Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Gowa
|
Добавлено: 13-01-07 13:11 Заголовок сообщения: |
|
|
Доброго дня всем!
Я поспал, полистал утром форум, подумал и решил написал окончательный вид своих правил. Внесены некоторые корректировки.
1) Необходимо уметь разрешать весь трафик с одного определенного IP-ника. Это для администрирования. Этот канал надо уметь поднять в любых условиях, чтобы в случае вирусов и др. непредвиденных обстоятельств можно было помочь себе удаленно.
2) Считаю, что надо блокировать по умолчанию весь NetBIOS из внешнего интернета. Конечно, каждый пользователь может это сделать и сам с помощью файрвола. Но все же этот вид трафика может навредить не только объемом, но и просто компьютеру и его данным.
3) Настройки ICMP невидимости.
4) Выключение всего внешнего интернета, за исключением некоторых проверенных сервисов и трафика из правила 1) Список сервисов надо уточнять здесь, на форуме. И конечно, туда должна попасть ICQ. В этот список неприменно должна входить почта box.vsi.ru (хоть она и платная ) для того, чтобы можно было разговаривать с нашим support'ом. Желательно, чтобы support хорошо продумал этот список. Вероятно, надо оставить и другие сервисы e-mail - gmail.com, например.
Жирным я выделил то, без чего я не переживу
Вчера я еще почитал нормы поведения в сети. И нашел пунктик, по которому нежелательно производить и рассылать бесполезный трафик. Поэтому считаю, что если клиент заметил, что к нему приходит такой трафик, он должен написать письмо в support, чтобы тот с ним что-то сделал.
Я помню, как-то были вирусы в нашей сети. Наша администрация быстро запретила вообще все пинги, как внешние, так и внутренние. И тем самым сэкономила много денег всем. Support должен следить за трафиком, который ходит. И в случае выявления плохого трафика, предпринимать меры.
Есть пожелани о том, чтобы после сохранения правил, не надо было останавливать/поднимать сессию, или чтобы была кнопочка на самом сайте - сбросить сессию. Это больше всего требуется для правила 1). Если у меня вдруг сменится удаленный IP-ник, я пойду, поменяю это правило, а применить как? Многи модемы умеют сами восстанавливать коннект, если он был прерван. Думаю, что кнопочку такую сделать не очень сложно. |
|
Сообщения: 14
|
|
|
sanatall
|
Добавлено: 13-01-07 13:31 Заголовок сообщения: |
|
|
Oleg писал(а): |
"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:
ftp://ftp.vsi.ru/pub/ssl-cert/
и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign. |
Не понятно почему ранше об этом нельзя было сказать |
|
Сообщения: 37
|
|
|
AntiX
|
Добавлено: 13-01-07 15:04 Заголовок сообщения: |
|
|
Блин, а у меня вбиты 26 строки в пакетки (не считая deny ip any), и все они мне нужны |
|
Сообщения: 78
|
|
|
bol
|
Добавлено: 13-01-07 15:55 Заголовок сообщения: |
|
|
1. Я думаю нужно будет добавить в список правил еще разрешения на прокси популярных сжималок траффика(cproxy, toonel, TCompressor).
2. Я не хочу выкидывать лишние деньги за траф, который можно сжать раза в 3-5.
3. А вообще предлагаю сделать ограничение на количество правил в пакетнике(скажем, на больше 10). Ибо почти все проги можно пустить через проксю, а для каждой проги писать в пакетнике фильтры считаю геморно и занимает много времени.
4. Если все же ограничение на количество правил ввести невозможно,то лично я хотел бы видеть правило, блокирующую весь инет, кроме проксей сжималок и cashe.vsi.ru. Та же аська отлично работает через прокси, хоть сжимающий, хоть ВСИшный. Насчет почты не знаю - я лезу на почту по HTTP(привык, трафик минимален), но понимаю, что это неудобно для всех. Так что почту тоже как-то раскрыть нужно для людей, кому она будет нужна. |
|
Сообщения: 107
|
|
|
Oleg
|
Добавлено: 13-01-07 16:51 Заголовок сообщения: |
|
|
sanatall писал(а): |
Oleg писал(а): |
"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:
ftp://ftp.vsi.ru/pub/ssl-cert/
и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign. |
Не понятно почему ранше об этом нельзя было сказать
|
Да это вообще-то есть на сайте:
http://isp.vsi.ru/support/servers.html
т.е. там же, где приведен список наших серверов и указано, какие из них поддерживают SSL, есть и ссылка на корневой сертификат. Я думал, люди тут читают, прежде чем писать. |
|
Сообщения: 1329
|
|
|
mimzik
|
Добавлено: 13-01-07 17:19 Заголовок сообщения: |
|
|
тема бред.
