» »

Telemachovo blokiranje portov

Telemachovo blokiranje portov

s55ma ::

Moja izkušnja s Telemachom cough Teledrekom: https://s55ma.radioamater.si/2017/07/11...

Je že kdo reševal blokado portov in dosegel odblokado?

brez-imenko ::

Kaj bom pa jaz rekel na Domači net od A1(lte), ko imajo pa komplet porte zaprte proti uporabniku in nimaš možnosti za statični IP? Po dveh dneh testiranja sem tisti router kar vrnil.
www.podarimo.si pa lep pozdrav vsem, Janez

mzakelj ::

Kot piše dela na 5.8 linku. Par anten pa en pameten ponudnik pa bo spet na konju. Operaterji itak mislijo da so najbolj brihtni zato ker so operaterji.

XS!D3 ::

s55ma je izjavil:

Moja izkušnja s Telemachom cough Teledrekom: https://s55ma.radioamater.si/2017/07/11...

Je že kdo reševal blokado portov in dosegel odblokado?


Vse lepo in prav ampak, če že govoriš o tem, da si od "centrale" oddaljen samo 100m in da ti ni jasno, zakaj imaš še vedno lahko relativno majhne UL hitrosti, ti očitno tudi tehnično ozadje ni najbolj jasno (oddaljenost tu ne igra bistvene vloge).... Lahko bi bile višje hitrosti, se strinjam, ampak tudi tiste max teoretične hitrosti linka za določeno tehnologijo (še zdaleč) niso vse kar jih v praksi omejuje. Na optiki (tako GPON kot P2P GbE) recimo BP nudijo simetrične pakete.

Kar se pa osnovne težave tiče, pa tudi nisem popolnoma prepričan, če točno veš kaj počneš (kot praviš v blogu), če bi rad recursive DNS strežnik odprl celotnemu spletu. Mogoče, če jim ne bi tega omenjal, bi ti port še res odprli (če bi recimo fural samo avtoritativni strežnik DNS za svojo domeno...). Kitajski "routerji" in njihovi backdoori tu nimajo veze.

s55ma ::

XS!D3 je izjavil:

s55ma je izjavil:

Moja izkušnja s Telemachom cough Teledrekom: https://s55ma.radioamater.si/2017/07/11...

Je že kdo reševal blokado portov in dosegel odblokado?


Vse lepo in prav ampak, če že govoriš o tem, da si od "centrale" oddaljen samo 100m in da ti ni jasno, zakaj imaš še vedno lahko relativno majhne UL hitrosti, ti očitno tudi tehnično ozadje ni najbolj jasno (oddaljenost tu ne igra bistvene vloge).... Lahko bi bile višje hitrosti, se strinjam, ampak tudi tiste max teoretične hitrosti linka za določeno tehnologijo (še zdaleč) niso vse kar jih v praksi omejuje. Na optiki (tako GPON kot P2P GbE) recimo BP nudijo simetrične pakete.

Kar se pa osnovne težave tiče, pa tudi nisem popolnoma prepričan, če točno veš kaj počneš (kot praviš v blogu), če bi rad recursive DNS strežnik odprl celotnemu spletu. Mogoče, če jim ne bi tega omenjal, bi ti port še res odprli (če bi recimo fural samo avtoritativni strežnik DNS za svojo domeno...). Kitajski "routerji" in njihovi backdoori tu nimajo veze.


Ne, DNS porta nebi odprl za celi svet, odprl bi ga samo za par zunanjih IPjev. In ja, vem kaj počnem, zato mi prosim ne fakin omejevat storitev. Hočem imeti sam kontrolo nad svojim prometom za ven in za noter, za vse porte. Z default security policyjem se sicer strinjam, da zaprejo "rizične" porte. Ampak na request uporabnika bi pa lahko zadevo odprli.

Nisem trdil, da hočem doseči teoretično hitrost, ampak 20 Mbit up pa nebi bil problem najbrž, kar je 10% zmogljivosti po standardu. Če imajo pa drugje problem, v terminatorjih ali drugi mrežni opremi pa naj menjajo opremo. Če je pri meni problem naj povejo, bom bajto preštemal in na novo potegnil inštalacijo in tukaj je glavni problem, pomanjkanje feedbacka iz njihove strani. Lahko bi obrazložili zakaj to ni mogoče, če jih že lepo vprašam oz. lahko bi imeli paketi možnost kustomizacije, ne pa da udarijo čez celo slovenijo neke pakete in ne odstopajo od tega. Ok, vredu naj bodo paketi, ampak lahko bi bila možnost zakupa dodatnih storitev. To pade na vse ISPje, ne samo na Telemach. In vem, da z mojim jamranjem ne bom spremenil njihovega ekonomskega modela, kateri 99.9% uporabnikom ustreza ampak mnenje manjšine pa tudi nekaj velja, upam.

