raven-il píše:Mozna bych z toho jen vyhodil port 443, coz je windowsi netbios hojne vyuzivany ruznymi viry a jednim z redmontu...
443 je Windowsí NetBios? .. to víte odkud? pokud vím tak je to běžný https!
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
bittorenty a filtry na P2P jsou out
-
StoupaLutin
- Příspěvky: 211
- Registrován: 19 years ago
- Bydliště: Lutín
- Kontaktovat uživatele:
mato1 píše:Ide len to co povolite a funguje aj na blokovanie neznamych p2p, odskusane. Musite uznat, ze ani p2p nevie ist vylucne po 80 porte. A ked aj trocha cez ten port pretece, tak to zdaleka nie je take hrozne ako keby to slapalo plnou rychlostou.
Len dodam, ze ja som to nemal kvoli obmedzovaniu userov, ale ked nam vypadne hlavny connect, zalozka nebola taka velka, a enormne mnozstvo dat by tomu moc nepomohlo. Takze na zalohu len dolezite veci, mimo p2p, nez nabehne hlavna linka....
Ale ako vidim, ludia su vynaliezav
Toho blokovania UDP portov sa desim.
0 x
mato1 píše:ok, tak to spravim formou obrazkov, aby to chapali aj ty menej chapavy
obmedzime pocet spojeni tcp spojeni... (zvlast pravidlom obmedz aj p2p spojenia) na 200 a po prekroceni ich hodime do dynamickeho address listu.
nasledujuce pravidlo asi nemusim vysvetlovat, jump na vytvoreny chain.
a na dalsom obrazku vidiet porty ktore su povolene. nezabudnite na posledny port ktory vsetko ostatne zakaze!!!
Zatial testujem, ide to bez problemov... uvidime ako sa to bude spravat niekolko dni v prevadzke...
No vsetko mi sedi ale v jumpe dst.list nie. Mas to presne tak ako je na obrazku? Lebo ak to dam tak tak to nepracuje a neobmedzuje porty. Ale ak dam to do src listu tak to ide(skusil som si to na sebe ze som vyhodil 80 port a nesli mi stranky)ak som to mal podla teba tak som surfoval
0 x
Hoj, vypada to moc dobre, hned to zkusim..
Jen dotaz, nestih jsem si vsimnout, kde se nastavi, ze pokud nejaka ip prekroci pocet konexi a spadne do toho address listu, kde se se nastavi, ze cca napr. za 2hod bude zase mimo address list a bude no limit, bez omezeni... ?
No, a jestli jsem tomu porozumel dobre (a jestli ne tak me pls nekdo opravte a porozumet tomu chci
) tak se udela pravidlo, kde se nastavi z jake site budou ipcka kontrolovana na pocet konexi, jaky protokol, dale pocet spojeni (btw nevi nekdo, co znamena u tech konexi ta mask 32?) dale v action, ze pokud prekroci pocet spojeni soupne ho na address list, se jmenem vyplnenym v Adrress list. Jo, k cemu tam slouzi ten Timeout ?
Dale se prida dalsi pravidlo, kde v Advanced se nastavi ze bude pouzivat dany address list a v action, ze pokud splny veskera pravidla, hodi ho do (podle me tabulky ) ktera podle me slouzi jako jednotna skupina, kde se dale ve fw nastavuji pravidla pro celou skupinu..
Uff, porozumel jsem tomu spravne ?
Este se zeptam, pravidla s portama ve Filter Rules, kde se u jednotlivych zakazku, ci povoleni nastavuji Src. port a Dst. Port, rozumim tomu spravne ze je to jako port pro IN a OUT ? pro komunikaci "dovnitr" a "ven" ?
Interface se u techto pravidel nastavovat nemusi ?
Jo, este, jak je dole na obrazku pravidlo DROP v basic_ports, kde neni uveden zadny port, znamena to, ze je vse zakazano? Znamena to, ze tedy blokuje TCP i UDP (vlastne, vsechny protokoly) a povoluji se tedy jen urcite porty s action accept ?
A este jedna takova stupid otazka...
Myslite ze ma cenu nastavovat toto pravidlo na kazdym AP a routeru v siti, nebo staci na nejakym prvnim stroji s MT hned za igw, kde ostatni AP a routery budou vlastne az za tim prvnim strojem s MT... ?
Osobne bych to asi udelal asi na kazdym, aby se predeslo zbytecnemu zatezovani pateri, ale jak rikam..jsem cerstvy zacatecnik, proto se ptam
Omluvte me za ty povrchni otazky, ale s mt pracuji teprve kratkou dobu a v sitich jsem take zacatecnik
Predem diky za odpovedi
K.
Jen dotaz, nestih jsem si vsimnout, kde se nastavi, ze pokud nejaka ip prekroci pocet konexi a spadne do toho address listu, kde se se nastavi, ze cca napr. za 2hod bude zase mimo address list a bude no limit, bez omezeni... ?
