[zhenya`]

они блокируют входящие, чтобы "защитить" говномодемыдлинки от атак извне на телнет/ssh/веб/ftp и что ещё бывает открыто(там куча дыр и закладок), правда в последнее время стала активна вирусня, атакающая модемы(и прочий "embedded") изнутри (т.е. через лан-порты), поэтому такие "защиты" со стороны провайдера становятся менее полезны

 

вообще, блокировать входящие это нормально, но лишь в том случае, если это можно выключить через ЛК

но вот эта штука с днсами.. последнее время замечаемая управляется через какой-то порт.. иначе как она домены меняет :) есть шанс попасть в нужный..

ничего не понял

 

помните тему на форуме про резолвинг всяких непонятных доменов в зоне .com.

типа:

www.ny2345.com

www.wd00001.com

сейчас эти домены атачат абонентские CPE.

 

ломают CPE (длинки дир300 всякие, вроде как PC тоже болеют), управление то идет через какой-то порт, если порт 80 или какой-то Well known, существует шанс попасть.

 

п.с. блочим только

 

create access_profile ip tcp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 3 add access_id 2 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 3 add access_id 3 ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 3 add access_id 4 ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 3 add access_id 5 ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 3 add access_id 6 ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 3 add access_id 7 ip tcp dst_port 5000 port 1-24 deny

create access_profile ip udp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 4 add access_id 2 ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 4 add access_id 3 ip udp dst_port 1900 port 1-24 deny

create access_profile profile_id 3 profile_name MUSOR ip tcp dst_port_mask 0xffff
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 3 add access_id 2 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 3 add access_id 3 ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 3 add access_id 4 ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 3 add access_id 5 ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 3 add access_id 6 ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 3 add access_id 7 ip tcp dst_port 5000 port 1-24 deny

create access_profile profile_id 4 profile_name MUSOR1 ip udp dst_port_mask 0xffff
config access_profile profile_id 4 add access_id 1 ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 4 add access_id 2 ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 4 add access_id 3 ip udp dst_port 1900 port 1-24 deny

Изменено 16 июня, 2014 пользователем zhenya`

[disappointed]

Влезу в разговор, а кто в сколько max_learning_addr ставит?

[Butch3r]

помните тему на форуме про резолвинг всяких непонятных доменов в зоне .com.

типа:

www.ny2345.com

www.wd00001.com

сейчас эти домены атачат абонентские CPE.

Можно поточнее про что вы говорите? Вы имеете ввиду что dns серверам становится плохо от большого количества запросов на резолв хрен пойми чего? Мы у себя такие домены баним, в банлисте уже 400+ доменов, но делаем это на днсах, а не на доступе

[pppoetest]

Влезу в разговор, а кто в сколько max_learning_addr ставит?

2

[zhenya`]

помните тему на форуме про резолвинг всяких непонятных доменов в зоне .com.

типа:

www.ny2345.com

www.wd00001.com

сейчас эти домены атачат абонентские CPE.

Можно поточнее про что вы говорите? Вы имеете ввиду что dns серверам становится плохо от большого количества запросов на резолв хрен пойми чего? Мы у себя такие домены баним, в банлисте уже 400+ доменов, но делаем это на днсах, а не на доступе

 

абонентские цпе ддосят провайдерские днсы, ага. мы тоже их резолвим локально в 127.0.0.1. но все же.

домены меняются (как-то гловарь сообщает) ;-) поэтому заблокировав 80ый к абоненту есть вероятность попасть..

 

мы не блочим это на доступе.

[Negator]

Влезу в разговор, а кто в сколько max_learning_addr ставит?

5 шт.

[megahertz0]

А вот интересная ситуация.

 

Звонит абонент, юрлицо, подключен по pppoe (наследие, которое потихоньку разгребаем) и жалуется на "медленный интернет", как обычно. Юрик очень жадный и берет тариф в 1 мбит. ТП смотрит загрузку порта на доступе и видит 1 мбит rx трафика на свитче в сторону абона. Ситуация обычная, что-то качается типа торрентов, выключить забыли, виноват провайдер. Абоненту в ТП объяснили ситуацию и порекомендовали проверить торренты. В общем, периодические звонки продолжались дня 3. В итоге выяснилось, что у абона стоит микротик, на нем включен dns-форвардер и открыт порт 53/udp. На него прилетает udp-флуд, который забивает канал в полку. Офис у них недалеко с нашим абонентским отделом. Был там по делам и заодно ради интереса сходил на разведку. Настроил фаерволл на МТ чтобы работал только с нашими dns и все стало хорошо.