но если будите делать ,то под STEAM сделайте обязательно |
|
Сообщения: 31
|
|
|
Zhenek
|
Добавлено: 14-01-07 01:59 Заголовок сообщения: |
|
|
bol писал(а): | 1. Я думаю нужно будет добавить в список правил еще разрешения на прокси популярных сжималок траффика(cproxy, toonel, TCompressor).
2. Я не хочу выкидывать лишние деньги за траф, который можно сжать раза в 3-5.
3. А вообще предлагаю сделать ограничение на количество правил в пакетнике(скажем, на больше 10). Ибо почти все проги можно пустить через проксю, а для каждой проги писать в пакетнике фильтры считаю геморно и занимает много времени.
4. Если все же ограничение на количество правил ввести невозможно,то лично я хотел бы видеть правило, блокирующую весь инет, кроме проксей сжималок и cashe.vsi.ru. Та же аська отлично работает через прокси, хоть сжимающий, хоть ВСИшный. Насчет почты не знаю - я лезу на почту по HTTP(привык, трафик минимален), но понимаю, что это неудобно для всех. Так что почту тоже как-то раскрыть нужно для людей, кому она будет нужна. |
Вот ИМХО оптимальный вариант если уж на то пошло Почту у меня лично не получилось(в аутлуке вроде прокси настраивается-но видно скорости не хватает-ошибку выдаёт) через прокси пустить(да и не так тяжело открыть 2 порта под почту),тем более что медленно это, а от аськи могу отказатся в принципе вообще, телефон есть для этих целей |
|
Сообщения: 20
|
|
|
J.C.
|
Добавлено: 14-01-07 07:38 Заголовок сообщения: |
|
|
Zhenek писал(а): | а от аськи могу отказатся в принципе вообще, телефон есть для этих целей |
а если у меня друзья за пределами россии живут, тоже по телефону звонить предлагаеш? телефонист блин.
аська должна быть по-любому. и не через прокси (лишние "уши", знаете ли), а напрямую. |
|
Сообщения: 24
|
|
|
bol
|
Добавлено: 14-01-07 12:54 Заголовок сообщения: |
|
|
J.C. писал(а): | (лишние "уши", знаете ли) |
Если тебя надо будет прослушать кому-то, прослушают где угодно. А слушать на проксе ВСИ это прямое наружение уголовного законодательства, если я не ошибаюсь... |
|
Сообщения: 107
|
|
|
SmiLeY
|
Добавлено: 14-01-07 13:17 Заголовок сообщения: |
|
|
А нельзя после этих нововведений оставить и прежний режим?
Т.к. у меня там все настроено и если что-то изменится, то будет не очень удобно, т.к. нету локального файервола. Понимаете? |
|
Сообщения: 5
|
|
|
SmiLeY
|
Добавлено: 14-01-07 14:01 Заголовок сообщения: |
|
|
Я в смысле, чтобы можно было выбрать. Либо стандартные настройки, либо расширенные, а то получается, что якобы для удобства пользователей, а с другой стороны, никто не будет защищен от ошибки профессионала. |
|
Сообщения: 5
|
|
|
-=[Ариец]=-
|
Добавлено: 14-01-07 14:35 Заголовок сообщения: |
|
|
Народ, а кстати ведь не будет толку от внутреннего фаервола тогда!
Если например кто-нибудь решит за досить канал... Ведь трафик то модема-то дойдёт полюбому!!!
И какой тогда толк от фаервола? Только чтобы лишь вири не смогли скачивать? |
|
Сообщения: 286
|
|
|
SmiLeY
|
Добавлено: 14-01-07 15:01 Заголовок сообщения: |
|
|
очень обнадеживающая фраза
avf писал(а): | Однако у нас с Вами договор только на доступ в интернет, в котором ни строчки не сказано ни про какие пакетные фильтры. Вы можете пользоваться или не пользоваться ими на свой страх и риск. И в настоящее время это так. Мы не гарантируем, что правила, которые Вы написали в фильтре будут правильно работать и фильтровать трафик. |
т.е. мы ни за что не отвечаем, главное что работает, а дальше ваше дело как защищаться от внешнего траффика, и если что происходит, не важно по чьей вине, то это нас не касается. Так это понимать надо? |
|
Сообщения: 5
|
|
|
Zhenek
|
Добавлено: 14-01-07 17:09 Заголовок сообщения: |
|
|
J.C. писал(а): | Zhenek писал(а): | а от аськи могу отказатся в принципе вообще, телефон есть для этих целей |
а если у меня друзья за пределами россии живут, тоже по телефону звонить предлагаеш? телефонист блин.
