alexkuklin: (Default)
alexkuklin ([personal profile] alexkuklin) wrote2008-06-03 01:26 pm
  • Add Memory
  • Share This Entry

(no subject)

Админам, которые закрывают нестандартные порты, надо руки отрывать.
Я так до сих пор ни одной причины не знаю, почему tcp/22 можно, а tcp/22211 нельзя.
Threaded | Top-Level Comments Only

[identity profile] fau74.livejournal.com 2008-06-03 09:59 am (UTC)(link)
логика тривиальная: чем разбираться, какие конкретно порты используют всякие новые трояны и прочая дрянь, проще закрыть наглухо все, кроме того что заведомо кому-нибудь нужно открытым. Экономия сил и времени.

[identity profile] alexkuklin.livejournal.com 2008-06-03 10:03 am (UTC)(link)
это актуально "на вход".
на выход - трояны просто используют стандартные порты. на скайп посмотри.
единственный порт, который осмысленно закрывать, это tcp/25

vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2008-06-03 10:25 am (UTC)(link)
А 137-139? А 2049? А 512-515? Я вообще-то и диапазон 6000-6020 от греха закрываю.

[identity profile] alexkuklin.livejournal.com 2008-06-03 11:26 am (UTC)(link)
Вот разве что 6000-6020, т.к. управление ботами, и 137-139, т.к. виндовые вирусы.
Все остальное, имхо, от лукавого.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2008-06-03 11:43 am (UTC)(link)
Лично я предпочитаю перекрыть нафиг все сервисы, которые рассчитаны на использование в доверенной локальной сети.
Именно потому что я ими внутри этой сети ПОЛЬЗУЮСЬ. А наружу все равно пойдут через vpn или ssh-туннель.
Соответственно, SMB, NFS, r*, X, и все что с X связано - font server, audio server. Ну и еще DHCP и TFTP до кучи.

[identity profile] alexkuklin.livejournal.com 2008-06-03 11:52 am (UTC)(link)
ок, предположим.
это вполне себе аргумент.
но чем провинился диапазон tcp/22xxx?

[identity profile] zarnaya.livejournal.com 2008-06-03 12:29 pm (UTC)(link)
Тем же самым.
Любой троян позволяет менять порт на котором он сидит.

[identity profile] alexkuklin.livejournal.com 2008-06-03 01:00 pm (UTC)(link)
еще раз.
это ИСХОДЯЩЕЕ соединение.
причем тут троян, который СИДИТ на порту?
теорию TCP/IP знаем?

Ну на шлюзе фирмы на 20 человек закрыть - это одно,

[identity profile] rubah.livejournal.com 2008-06-03 04:21 pm (UTC)(link)
а на магистрали/хостинге/etc - это другое. Как-то область действия претензии непонятна :).

У меня изнутри на выход вообще всё наглухо закрыто, так как офис, и кроме интернетов/почты ничего от внешности и не надо. Всё благополучно работает через прокси/кеширующий DNS/внутренний SMTP. Нужные дырки проковыриваются на фаере при необходимости.

Ибо достаточно поймать тривиальный вирус (а сделать это сравнительно легко как ни предохраняйся), и тут же жалоба в абуз на тему "вы нам сайты ломаете!"/"вы нам спам шлете!"/"вы наши пароли подбираете!".

Всё по учебнику - разреши всё, что нужно, запрети остальное.

[identity profile] debug.livejournal.com 2008-06-04 07:57 am (UTC)(link)
Ну вообще да, админов ISP никак не должно касаться то, по каким портам клиенты хотят ходить наружу. Должно быть открыто всё.
Threaded | Top-Level Comments Only