megahertz0 Опубликовано 14 июня, 2014 · Жалоба Давайте поговорим кто какие порты режет на доступе? К примеру, есть влан с физиками, в основном сидящими без роутеров. Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 14 июня, 2014 · Жалоба 1200 не помню кто 5938 тивьювер 6113-6119 варкрафт 20014,32810-32814 танки а так - зачем их блочить? разве что wins и прочую виндовую нечисть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 14 июня, 2014 (изменено) · Жалоба tcp 2869,3587,5357,5358 udp 1900,3540,3702,5355 Кароче блочить все указанное здесь http://windows.microsoft.com/ru-ru/windows/networking-home-computers-running-different-windows#networking-home-computers-running-different-windows=windows-7 Изменено 14 июня, 2014 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 июня, 2014 · Жалоба Ничего не блокирую. Возможно скоро буду ограничивать исходящий 25. А зачем блокировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 июня, 2014 · Жалоба уменьшить количество мусора в сети и вирусные эпидемии предотвратить ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 15 июня, 2014 · Жалоба так изолируйте клиентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 июня, 2014 · Жалоба Изолировать от интернета? :) Блокируем исходящий 25(нет флудоботам!) и список входящих: tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 udp: 53,67,69,135,136,137,139,161 По желанию клиента за небольшую денежку даем IP без этих блокировок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 июня, 2014 · Жалоба Я так и не понял, для чего блокировать входящие порты. Особенно tcp/22. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 июня, 2014 · Жалоба Изолировать от интернета? :) Друг от друга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 15 июня, 2014 · Жалоба Блокируем исходящий 25(нет флудоботам!) и список входящих: tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 udp: 53,67,69,135,136,137,139,161 А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут. Что за синдром вахтера? Бежать от такого провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 июня, 2014 · Жалоба они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 15 июня, 2014 · Жалоба Стандартный набор TCP/135, TCP/137-139, TCP/445 - это понятно. От себя могу добавить 1900/UDP - SSDP, часть протокола UPNP. А что еще? Посадить бедных людей за nat, не дав даже "белой" динамики, а так же блокировать порты. Это не серьезно. Если Вас беспокоят такие мелочи, что Вы задумались блокировкой портов, то выделяйте влан на пользователя (дом, подъезд). Но так... Это выше моего понимания. они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок) Защитить от кого? Из за nat внутри сети? Если внешняя статика(динамика), то такой подход возможно частично и оправдан, если можно от этих ограничений избавится. В противном случае это"миздулины" локального района. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 июня, 2014 · Жалоба они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 июня, 2014 · Жалоба Блокируем исходящий 25(нет флудоботам!) и список входящих: tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 udp: 53,67,69,135,136,137,139,161 А почему просто не оставить один 80? Зачем хомякам больше? Деньги всеравно принесут. Что за синдром вахтера? Бежать от такого провайдера. А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета. И да, даем только белую статику - фильтрация вполне оправдана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 июня, 2014 · Жалоба они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный.. ничего не понял Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 15 июня, 2014 · Жалоба Блокируем исходящий 25(нет флудоботам!) и список входящих: tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 udp: 53,67,69,135,136,137,139,161 Это ж не на доступе, не на абонентских портах? У вас трафик через сервера проходит, там и ограничиваете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 июня, 2014 · Жалоба по поводу tcp/25 out это явное ненужно. проще в реверс написать dynamic или nat и никто эту почту не примет Это ж не на доступе, не на абонентских портах? почитайте форум длинка. там каждый второй это делает ацл-ми на свитчах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 15 июня, 2014 (изменено) · Жалоба А вы вообще понимаете разницу между входящим и исходящим трафиком? На исход открыто все, делай что хочешь. На вход - на благо самого хомячка режем все потенциально опасное приходящее из тырнета. И да, даем только белую статику - фильтрация вполне оправдана. Разницу между входящими и исходящими портами прекрасно понимаю (ТС помоему про доступ говорил, не? Уровень доступа? Коммутаторы)? От какой точки пляшем?) Специально для ув. 'kayot', поверте, даже году в 2001 поддерживал такую же точку зрения, которая у Вас сейчас, но время идет. Ну не выход блокировать пользователей. Ежеминутный "профит", может боком выйти в последствии. Вы наверное никогда не настраивали родителям пенсионерам(друзьям и т.д.) удаленно через teamviewer (shh, telnet) компьютер. Мне лень ездить по всякой ерунде к своим родителям за 20 км через пол города. А по поводу блокировок, вам наверное не звонят хомяки с ps3, ps4, всякими боксами и т.д. у которых частичная деградация сервисов. Поступите лучше так, как поступает большинство, откройте все, не жмите юзеров, а сервисы прикрывайте(если это требуется) позиционируя, как дополнительные и стригите уже за это деньги, а не как советуют за то, что бы все открыть. Продаваны у Вас будут рады. Под этот шумок можно еще как сервис впихнуть какойнибудь антивирус. А блокировать по дефолту это совсем не камильфо. Изменено 15 июня, 2014 пользователем NikBSDOpen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FIGO Опубликовано 15 июня, 2014 · Жалоба Блокируем исходящий 25(нет флудоботам!) и список входящих: tcp: 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 udp: 53,67,69,135,136,137,139,161 По желанию клиента за небольшую денежку даем IP без этих блокировок. А если я хочу почтовым клиентом пользоваться мне доплатить нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 июня, 2014 · Жалоба NikBSDOpen Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 16 июня, 2014 · Жалоба Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты?? Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно. А если я хочу почтовым клиентом пользоваться мне доплатить нужно? А как же, обязательно. Еще отдельно за ssh, telnet, etc. :) Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого. Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах. У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 16 июня, 2014 · Жалоба Удивлю, но тимвьюверу эти 'блокировки' совершенно не мешают. Точно так же как и всяким ps3, ps4 и иже с ними. Какая такая деградация сервисов при закрытых input-соединениях на системные порты?? Я Вас наверное тоже удивлю. Но как раз приставки страдают. В терминалогии sony есть странные понятия типов nat (1,2,3). Так вот частичная деградация сервиосов присутствует, специально проверял на приставке сына. Но Вам наверное всеравно. А если я хочу почтовым клиентом пользоваться мне доплатить нужно? А как же, обязательно. Еще отдельно за ssh, telnet, etc. :) Вообще не понимаю зачем блокировать? На уровне доступа (коммутаторы) изолируйте клиентов, все остальное от лукавого. Можете указать "профит" блокировок? Только не нужно позиционировать "заботой" о клиентах. У Вас проблемы с производительностью оборудования? Шириной канала? Почему Вас так беспокоит "безопасность" клиентов? +100500 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 16 июня, 2014 · Жалоба Я режу netbios на доступе. Для чего он нужен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 16 июня, 2014 · Жалоба Такие блокировки это как фигов листок на причинном месте. Прикрывают но нихрена не защищают (С) Дремучая ересь блокировать вообще что-то. Смысла в это чуть - зато гемороя хлебнуть можно полной ложкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 16 июня, 2014 · Жалоба А мы ничего не блокируем и живём спокойно (vlan на абонента) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...