CenterTelecom Voronezh ISP
Технический форум
Web: http://isp.vsi.ru/; E-Mail: support@vsi.ru; Phone: 050


 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

ИЗМЕНЕНИЯ В ПАКЕТНЫХ ФИЛЬТРАХ
На страницу Пред.  1, 2, 3, 4, 5
 
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов CenterTelecom Voronezh ISP -> Мусор
Предыдущая тема :: Следующая тема  
Автор Сообщение
Gowa



СообщениеДобавлено: 13-01-07 13:11    Заголовок сообщения: Ответить с цитатой

Доброго дня всем!
Я поспал, полистал утром форум, подумал и решил написал окончательный вид своих правил. Внесены некоторые корректировки.

1) Необходимо уметь разрешать весь трафик с одного определенного IP-ника. Это для администрирования. Этот канал надо уметь поднять в любых условиях, чтобы в случае вирусов и др. непредвиденных обстоятельств можно было помочь себе удаленно.

2) Считаю, что надо блокировать по умолчанию весь NetBIOS из внешнего интернета. Конечно, каждый пользователь может это сделать и сам с помощью файрвола. Но все же этот вид трафика может навредить не только объемом, но и просто компьютеру и его данным.

3) Настройки ICMP невидимости.

4) Выключение всего внешнего интернета, за исключением некоторых проверенных сервисов и трафика из правила 1) Список сервисов надо уточнять здесь, на форуме. И конечно, туда должна попасть ICQ. В этот список неприменно должна входить почта box.vsi.ru (хоть она и платная sad ) для того, чтобы можно было разговаривать с нашим support'ом. Желательно, чтобы support хорошо продумал этот список. Вероятно, надо оставить и другие сервисы e-mail - gmail.com, например.

Жирным я выделил то, без чего я не переживу smile

Вчера я еще почитал нормы поведения в сети. И нашел пунктик, по которому нежелательно производить и рассылать бесполезный трафик. Поэтому считаю, что если клиент заметил, что к нему приходит такой трафик, он должен написать письмо в support, чтобы тот с ним что-то сделал.

Я помню, как-то были вирусы в нашей сети. Наша администрация быстро запретила вообще все пинги, как внешние, так и внутренние. И тем самым сэкономила много денег всем. Support должен следить за трафиком, который ходит. И в случае выявления плохого трафика, предпринимать меры.

Есть пожелани о том, чтобы после сохранения правил, не надо было останавливать/поднимать сессию, или чтобы была кнопочка на самом сайте - сбросить сессию. Это больше всего требуется для правила 1). Если у меня вдруг сменится удаленный IP-ник, я пойду, поменяю это правило, а применить как? smile Многи модемы умеют сами восстанавливать коннект, если он был прерван. Думаю, что кнопочку такую сделать не очень сложно.
Сообщения: 14
Посмотреть профиль Отправить личное сообщение
sanatall



СообщениеДобавлено: 13-01-07 13:31    Заголовок сообщения: Ответить с цитатой

Oleg писал(а):

"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:

ftp://ftp.vsi.ru/pub/ssl-cert/

и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign.


Не понятно почему ранше об этом нельзя было сказать smile
Сообщения: 37
Посмотреть профиль Отправить личное сообщение
AntiX



СообщениеДобавлено: 13-01-07 15:04    Заголовок сообщения: Ответить с цитатой

Блин, а у меня вбиты 26 строки в пакетки (не считая deny ip any), и все они мне нужны shok
Сообщения: 78
Посмотреть профиль Отправить личное сообщение
bol



СообщениеДобавлено: 13-01-07 15:55    Заголовок сообщения: Ответить с цитатой

1. Я думаю нужно будет добавить в список правил еще разрешения на прокси популярных сжималок траффика(cproxy, toonel, TCompressor).

2. Я не хочу выкидывать лишние деньги за траф, который можно сжать раза в 3-5.

3. А вообще предлагаю сделать ограничение на количество правил в пакетнике(скажем, на больше 10). Ибо почти все проги можно пустить через проксю, а для каждой проги писать в пакетнике фильтры считаю геморно и занимает много времени.

4. Если все же ограничение на количество правил ввести невозможно,то лично я хотел бы видеть правило, блокирующую весь инет, кроме проксей сжималок и cashe.vsi.ru. Та же аська отлично работает через прокси, хоть сжимающий, хоть ВСИшный. Насчет почты не знаю - я лезу на почту по HTTP(привык, трафик минимален), но понимаю, что это неудобно для всех. Так что почту тоже как-то раскрыть нужно для людей, кому она будет нужна.
Сообщения: 107
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 13-01-07 16:51    Заголовок сообщения: Ответить с цитатой

sanatall писал(а):

Oleg писал(а):

"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:

ftp://ftp.vsi.ru/pub/ssl-cert/

и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign.