BlaY0 ::

brez-imenko je izjavil:

Kaj bom pa jaz rekel na Domači net od A1(lte), ko imajo pa komplet porte zaprte proti uporabniku in nimaš možnosti za statični IP? Po dveh dneh testiranja sem tisti router kar vrnil.

A ti bi to odprl? A si normalen? En DDoS pa bi kompleten mobile network počepnil. BTW v mobileju se meri in plačuje prenos podatkov v obe smeri. Torej kdor koli bi vedel tvoj IP bi ti lahko nabil račun, te zacapal ali pa te čisto onemogočil.

Drugače pa jutri je net neutrality action day pa se aktivirajte...

Rampage ::

Spuščaš maile tehnikom, ki nimajo blage? Pokliči jih in se zmeni, da ti odprejo port 53, oziroma ti povejo kaj moraš narediti, mogoče boš moral napisati kakšen dopis, verjamem, da dobiš tudi brez poslovnega paketa. Drugače je DNS amplification resen problem, mi smo že dobili preko 10 Gbps (ker je bil NIC takoj maxed out) ravno na račun tega in ti lahko iz prve roke povem, da smo vedno prijavljali vse IPje, tudi če so bili samo "posredniki", kako so ISPji in CNCert, RU-Cert, SE-Cert, etc... reševali te stvari pa ne vem, ampak samo postavit zadevo in računat na to, da bo vse vredu ter, da tebe že nihče nebo abusal je utopično. Ravno zato bi ti jaz če bi bil ISP dal papir za podpisat, da boš potem ustrezno zavaroval zadevo oziroma v nasprotnem primeru prevzel odgovornost.

s55ma ::

Rampage je izjavil:

Spuščaš maile tehnikom, ki nimajo blage? Pokliči jih in se zmeni, da ti odprejo port 53, oziroma ti povejo kaj moraš narediti, mogoče boš moral napisati kakšen dopis, verjamem, da dobiš tudi brez poslovnega paketa. Drugače je DNS amplification resen problem, mi smo že dobili preko 10 Gbps (ker je bil NIC takoj maxed out) ravno na račun tega in ti lahko iz prve roke povem, da smo vedno prijavljali vse IPje, tudi če so bili samo "posredniki", kako so ISPji in CNCert, RU-Cert, SE-Cert, etc... reševali te stvari pa ne vem, ampak samo postavit zadevo in računat na to, da bo vse vredu ter, da tebe že nihče nebo abusal je utopično. Ravno zato bi ti jaz če bi bil ISP dal papir za podpisat, da boš potem ustrezno zavaroval zadevo oziroma v nasprotnem primeru prevzel odgovornost.


Vem, da je DNS ddos resen problem, saj ne potrebuješ skoraj nič bandwidtha, da ga začneš. Zato pa pravim, da se z default varnostno politiko strinjam.

Tudi, če jih pokličem, se bo oglasil tehnik. Z veseljem podpišem papir, kjer prevzemam odgovornost, če mi ponudijo to možnost. Bom poklical, ampak glede na izkušnje dvomim da bo kaj bolje. Naj zahtevam "vodjo" tehnikov? Ne vem kako imajo organiziran support.

Zgodovina sprememb…

  • spremenilo: s55ma ()

BlaY0 ::

Problem je, ker folk nima svojih DNS-jev pravilno skonfiguriranih. Večina jih omogoča relaying po defaultu - recimo vsi MikroTiki. Potem pa armada takihle routerčkov, ki imajo poleg tega nastavljen forwarding na svojega ISP-ja prek slow-drip napada onemogoči ISP-jeve DNSje. Mitigacija takšnega napada brez blokade DNS portov proti tem uporabnikom je praktično nemogoča.

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

...:TOMI:... ::

Če se ti tako gre za ta odprt port, vzemi poslovni paket. Itak si navajen na plačevanje najdražjih paketov...
Tomi

Tilen ::

brez-imenko je izjavil:

Kaj bom pa jaz rekel na Domači net od A1(lte), ko imajo pa komplet porte zaprte proti uporabniku in nimaš možnosti za statični IP? Po dveh dneh testiranja sem tisti router kar vrnil.


Rešitev bo pripravljena okrog septembra.
413120536c6f76656e696a612c20642e642e

...:TOMI:... ::

Ali bo v mobilnem omrežju A1 tudi IPv6 preko LTE?
Tomi

anketar ::

s55ma je izjavil:

In vem, da z mojim jamranjem ne bom spremenil njihovega ekonomskega modela, kateri 99.9% uporabnikom ustreza ampak mnenje manjšine pa tudi nekaj velja, upam.


evo odgovora, rekl ti bojo get fucked, menji, če ti kej ni všeč, ne morš menjat

Zgodovina sprememb…

  • spremenilo: anketar ()

s55ma ::

...:TOMI:... je izjavil:

Če se ti tako gre za ta odprt port, vzemi poslovni paket. Itak si navajen na plačevanje najdražjih paketov...


