Перейти к содержимому
Калькуляторы

Блокировка портов на доступе

Давайте поговорим кто какие порты режет на доступе? К примеру, есть влан с физиками, в основном сидящими без роутеров.

Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1200 не помню кто

5938 тивьювер

6113-6119 варкрафт

20014,32810-32814 танки

 

а так - зачем их блочить?

 

разве что wins и прочую виндовую нечисть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tcp 2869,3587,5357,5358

udp 1900,3540,3702,5355

 

Кароче блочить все указанное здесь http://windows.microsoft.com/ru-ru/windows/networking-home-computers-running-different-windows#networking-home-computers-running-different-windows=windows-7

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего не блокирую.

Возможно скоро буду ограничивать исходящий 25.

А зачем блокировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уменьшить количество мусора в сети и вирусные эпидемии предотвратить )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изолировать от интернета? :)

 

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

По желанию клиента за небольшую денежку даем IP без этих блокировок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так и не понял, для чего блокировать входящие порты. Особенно tcp/22.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изолировать от интернета? :)

Друг от друга

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут.

Что за синдром вахтера? Бежать от такого провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще?

 

Посадить бедных людей за nat, не дав даже "белой" динамики, а так же блокировать порты. Это не серьезно.

Если Вас беспокоят такие мелочи, что Вы задумались блокировкой портов, то выделяйте влан на пользователя (дом, подъезд). Но так... Это выше моего понимания.

 

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок)

 

Защитить от кого? Из за nat внутри сети?

Если внешняя статика(динамика), то такой подход возможно частично и оправдан, если можно от этих ограничений избавится. В противном случае это"миздулины" локального района.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут.

Что за синдром вахтера? Бежать от такого провайдера.

А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета.

И да, даем только белую статику - фильтрация вполне оправдана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный..

ничего не понял

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

Это ж не на доступе, не на абонентских портах? У вас трафик через сервера проходит, там и ограничиваете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по поводу tcp/25 out это явное ненужно. проще в реверс написать dynamic или nat и никто эту почту не примет

Это ж не на доступе, не на абонентских портах?

почитайте форум длинка. там каждый второй это делает ацл-ми на свитчах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета.

И да, даем только белую статику - фильтрация вполне оправдана.

 

Разницу между входящими и исходящими портами прекрасно понимаю (ТС помоему про доступ говорил, не? Уровень доступа? Коммутаторы)? От какой точки пляшем?) Специально для ув. 'kayot', поверте, даже году в 2001 поддерживал такую же точку зрения, которая у Вас сейчас, но время идет. Ну не выход блокировать пользователей. Ежеминутный "профит", может боком выйти в последствии.

Вы наверное никогда не настраивали родителям пенсионерам(друзьям и т.д.) удаленно через teamviewer (shh, telnet) компьютер. Мне лень ездить по всякой ерунде к своим родителям за 20 км через пол города. А по поводу блокировок, вам наверное не звонят хомяки с ps3, ps4, всякими боксами и т.д. у которых частичная деградация сервисов.

Поступите лучше так, как поступает большинство, откройте все, не жмите юзеров, а сервисы прикрывайте(если это требуется) позиционируя, как дополнительные и стригите уже за это деньги, а не как советуют за то, что бы все открыть. Продаваны у Вас будут рады. Под этот шумок можно еще как сервис впихнуть какойнибудь антивирус. А блокировать по дефолту это совсем не камильфо.

Изменено пользователем NikBSDOpen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Блокируем исходящий 25(нет флудоботам!) и список входящих:

tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080

udp: 53,67,69,135,136,137,139,161

 

По желанию клиента за небольшую денежку даем IP без этих блокировок.

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NikBSDOpen

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

 

Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно.

 

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

 

А как же, обязательно. Еще отдельно за ssh, telnet, etc. :)

Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого.

 

Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах.

У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты??

 

Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно.

 

А если я хочу почтовым клиентом пользоваться мне доплатить нужно?

 

А как же, обязательно. Еще отдельно за ssh, telnet, etc. :)

Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого.

 

Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах.

У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов?

+100500

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я режу netbios на доступе. Для чего он нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такие блокировки это как фигов листок на причинном месте. Прикрывают но нихрена не защищают (С)

 

Дремучая ересь блокировать вообще что-то. Смысла в это чуть - зато гемороя хлебнуть можно полной ложкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А мы ничего не блокируем и живём спокойно (vlan на абонента)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.