Не понятно почему ранше об этом нельзя было сказать smile


Да это вообще-то есть на сайте:

http://isp.vsi.ru/support/servers.html

т.е. там же, где приведен список наших серверов и указано, какие из них поддерживают SSL, есть и ссылка на корневой сертификат. Я думал, люди тут читают, прежде чем писать.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
mimzik



СообщениеДобавлено: 13-01-07 17:19    Заголовок сообщения: Ответить с цитатой

тема бред.
но если будите делать ,то под STEAM сделайте обязательно
Сообщения: 31
Посмотреть профиль Отправить личное сообщение
Zhenek



СообщениеДобавлено: 14-01-07 01:59    Заголовок сообщения: Ответить с цитатой

bol писал(а):
1. Я думаю нужно будет добавить в список правил еще разрешения на прокси популярных сжималок траффика(cproxy, toonel, TCompressor).

2. Я не хочу выкидывать лишние деньги за траф, который можно сжать раза в 3-5.

3. А вообще предлагаю сделать ограничение на количество правил в пакетнике(скажем, на больше 10). Ибо почти все проги можно пустить через проксю, а для каждой проги писать в пакетнике фильтры считаю геморно и занимает много времени.

4. Если все же ограничение на количество правил ввести невозможно,то лично я хотел бы видеть правило, блокирующую весь инет, кроме проксей сжималок и cashe.vsi.ru. Та же аська отлично работает через прокси, хоть сжимающий, хоть ВСИшный. Насчет почты не знаю - я лезу на почту по HTTP(привык, трафик минимален), но понимаю, что это неудобно для всех. Так что почту тоже как-то раскрыть нужно для людей, кому она будет нужна.


Вот ИМХО оптимальный вариант если уж на то пошло sad Почту у меня лично не получилось(в аутлуке вроде прокси настраивается-но видно скорости не хватает-ошибку выдаёт) через прокси пустить(да и не так тяжело открыть 2 порта под почту),тем более что медленно это, а от аськи могу отказатся в принципе вообще, телефон есть для этих целей wink
Сообщения: 20
Посмотреть профиль Отправить личное сообщение
J.C.



СообщениеДобавлено: 14-01-07 07:38    Заголовок сообщения: Ответить с цитатой

Zhenek писал(а):
а от аськи могу отказатся в принципе вообще, телефон есть для этих целей wink

а если у меня друзья за пределами россии живут, тоже по телефону звонить предлагаеш? телефонист блин.
аська должна быть по-любому. и не через прокси (лишние "уши", знаете ли), а напрямую.
Сообщения: 24
Посмотреть профиль Отправить личное сообщение
bol



СообщениеДобавлено: 14-01-07 12:54    Заголовок сообщения: Ответить с цитатой

J.C. писал(а):
(лишние "уши", знаете ли)

Если тебя надо будет прослушать кому-то, прослушают где угодно. А слушать на проксе ВСИ это прямое наружение уголовного законодательства, если я не ошибаюсь...
Сообщения: 107
Посмотреть профиль Отправить личное сообщение
SmiLeY



СообщениеДобавлено: 14-01-07 13:17    Заголовок сообщения: Ответить с цитатой

А нельзя после этих нововведений оставить и прежний режим?
Т.к. у меня там все настроено и если что-то изменится, то будет не очень удобно, т.к. нету локального файервола. Понимаете?
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
SmiLeY



СообщениеДобавлено: 14-01-07 14:01    Заголовок сообщения: Ответить с цитатой

Я в смысле, чтобы можно было выбрать. Либо стандартные настройки, либо расширенные, а то получается, что якобы для удобства пользователей, а с другой стороны, никто не будет защищен от ошибки профессионала. smile
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
-=[Ариец]=-



СообщениеДобавлено: 14-01-07 14:35    Заголовок сообщения: Ответить с цитатой

Народ, а кстати ведь не будет толку от внутреннего фаервола тогда!
Если например кто-нибудь решит за досить канал... Ведь трафик то модема-то дойдёт полюбому!!!
И какой тогда толк от фаервола? Только чтобы лишь вири не смогли скачивать?
Сообщения: 286
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
SmiLeY



СообщениеДобавлено: 14-01-07 15:01    Заголовок сообщения: Ответить с цитатой

glare очень обнадеживающая фраза
avf писал(а):
Однако у нас с Вами договор только на доступ в интернет, в котором ни строчки не сказано ни про какие пакетные фильтры. Вы можете пользоваться или не пользоваться ими на свой страх и риск. И в настоящее время это так. Мы не гарантируем, что правила, которые Вы написали в фильтре будут правильно работать и фильтровать трафик.