Ti pa si ena cvetka.

anketar je izjavil:

s55ma je izjavil:

In vem, da z mojim jamranjem ne bom spremenil njihovega ekonomskega modela, kateri 99.9% uporabnikom ustreza ampak mnenje manjšine pa tudi nekaj velja, upam.


evo odgovora, rekl ti bojo get fucked, menji, če ti kej ni všeč, ne morš menjat



Bom menjal, delam na temu.

Zgodovina sprememb…

  • spremenilo: s55ma ()

Spc ::

s55ma je izjavil:

Moja izkušnja s Telemachom cough Teledrekom: https://s55ma.radioamater.si/2017/07/11...

Je že kdo reševal blokado portov in dosegel odblokado?

Vzami poslovni paket in boom, vsi porti bodo odprti.
 

s55ma ::

Spc je izjavil:

s55ma je izjavil:

Moja izkušnja s Telemachom cough Teledrekom: https://s55ma.radioamater.si/2017/07/11...

Je že kdo reševal blokado portov in dosegel odblokado?

Vzami poslovni paket in boom, vsi porti bodo odprti.


Dej ne bluzi no. Imaš rezidenčni paket? Naj ti zaprejo vse porte, ker očitno potrebuješ odprte porte samo za poslovno uporabo, glede na tvojo bistroumno izjavo.

Spc ::

Telemach ima pač tako politiko, da če nimaš poslovnega paketa zaprejo porte.
To si nisem jaz zmislil.

Meni so tudi blokirali porte pa sem šel na poslovni paket leta leta nazaj.
 

s55ma ::

Spc je izjavil:

Telemach ima pač tako politiko, da če nimaš poslovnega paketa zaprejo porte.
To si nisem jaz zmislil.

Meni so tudi blokirali porte pa sem šel na poslovni paket leta leta nazaj.


Napaka. Treba jim je težit in težit. Več kot nas bo težilo, lažje se bo doseglo spremembe. Dokler pa vsak rep med noge stisne in si reče "jebi ga" tako pač je, potem očitno res ne bo nič.

XS!D3 ::

Zakaj napaka. Lahko bi jambral dalje in ne bi blo nič drugače, tako pa ima odprte porte in višji UL (10Mbps?)....

Ghost007 ::

Kak zaprte porte? Potem doma niti kakega plex servera nebi mogo imet za gledanje prek interneta?
Ali blokirajo samo nizke porte?

Zgodovina sprememb…

  • spremenilo: Ghost007 ()

MrStein ::

Blokirajo samo določene porte.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

...:TOMI:... ::

Op: Pa zakaj nimaš DNS over TLS na portu 853?

Tega porta najbrž ne blokirajo.
Tomi

s55ma ::

...:TOMI:... je izjavil:

Op: Pa zakaj nimaš DNS over TLS na portu 853?

Tega porta najbrž ne blokirajo.


Rabim odpret port samo za par IPjev. Rešitev je več, tudi VPN strežnik, ampak gre se za princip.

...:TOMI:... ::

Če jim hočeš slabo, potem odjavi vse skupaj in naredi že link. Najbolj jih udari finančna plat, ne teženje.
Tomi

Mavrik ::

...:TOMI:... je izjavil:

Če jim hočeš slabo, potem odjavi vse skupaj in naredi že link. Najbolj jih udari finančna plat, ne teženje.


Brez teženja ne ve nihče zakaj si odjavil paket. Po mojih izkušnjah teženje (še posebej javno) bistveno hitreje doseže rezultate kot pa nateg samega sebe z odklopom svojega interneta.
The truth is rarely pure and never simple.

s55ma ::

...:TOMI:... je izjavil:

Če jim hočeš slabo, potem odjavi vse skupaj in naredi že link. Najbolj jih udari finančna plat, ne teženje.


Slabo jih udari tudi slabo javno mnenje, zato pa sem tudi pisal. Prav tako pa bom vsem odsvetoval Telemach, še posebaj, ker se vrtim v krogih, kjer me ljudje velikokrat vprašajo za nasvet.

Link je v izdelavi, čakam se lokalnega "švas" majstra, da mi naredi poseben kovinski zabojnik, kjer bo oprema shranjena.

...:TOMI:... ::

Teženje ne pomaga nikjer. Šele ko greš stran, te povprašajo po razlogih. Poveš enkrat, poveš 2x,za 3x je pa moj čas in denar več vreden, bolje, da senar dobi druga firma.
Tomi

Mavrik ::

...:TOMI:... je izjavil:

Teženje ne pomaga nikjer.