Адекватным абонентам это объяснить можно, но зачастую те же юрики представляют из себя офис и 3 компьютера, вменяемого сисадмина нет. Микротик настроили по инструкции из интернета, если что - виноват провайдер.

 

Как бороться с такими товарищами?

[zhenya`]

удп 53 port и для нтп. на бордере в сторону абонентов сделайте трубу общую.

[NikBSDOpen]

Как бороться с такими товарищами?

Помогать пропорционально получаемой выгоде, все же юр. лицо.

В противном случае избавляйтесь от таких клиентов. Либо берите на обслуживание за доп. оплату. И объясняйте, что продаваны типа saab'а не лучший советчик, при выборе оборудования, тем более без сисадмина, пусть и приходящего.

Ну вот как то так.

[Butch3r]

А вот интересная ситуация.

 

Звонит абонент, юрлицо, подключен по pppoe (наследие, которое потихоньку разгребаем) и жалуется на "медленный интернет", как обычно. Юрик очень жадный и берет тариф в 1 мбит. ТП смотрит загрузку порта на доступе и видит 1 мбит rx трафика на свитче в сторону абона. Ситуация обычная, что-то качается типа торрентов, выключить забыли, виноват провайдер. Абоненту в ТП объяснили ситуацию и порекомендовали проверить торренты. В общем, периодические звонки продолжались дня 3. В итоге выяснилось, что у абона стоит микротик, на нем включен dns-форвардер и открыт порт 53/udp. На него прилетает udp-флуд, который забивает канал в полку. Офис у них недалеко с нашим абонентским отделом. Был там по делам и заодно ради интереса сходил на разведку. Настроил фаерволл на МТ чтобы работал только с нашими dns и все стало хорошо.

Адекватным абонентам это объяснить можно, но зачастую те же юрики представляют из себя офис и 3 компьютера, вменяемого сисадмина нет. Микротик настроили по инструкции из интернета, если что - виноват провайдер.

 

Как бороться с такими товарищами?

саппорт когда слышит что у абонента микротик (а слышать и не обязательно - можно по маку определить) посылает его решать свои проблемы :) 99% проблема у него. Тем более есть такой метод - включите с компьютера напрямую и проверьте

[Antares]

А вот интересная ситуация.

 

Звонит абонент, юрлицо, подключен по pppoe (наследие, которое потихоньку разгребаем) и жалуется на "медленный интернет", как обычно. Юрик очень жадный и берет тариф в 1 мбит. ТП смотрит загрузку порта на доступе и видит 1 мбит rx трафика на свитче в сторону абона. Ситуация обычная, что-то качается типа торрентов, выключить забыли, виноват провайдер. Абоненту в ТП объяснили ситуацию и порекомендовали проверить торренты. В общем, периодические звонки продолжались дня 3. В итоге выяснилось, что у абона стоит микротик, на нем включен dns-форвардер и открыт порт 53/udp. На него прилетает udp-флуд, который забивает канал в полку. Офис у них недалеко с нашим абонентским отделом. Был там по делам и заодно ради интереса сходил на разведку. Настроил фаерволл на МТ чтобы работал только с нашими dns и все стало хорошо.

Адекватным абонентам это объяснить можно, но зачастую те же юрики представляют из себя офис и 3 компьютера, вменяемого сисадмина нет. Микротик настроили по инструкции из интернета, если что - виноват провайдер.

 

Как бороться с такими товарищами?

саппорт когда слышит что у абонента микротик (а слышать и не обязательно - можно по маку определить) посылает его решать свои проблемы :) 99% проблема у него. Тем более есть такой метод - включите с компьютера напрямую и проверьте

Не только у микротиков проблемы, но и со всеми роутерами, которые продаются в магазинах...это лотерея