т.е. мы ни за что не отвечаем, главное что работает, а дальше ваше дело как защищаться от внешнего траффика, и если что происходит, не важно по чьей вине, то это нас не касается. Так это понимать надо?
Сообщения: 5
Посмотреть профиль Отправить личное сообщение
Zhenek



СообщениеДобавлено: 14-01-07 17:09    Заголовок сообщения: Ответить с цитатой

J.C. писал(а):
Zhenek писал(а):
а от аськи могу отказатся в принципе вообще, телефон есть для этих целей wink

а если у меня друзья за пределами россии живут, тоже по телефону звонить предлагаеш? телефонист блин.
аська должна быть по-любому. и не через прокси (лишние "уши", знаете ли), а напрямую.

Это что ж у тебя за тайная переписка-то такая с заграницей shok
Шпионишь что ли? nono boss Зачем это тебя все кинутся слушать...вернее читать кстати. Тем более я лично про себя писал!
Опять же для аськи тоже не сложно было бы просто порт открыть-раз уж тут таки любители за границу писать на халяву присутствуют wink
Сообщения: 20
Посмотреть профиль Отправить личное сообщение
Нечто



СообщениеДобавлено: 14-01-07 19:43    Заголовок сообщения: Ответить с цитатой

Вот я не пойму одного. Долго ещё будем воду в ступе толочь? Не пора ли делать, то что задумали и закрывать эту тему? А то дыму нагнали особенно здесь:
avf писал(а):
Однако у нас с Вами договор только на доступ в интернет, в котором ни строчки не сказано ни про какие пакетные фильтры. Вы можете пользоваться или не пользоваться ими на свой страх и риск. И в настоящее время это так. Мы не гарантируем, что правила, которые Вы написали в фильтре будут правильно работать и фильтровать трафик.
, как правильно уже зацитировал SmiLeY
Ну а раз договор только на интернет, но нЕчего из себя строить таких щедрых админов мол вот наши волонтёры.. и т.п. А если у кого-то возникает проблема вы начинаете: здесь не пиши, ответа не получишь, там не пиши, эта услуга не обязательная, и ваще хватит писать как ты пишешь! пиши как мы указали и прочее.. скоро дойдёт до того, что при звонке по 050 я услышу как в американских фильмах по номеру 911 Если вас убивают нажмите 1, если вас пытаются изнасиловать нажмите 2.. НАДОЕЛО!
А сейчас мне скажите раз надоело не читай, не звони и ваще пшол вон.
А затем когда окажется, что цена на услугу возросла в 10 раз я скажу чё за фигня, почему не предупредили за 10 дней.. а вы мне скажите, ну вот тут и тут была размещена эта информация, а конкретно до каждого клиента мы доводить это не можем.. и т.п. Вот и вынужден читать непонятно что. Эта тема исчерпала себя на второй странице. Отсюда вопрос админам. Когда наконец в какую-либо сторону решиться вопрос пакетного фильтра?
Сообщения: 269
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Oleg



СообщениеДобавлено: 14-01-07 19:54    Заголовок сообщения: Ответить с цитатой

Нечто писал(а):

Вот я не пойму одного. Долго ещё будем воду в ступе толочь? Не пора ли делать, то что задумали и закрывать эту тему?


Убедили. Закрываю тему.

Нечто писал(а):

Ну а раз договор только на интернет, но нЕчего из себя строить таких щедрых админов мол вот наши волонтёры.. и т.п. А если у кого-то возникает проблема вы начинаете: здесь не пиши, ответа не получишь, там не пиши, эта услуга не обязательная, и ваще хватит писать как ты пишешь! пиши как мы указали и прочее..


Если вы не хотите, чтобы ваша проблема решилась - без проблем, можете писать сообщения типа "У меня ничиво ниработаит". Если хотите, чтобы она решилась - нужно предоставлять максимум данных. А нам, извините, лучше знать, какие данные НАМ нужнее для решения ВАШЕЙ проблемы. Не вы же ее решаете, вы обращаетесь к нам с просьбой помочь, так что будьте добры.

Нечто писал(а):

А затем когда окажется, что цена на услугу возросла в 10 раз я скажу чё за фигня, почему не предупредили за 10 дней.. а вы мне скажите, ну вот тут и тут была размещена эта информация, а конкретно до каждого клиента мы доводить это не можем.. и т.п. Вот и вынужден читать непонятно что. Эта тема исчерпала себя на второй странице. Отсюда вопрос админам. Когда наконец в какую-либо сторону решиться вопрос пакетного фильтра?


Как только решится в какую-то сторону - мы разместим подробную новость об этом на сайте isp.vsi.ru (кстати, в договоре написано, что вы обязаны регулярно посещать наши официальные сайты - это к вопросу "а вдруг я ничего за 10 дней не прочту"). Эта тема была нужна для того, чтобы люди конструктивно обсудили, какие варианты фильтров их интересуют. Но поскольку конструктив здесь закончился буквально на второй день, и сюда начали писать такие сообщения, как ваше, то тему я благополучно закрываю.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов CenterTelecom Voronezh ISP -> Мусор Часовой пояс: GMT + 4
На страницу Пред.  1, 2, 3, 4, 5
Страница 5 из 5

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах