Добрый день, уважаемые!
Я хотел посоветоваться с Вами и услышат ьпредложения и коментарии.
Вопрос такой: собираюсь, строитьь сетку, вообщем продумываю некоторые моменты, а именно:
что именно блокировать (какой трафик)
обычно (стандарт де-факто в интернет) фильтруется: 135-137,445 tcp/udp потоки в обе стороны, да это не проблема, но практика показывает, что еще много всего пролетает, через 25 port (tcp), отсюда есть некотрые соображения: блокировать весь входящий поток smtp (в сторону клиентов), отдельные клиенты могут вешать свои почтовики (после заявки) и еще можно блокировать и исходящий smtp-трафик (от клиента),но в этом случае надо делать свой relay
подскажите, как правильнее и тд
За ранее очень благодарен
  

• ИЩУ хорошего совета,reticon, 08:50 , 24-Апр-06
• ИЩУ хорошего совета,idle, 09:45 , 24-Апр-06
  • ИЩУ хорошего совета,Crazy_Frog, 11:04 , 24-Апр-06
  • ИЩУ хорошего совета,Crazy_Frog, 11:31 , 24-Апр-06
    • ИЩУ хорошего совета,iasb, 18:31 , 24-Апр-06
      • ИЩУ хорошего совета,Саня, 19:10 , 24-Апр-06
        • ИЩУ хорошего совета,ram_scan, 20:01 , 24-Апр-06
          • ИЩУ хорошего совета,Саня, 20:19 , 24-Апр-06
            • ИЩУ хорошего совета,A Clockwork Orange, 07:01 , 25-Апр-06
              • ИЩУ хорошего совета,A Clockwork Orange, 07:03 , 25-Апр-06
                • ИЩУ хорошего совета,Imperator, 10:04 , 25-Апр-06
                  • ИЩУ хорошего совета,Crazy_Frog, 13:23 , 25-Апр-06

>Добрый день, уважаемые!
>Я хотел посоветоваться с Вами и услышат ьпредложения и коментарии.
>Вопрос такой: собираюсь, строитьь сетку, вообщем продумываю некоторые моменты, а именно:
>что именно блокировать (какой трафик)
>обычно (стандарт де-факто в интернет) фильтруется: 135-137,445 tcp/udp потоки в обе стороны,
>да это не проблема, но практика показывает, что еще много всего
>пролетает, через 25 port (tcp), отсюда есть некотрые соображения: блокировать весь
>входящий поток smtp (в сторону клиентов), отдельные клиенты могут вешать свои
>почтовики (после заявки) и еще можно блокировать и исходящий smtp-трафик (от
>клиента),но в этом случае надо делать свой relay
>подскажите, как правильнее и тд
>За ранее очень благодарен
>

Ну кому, как ни тебе, лучше знать, какие порты закрывать на твоем сервере, а какие нет...
Все зависит от того, какие сервисы будут предоставялться юзерам...
Например, если у тебя не установлен почтовый сервер, зачем тебе открывать 25 порт?
Далее, по аналогии..

>Добрый день, уважаемые!
>Я хотел посоветоваться с Вами и услышат ьпредложения и коментарии.
>Вопрос такой: собираюсь, строитьь сетку, вообщем продумываю некоторые моменты, а именно:
>что именно блокировать (какой трафик)
>обычно (стандарт де-факто в интернет) фильтруется: 135-137,445 tcp/udp потоки в обе стороны,
>да это не проблема, но практика показывает, что еще много всего
>пролетает, через 25 port (tcp), отсюда есть некотрые соображения: блокировать весь
>входящий поток smtp (в сторону клиентов), отдельные клиенты могут вешать свои
>почтовики (после заявки) и еще можно блокировать и исходящий smtp-трафик (от
>клиента),но в этом случае надо делать свой relay
>подскажите, как правильнее и тд
>За ранее очень благодарен
>
Обычно делают наоборот, разрешают всё что необходимо(http,ftp,dns,pop3) а всё остальное запрещают.

вопрос иначе, сеть с пользователями, которые платят деньги за трафик, я им должен предоставить сервис, они не знают что такое смтп, и тд.
я им обязан дать бесплатный ящик.

просто смотрю многие провайдеры, блокируют исходящий смтп-трафик наружу, кроме своего релая.

Но как бы так настроить этот релей правильнее.

>>
>Обычно делают наоборот, разрешают всё что необходимо(http,ftp,dns,pop3) а всё остальное запрещают.

я бы посмотрел на тебя, когда ты дома наслаждался вот таким бы интернетом
идея хорошоя, но пользователи не смогут понять всего величия и оригинальности этого решения.

Да, как писать ACL я не спрашиваю, болше интересна сама концепцая, знать как правильно и тд.
кнопки нажимать уже начну, как будет ясно все.

google

securing and optimiing linux redhat edition

Брандмауэры в Linux, 2000

>google
>
>securing and optimiing linux redhat edition
>
>Брандмауэры в Linux, 2000

СПАСИБО, т.е. никто не понимает в этом ничего.
наверное очень простые вещи спрашиваю, поэтому "гуру", нехотят его тратить на это
осторожно: можно как-то носом об штукатурку задеть.
я просто хотел услышать совет, понимающих людей, я понимаю, что гугл найдет что угодно

>СПАСИБО, т.е. никто не понимает в этом ничего.
>наверное очень простые вещи спрашиваю, поэтому "гуру", нехотят его тратить на это

Те кто что-то в чем-то понимает тебе уже сказали. Все зависит от внедренных технических решений и текущей обстановки. Я например своим клиентам закрываю что-то только по их письменной просьбе. Ты этот совет хотел услышать ?

да вроде это.
я ммел ввиду не офис или частные случае а типовые сети

98% провайдеров в интернете блокируют 135-139,445 tcp/udp

у меня так же был вопрос, если я блокирую смтп, и предлогаю слать через свой релей, на сколько это правильно, естественно некотрые клиенты могут получить доступ полный.

зайди на сайт
www.stream.ru
в разделе фильтрация трафика, написано, что они фильтруют, может это тебе пригодится.

можно зафильтровать свой шлюз, а пользователи пускай думают о себе сами.

Убил бы такого прова!
Ставь свой почтовик заводи туда пользователей по мере подключения. На эти адреса будешь рассылать сообщения о различных мероприятих и др.
А пользователь должен иметь право с клиента забирать почту с mail.ru и отправлять через него же. Вам будут платить деньги не за то что вы им кислород перекрываете.

>Убил бы такого прова!
>Ставь свой почтовик заводи туда пользователей по мере подключения. На эти адреса
>будешь рассылать сообщения о различных мероприятих и др.
>А пользователь должен иметь право с клиента забирать почту с mail.ru и
>отправлять через него же. Вам будут платить деньги не за то
>что вы им кислород перекрываете.

стрим как раз и блокирует полностью смтп, просто я хочу заметить, что весь спам и прочая нечестьь через него пролазиют