так, как поступает большинство, откройте все, не жмите юзеров, а сервисы прикрывайте(если это требуется) позиционируя, как дополнительные и стригите уже за это деньги, а не как советуют за то, что бы все открыть. Продаваны у Вас будут рады. Под этот шумок можно еще как сервис впихнуть какойнибудь антивирус. А блокировать по дефолту это совсем не камильфо.

Edited by NikBSDOpen

Share this post


Link to post
Share on other sites

 

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

По желанию клиента за небольшую денежку даем IP без этих блокировок.

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

Share this post


Link to post
Share on other sites

NikBSDOpen

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

Share this post


Link to post
Share on other sites

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

 

Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно.

 

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

 

А как же, обязательно. Еще отдельно за ssh, telnet, etc. :)

Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого.

 

Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах.

У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов?

Share this post


Link to post
Share on other sites

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

 

Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно.

 

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

 

А как же, обязательно. Еще отдельно за ssh, telnet, etc. :)

Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого.

 

Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах.

У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов?

+100500

Share this post


Link to post
Share on other sites

Я режу netbios на доступе. Для чего он нужен?

Share this post


Link to post
Share on other sites

Такие блокировки это как фигов листок на причинном месте. Прикрывают но нихрена не защищают (С)

 

Дремучая ересь блокировать вообще что-то. Смысла в это чуть - зато гемороя хлебнуть можно полной ложкой.

Share this post


Link to post
Share on other sites

А мы ничего не блокируем и живём спокойно (vlan на абонента)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this