No, a jestli jsem tomu porozumel dobre (a jestli ne tak me pls nekdo opravte a porozumet tomu chci
) tak se udela pravidlo, kde se nastavi z jake site budou ipcka kontrolovana na pocet konexi, jaky protokol, dale pocet spojeni (btw nevi nekdo, co znamena u tech konexi ta mask 32?) dale v action, ze pokud prekroci pocet spojeni soupne ho na address list, se jmenem vyplnenym v Adrress list. Jo, k cemu tam slouzi ten Timeout ?Dale se prida dalsi pravidlo, kde v Advanced se nastavi ze bude pouzivat dany address list a v action, ze pokud splny veskera pravidla, hodi ho do (podle me tabulky
) ktera podle me slouzi jako jednotna skupina, kde se dale ve fw nastavuji pravidla pro celou skupinu..Uff, porozumel jsem tomu spravne ?
Este se zeptam, pravidla s portama ve Filter Rules, kde se u jednotlivych zakazku, ci povoleni nastavuji Src. port a Dst. Port, rozumim tomu spravne ze je to jako port pro IN a OUT ? pro komunikaci "dovnitr" a "ven" ?
Interface se u techto pravidel nastavovat nemusi ?
Jo, este, jak je dole na obrazku pravidlo DROP v basic_ports, kde neni uveden zadny port, znamena to, ze je vse zakazano? Znamena to, ze tedy blokuje TCP i UDP (vlastne, vsechny protokoly) a povoluji se tedy jen urcite porty s action accept ?
A este jedna takova stupid otazka...
Myslite ze ma cenu nastavovat toto pravidlo na kazdym AP a routeru v siti, nebo staci na nejakym prvnim stroji s MT hned za igw, kde ostatni AP a routery budou vlastne az za tim prvnim strojem s MT... ?
Osobne bych to asi udelal asi na kazdym, aby se predeslo zbytecnemu zatezovani pateri, ale jak rikam..jsem cerstvy zacatecnik, proto se ptam
Omluvte me za ty povrchni otazky, ale s mt pracuji teprve kratkou dobu a v sitich jsem take zacatecnik
Predem diky za odpovedi
K.
0 x
jen nevím, ale tím pádem jim odbouráte VOIP, museli by se povolit porty 10000-20000.Lidi asi nepochopí proč jim nejede telefon- totiž že syn jim nechal v noci spuštěný torrent.
Jako řešení je to opravdu hezké, jen škoda, že ta VOIP ještě není dořešena - kdyby konečně nějak standardizovali které konkrétní porty půjdou na VOIP, člověk by se nezlobil.
Jako řešení je to opravdu hezké, jen škoda, že ta VOIP ještě není dořešena - kdyby konečně nějak standardizovali které konkrétní porty půjdou na VOIP, člověk by se nezlobil.
0 x
to jsem docela pochopil jak to resi, proste separatni linkou.
jen by mne zajimalo co kdyz si nekdo odpoji telefon a da si ho na internetovou linku a pc na voip. takze soufam ze myslite i na toto a povolujete pristup z tohoto subnetu pouze na ustrednu
jen by mne zajimalo co kdyz si nekdo odpoji telefon a da si ho na internetovou linku a pc na voip. takze soufam ze myslite i na toto a povolujete pristup z tohoto subnetu pouze na ustrednu
0 x
ale to pravidlo stejně sleduje jen TCP pakety, takze to UDP neresi
0 x
Vašek Medek
[www.fryzl.cz]
[www.fryzl.cz]
nazdarek:)
ha .. mam problem:) proc mi to na stroji, kde mam NAT s makaradou ven, nechodi ?
Vsude na siti ok, pohoda ... ale.........
kdyz toto pravidlo nasadim na RB kde mam tu maskaradu, tak data litaji akorat u toho pravidla s "add src to address list" , u toho jump kde je forward uz ne-e:(
nikde jsem slysel ze maskarada, ma predevsim ostatnim takovou, jakoby PREDNOST... ale, jak to tedy vyresit ? zkousel jsem uz i nejake znackovani packetu a ruzne vychytavky, ale bez uspechu...
ha .. mam problem:) proc mi to na stroji, kde mam NAT s makaradou ven, nechodi ?
Vsude na siti ok, pohoda ... ale.........
kdyz toto pravidlo nasadim na RB kde mam tu maskaradu, tak data litaji akorat u toho pravidla s "add src to address list" , u toho jump kde je forward uz ne-e:(
nikde jsem slysel ze maskarada, ma predevsim ostatnim takovou, jakoby PREDNOST... ale, jak to tedy vyresit ? zkousel jsem uz i nejake znackovani packetu a ruzne vychytavky, ale bez uspechu...
0 x
mato1 píše:no teraz to skusam a testujem ale nejak tomu nieco vadi... neviem co.
ked povolim urcite porty, konkretne tieto...
21, 22, 25, 53, 80, 110, 443, 5190, 7001
...tak tieto porty nestacia na to aby bezali stranky. Neviem preco... Ostatne porty mam zablokovane. Ked mi nejdu stranky, tak to zachyta jedno pravidlo ktore dropuje porty od 444-5189. Nikde inde sa pakety nezachytavaju, takze asi jeden z tychto portov bude treba povolit... ale ktory?
Vie mi niekto pomoct?
pre lepsie zorientovanie sa prikladam obrazok:
A tomuhle jako říkáš neomezenej internet. Já teda nevim ale aspoň bys měl povolit i stream radio (porty kolem 8000)
0 x