To je neumnost. S teženjem kar redno dosegam rezultate, kot posameznik in firma. Spet, če ne poveš service providerju, kaj te moti, pač ne bodo vedli da stranke to moti.
The truth is rarely pure and never simple.

...:TOMI:... ::

Jaz tudi težim, ravno tako, kot ti, zasebno in tudi poslovno. Za vsa živa področja. Navadno ni pomagalo. Šele, ko pošljem sporočilo, kjer se zahvalim za sodelovanje in povem, da bomo drugje kupovali, ne več pri njih, šele potem so vsi slinasti in pridejo nazaj, vendar takrat sem jaz tisti, ki reče NE. Kje ste bili prej, si mislim.

Temu jaz rečem princip "mene ne bo noben j...".

Ne vem zakaj je tistemu ki ti nosi denar, tako težko uresničiti želje in zahteve.
Tomi

MrStein ::

Ni vsepovsod enako, ampak pri ISP jaz tudi že dolgo delam po principu:
1.) povem kaj je
2.) povem, da ni več denarja

Za katerikoli drug korak je škoda časa in živcev.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

dukedl ::

BlaY0 je izjavil:

Problem je, ker folk nima svojih DNS-jev pravilno skonfiguriranih. Večina jih omogoča relaying po defaultu - recimo vsi MikroTiki.


lahko tole mal bolj objasniš oz poveš kakšna je rešitev? hvala
ps: imam mikrotika
lp dukedl

BlaY0 ::

DNS open relay pomeni, da lahko kdor koli izvede query na tvoj DNS, tudi 6.965 "okuženih" Kitajcev naenkrat recimo. Potem imaš pa nastavljen še forwarding na DNS svojega ISP-ja kar pomeni, da teh 6.965 Kitajcev izvaja svoje query-je prek tebe na DNS-je tvojega ISP-ja. Če upoštevaš da ima DNS open relay vsaj 300 strank tvojega ISP-ja in da vsak od teh Kitajcev naredi samo 2 query-ja na sekundo, potem to znese dobre 4 mio query-jev/sekundo kar je prilično veliko za ISP-ja kot jih poznamo pri nas. Ta rogue/excess promet pa onemogoča ostale stranke, ki potem težijo, da jim internet ne dela, ker jim DNS query-ji timeoutajo.

dukedl ::

aha, vidm da imam itak že izklopljeno "Allow Remote Requests" + dve drop pravili za port 53 iz internet vmesnika (tcp, udp).
all good.
lp dukedl

BlaY0 ::

Lahko se tudi prek web-a potestiraš:

http://openresolver.com/
http://openresolverproject.org/

brez-imenko ::

Nekaj pa me le zanima. Kako bo fizikalc sklenil poslovni paket?

Aja hvala Tilnu, potem so se trgovski potniki malenkost prezgodaj pojavili s svojo ponudbo pri meni.

Pod odprte porte je pa mišljeno, da vsaj zame normalno deluje p2p in ostale zadeve, ne pa da se bom sedaj ukvarjal z malopridneži in njihovim DDoS napadi. Saj ni problem napisat "dopis k aneksu" pa v njem določiti zadeve, ki jih potrebuješ, bolj me je zmotilo, da so bili pogoji napisani za ljudi z "lesenimi nogami". Pač vprašaš na podporo za dopis k aneksu.

Enkrat sem moral te zadeve urejat, ko sem spreminjal paket in nekaterih stvari nisem potreboval, pa sem to relativno hitro in brez komplikacij uredil z prej omenjenim dopisom.
www.podarimo.si pa lep pozdrav vsem, Janez

Tilen ::

...:TOMI:... je izjavil:

Ali bo v mobilnem omrežju A1 tudi IPv6 preko LTE?

Je že testno na voljo. Sporoči podatke na ZS. :)
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

BlaY0 ::

Kaj to pomeni testno? Da ga ti ročno sprovižnaš na MME-ju al kaj?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

INNBOX V60U omejevanje dostopov

Oddelek: Strojna oprema
364740 (2120) filip007
»

SAMO Internet? (strani: 1 2 )

Oddelek: Omrežja in internet
6623866 (16685) Lonsarg
»

Zakaj telekom na optiki za domače uporabnike umetno omejuje upload na sramotnih 40 mb (strani: 1 2 )

Oddelek: Omrežja in internet
9621431 (15856) korenje3
»

je komu ratalo prepričat telekom da mu kombinira pakete

Oddelek: Omrežja in internet
183927 (2678) loveJDM
»

Telemach in porti za SIP ?

Oddelek: Omrežja in internet
456692 (5122) #000000

Več podobnih tem