Witam.

Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).

Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
niech firewallują, ale oni to robią globalnie i z polisą DENY i kiedy np.
ktoś z sieci ACN próbuje się połączyć do jakiegoś serwera, który na dzień
dobry sprawdza ident klienta, to klient musi sobie ładną chwilę poczekać,
zanim serwerowi znudzi się łączyć na jego port 113 i wreszcie go wpuści
bez autha. A przecież wystarczyłoby wywalać pakiety z REJECT albo postawić
jakiegoś demona identa na routerze i przekierowywać na niego wszystkie
połączenia, które idą do klientów. Niechby nawet żadnych danych nie
zwracał, ale przynajmniej łączenie się nie trwałoby tak długo!

Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
bezpieczeństwo swoich klientów?

Pozdrawiam,

--
Tomasz Lemiech (RLU#189399) (TL4681-RIPE)
<s...@s...waw.pl> [GG:3786250]

do góry

On Wed, 23 Apr 2003 08:27:16 +0000 (UTC), Tomasz Lemiech
<s...@s...waw.SPAMY-WON.pl> wrote:
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
[..]
>
> Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
> bezpieczeństwo swoich klientów?
>
Pytanie czy otrzymujesz IP z klasy prywatnej czy publicznej.
Jeżeli z prywatnej nie ma się co dziwić gdyż częstostosowaną polityką przy
konfiguracji np. routerów Cisco jest NATOwanie na IP ze swojej puli do
których nie ma routingu... (w każdym razie w MI znanych kablówkach taki
problem występował).. efekt ładna pętelka oraz m.in. brak identa.

Jeżeli otrzymujesz IP z klasy publicznej sprawdż umowę..
Nie znam ISP który aż tak dba o userów (i ich o tym nie informuje, ja
swoich informuję że dostępu poza siec na port 25 mieć nie bedą)

--
Szanuj admina swego,
możesz mieć gorszego.....
(c) 2000 Przemysław Gubernat

IPv4://repcio@3575230515 IPv6://repcio@3ffe:8010:1c:beaf::2
+-=-=- Przemysław Gubernat <r...@r...net> -=-=-=-=-=-=-+
| Network Administrator @ Repcio.NET & Trzebnica.NET |
| Jestem twoim ostatecznym rozwiązaniem ! |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

Tomasz Lemiech <s...@s...waw.spamy-won.pl> wrote:
> Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
> bezpieczeństwo swoich klientów?
Tak :) Chello blokuje np. port 80 tcp a atcom np. protokół IPv4 nr 41. Nie wiem
jak resztę.


Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Oledzki
e-mail address: ole(at)ans.pl
Linux Registered User: 189200
Internic NickHandle: KO581

do góry

Użytkownik Tomasz Lemiech napisał:
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
> Sprawa dotyczy firewallowania połączeń przychodzących do klientów.

Skad masz takie informacje!?
Polaczenia od klientow posiadajacych adresy publiczne nie sa firewallowane.



Pozdrawiam,
Madej
--
Jakub K. Boguslaw <madej at aster.pl> | NSA

do góry

W artykule <b82rm1$574$1@router2.staszic.waw.pl> Tomasz Lemiech napisał(a):
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
> Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
> niech firewallują, ale oni to robią globalnie i z polisą DENY i kiedy np.
> ktoś z sieci ACN próbuje się połączyć do jakiegoś serwera, który na dzień
> dobry sprawdza ident klienta, to klient musi sobie ładną chwilę poczekać,
> zanim serwerowi znudzi się łączyć na jego port 113 i wreszcie go wpuści
> bez autha. A przecież wystarczyłoby wywalać pakiety z REJECT albo postawić
> jakiegoś demona identa na routerze i przekierowywać na niego wszystkie
> połączenia, które idą do klientów. Niechby nawet żadnych danych nie
> zwracał, ale przynajmniej łączenie się nie trwałoby tak długo!
>
> Czy znane są Wam inne przypadki ISPów, którzy równie gorliwie dbają o
> bezpieczeństwo swoich klientów?
Hello
Nie wiem ile abonentow ma ACN ale czesto przy duuzej ilosci ruchu
i abonentów wysyłanie pakietu RESET potrafi solidnie obciążyć router.
Co innego olać pakiet i zrobic mu drop'a a co innego odpowiadac na
niego. Komputer u mnie ktory odpowiada na auth requesty przy paru
tysiacach ludzi czasami potrafi dostal load i 2,3...
Wiekszasc demonow ident'a nie jest przystosowana do obslugi tylu zapytan
ile generuje spora siec kablowki.
Tak wiec moze nie koniecznie robia to celowo.


Pozdr.
--
Marcin Jurczuk -> spock at tkb.pl

do góry

Wiadomość napisana przez: Tomasz Lemiech:
>
> Witam.
>
> Chciałbym poznać Waszą opinię na temat pewnej praktyki ACN (i być może,
> także innych operatorów, ale w tej chwili mam gotowy tylko ten przykład).
>
> Sprawa dotyczy firewallowania połączeń przychodzących do klientów. OK,
> niech firewallują, ale oni to robią globalnie i z polisą DENY


O to ciekawe ;)
Jestem pracownikiem [heh], i uzytkownikiem od samiuskiego poczatku..
i jakos nie mam takich problemow ;)

Czy moglbys laskawie powiedziec skad masz informacje, ze ma to range
praktyki? ;)))

--
:. jackal .:. (:) P.I.G.S. Member .:. \o/ .:. 3561758753 .:
:. .:. slonce.com/jackal .:
:. WAR IS PEACE, FREEDOM IS SLAVERY, IGNORANCE IS STRENGTH .:

do góry

In article <s...@G...Gubernat.NET>, Przemys?aw 'Repcio'
Gubernat wrote:

> Nie znam ISP który a? tak dba o userów (i ich o tym nie informuje, ja
> swoich informuj? ?e dost?pu poza siec na port 25 mieae nie bed?)