аська должна быть по-любому. и не через прокси (лишние "уши", знаете ли), а напрямую. |
Это что ж у тебя за тайная переписка-то такая с заграницей
Шпионишь что ли? Зачем это тебя все кинутся слушать...вернее читать кстати. Тем более я лично про себя писал!
Опять же для аськи тоже не сложно было бы просто порт открыть-раз уж тут таки любители за границу писать на халяву присутствуют |
|
Сообщения: 20
|
|
|
Нечто
|
Добавлено: 14-01-07 19:43 Заголовок сообщения: |
|
|
Вот я не пойму одного. Долго ещё будем воду в ступе толочь? Не пора ли делать, то что задумали и закрывать эту тему? А то дыму нагнали особенно здесь:
avf писал(а): | Однако у нас с Вами договор только на доступ в интернет, в котором ни строчки не сказано ни про какие пакетные фильтры. Вы можете пользоваться или не пользоваться ими на свой страх и риск. И в настоящее время это так. Мы не гарантируем, что правила, которые Вы написали в фильтре будут правильно работать и фильтровать трафик. | , как правильно уже зацитировал SmiLeY
Ну а раз договор только на интернет, но нЕчего из себя строить таких щедрых админов мол вот наши волонтёры.. и т.п. А если у кого-то возникает проблема вы начинаете: здесь не пиши, ответа не получишь, там не пиши, эта услуга не обязательная, и ваще хватит писать как ты пишешь! пиши как мы указали и прочее.. скоро дойдёт до того, что при звонке по 050 я услышу как в американских фильмах по номеру 911 Если вас убивают нажмите 1, если вас пытаются изнасиловать нажмите 2.. НАДОЕЛО!
А сейчас мне скажите раз надоело не читай, не звони и ваще пшол вон.
А затем когда окажется, что цена на услугу возросла в 10 раз я скажу чё за фигня, почему не предупредили за 10 дней.. а вы мне скажите, ну вот тут и тут была размещена эта информация, а конкретно до каждого клиента мы доводить это не можем.. и т.п. Вот и вынужден читать непонятно что. Эта тема исчерпала себя на второй странице. Отсюда вопрос админам. Когда наконец в какую-либо сторону решиться вопрос пакетного фильтра? |
|
Сообщения: 269
|
|
|
Oleg
|
Добавлено: 14-01-07 19:54 Заголовок сообщения: |
|
|
Нечто писал(а): |
Вот я не пойму одного. Долго ещё будем воду в ступе толочь? Не пора ли делать, то что задумали и закрывать эту тему?
|
Убедили. Закрываю тему.
Нечто писал(а): |
Ну а раз договор только на интернет, но нЕчего из себя строить таких щедрых админов мол вот наши волонтёры.. и т.п. А если у кого-то возникает проблема вы начинаете: здесь не пиши, ответа не получишь, там не пиши, эта услуга не обязательная, и ваще хватит писать как ты пишешь! пиши как мы указали и прочее..
|
Если вы не хотите, чтобы ваша проблема решилась - без проблем, можете писать сообщения типа "У меня ничиво ниработаит". Если хотите, чтобы она решилась - нужно предоставлять максимум данных. А нам, извините, лучше знать, какие данные НАМ нужнее для решения ВАШЕЙ проблемы. Не вы же ее решаете, вы обращаетесь к нам с просьбой помочь, так что будьте добры.
Нечто писал(а): |
А затем когда окажется, что цена на услугу возросла в 10 раз я скажу чё за фигня, почему не предупредили за 10 дней.. а вы мне скажите, ну вот тут и тут была размещена эта информация, а конкретно до каждого клиента мы доводить это не можем.. и т.п. Вот и вынужден читать непонятно что. Эта тема исчерпала себя на второй странице. Отсюда вопрос админам. Когда наконец в какую-либо сторону решиться вопрос пакетного фильтра?
|
Как только решится в какую-то сторону - мы разместим подробную новость об этом на сайте isp.vsi.ru (кстати, в договоре написано, что вы обязаны регулярно посещать наши официальные сайты - это к вопросу "а вдруг я ничего за 10 дней не прочту"). Эта тема была нужна для того, чтобы люди конструктивно обсудили, какие варианты фильтров их интересуют. Но поскольку конструктив здесь закончился буквально на второй день, и сюда начали писать такие сообщения, как ваше, то тему я благополучно закрываю. |
|
Сообщения: 1329
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|