Tez jestem adminem u ISP i do glowy by mi nie przyszlo blokowac port
25 poza siec. Szczerze mowiac nie zapisalbym sie do Ciebie do sieci z
taka polityka. Nigdy nie korzystam z serwera SMTP u swojego ISP tylko
zawsze pakuje poczte bezposrednio na port 25 serwera docelowego. W ten
sposob jak jest jakis blad (niezanany user, przepelniona skrzynka) to
mam o tym informacje natychmiast a nie jak queue sie flushnie (czyli
co 5 minut).

Mozna wiedziec co Cie sklonilo do bycia takim paranoid-adminem?

--
Miernik ________________________ jabber:m...@j...gda.pl
__ ICQ: 4004001 ___/__ tel: +48608233394 __/ mailto:m...@c...pl
Do not use Paypal. They sometimes shut down accounts and steal users money!
http://www.paypalwarning.com/

do góry

On Sat, 3 May 2003 08:35:50 +0000 (UTC), Miernik
<m...@c...pl> wrote:

> Tez jestem adminem u ISP i do glowy by mi nie przyszlo blokowac port
> 25 poza siec. Szczerze mowiac nie zapisalbym sie do Ciebie do sieci z

Moim zdaniem, taka polityka w odniesieniu do dial-upów i łącz z
dynamicznie przydzielanym adresem IP nie jest zła. Dużo łatwiej
się kontroluje misiów (a właściwie utrudnia im życie), którzy
odpalają sobie zestaw mały spammer -- zrób to sam.

r.
--
____________________________________________________
________
robert rędziak 323GT-R GKŚST http://klubsubaru.pl
GKŚST ostrzega: Brave Sir Lancisti bravely ran away...

do góry

On Sat, 3 May 2003 08:35:50 +0000 (UTC) I had a dream that Miernik <m...@c...pl>
wrote:
>Tez jestem adminem u ISP i do glowy by mi nie przyszlo blokowac port
>25 poza siec. Szczerze mowiac nie zapisalbym sie do Ciebie do sieci z
>taka polityka. Nigdy nie korzystam z serwera SMTP u swojego ISP tylko
>zawsze pakuje poczte bezposrednio na port 25 serwera docelowego. W ten
>sposob jak jest jakis blad (niezanany user, przepelniona skrzynka) to
>mam o tym informacje natychmiast a nie jak queue sie flushnie (czyli
>co 5 minut).

Po pierwsze nie każdy program pocztowy (czytaj outlook express) potrafi
wysyłać maile wprost na docelowy smtp. Po drugie pozwalając ludziom
łączyć się na 25 poza siecią, daje się im wolną rękę na spamowanie.
Po trzecie - jak odpowiedzi na dane posty mają przychodzić na mój
serwer pocztowy, to ja wolę, żeby te maile też przychodziły przez mój
serwer. Np. user łączy się na jakąś docelową bramkę, wysyła tam dużego
posta z adresem zwrotnym z mojej sieci, tam system wysyła zwrot, że
mail za duży, zwrot (czasem kilkanaście mega) idzie na mój serwer,
który też tego nie chce przyjąc itd itd - paranoja. W rezultacie user
nie dostanie zwrotu. Chodzi mi o to, że różne serwery mają różnie ustawioną
wielkość maksymalnego maila.
Najlepiej jest, jak luserzy korzystają tylko z bramki smtp w danej sieci.
Ma się wtedy wszytstkie logi i pełną kontrolę nad mailami.

--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.

do góry

On Sat, 3 May 2003 08:35:50 +0000 (UTC), Miernik <m...@c...pl> wrote:
> In article <s...@G...Gubernat.NET>, Przemysław 'Repcio'
Gubernat wrote:
>
>> Nie znam ISP który aż tak dba o userów (i ich o tym nie informuje, ja
>> swoich informuję że dostępu poza siec na port 25 mieć nie bedą)
>
> Tez jestem adminem u ISP i do glowy by mi nie przyszlo blokowac port
> 25 poza siec. Szczerze mowiac nie zapisalbym sie do Ciebie do sieci z
> taka polityka. Nigdy nie korzystam z serwera SMTP u swojego ISP tylko
> zawsze pakuje poczte bezposrednio na port 25 serwera docelowego. W ten
> sposob jak jest jakis blad (niezanany user, przepelniona skrzynka) to
> mam o tym informacje natychmiast a nie jak queue sie flushnie (czyli
> co 5 minut).
>
> Mozna wiedziec co Cie sklonilo do bycia takim paranoid-adminem?
>

a) Romeo i Julia
b) spam z mojej podsieci
c) w sieci mam 99,99% klientów na IP z puli prywatnej

d) queue zależy od serwera pocztowego w 30-40 sec mam zawsze wiadomość co
się stało..

--
Szanuj admina swego,
możesz mieć gorszego.....
(c) 2000 Przemysław Gubernat

IPv4://repcio@3575230515 IPv6://repcio@3ffe:8010:1c:beaf::2
+-=-=- Przemysław Gubernat <r...@r...net> -=-=-=-=-=-=-+
| Network Administrator @ Repcio.NET & Trzebnica.NET |
| Jestem twoim ostatecznym rozwiązaniem ! |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry