Mājas DSL lietotājiem nogriež zemos portus

Šodien man atmeiloja Valts un teica, ka pods.lv negrib *traceoties* (traceroute). Apskatījos man ar tas pats joks. Valts izteica pieņēmumu, ka Apollo ir uzlicis ugunssienu, kas filtrē ienākošās paketes uz portiem zemākiem par 1024. Ar vārdiem filtrē paketes es domāju vienkārši tās nolaiž podā. Tas nozīmē, ka neviens no servisiem, kas agrāk varēja griezties uz mājas datora vai serverīša zemāka par 1024 portu vairāk nebūs pieejams. Tajā skaitā ir FTP, WWW, SSH, u.c. Principā jau visu to varēs palaist tikai uz augstākiem portiem un tas principā nerullē. Droši vien tas ir dēļ tiem daudziem Lāmēm, kas neuztraucas par savu drošību un tur atvērtus savus datorus ārpasaulei.
Lai gan dīvainā kārtā šie porti strādāja citā Mājas DSL pūla subnetā 195.13.162.*, bet 80.232.166.* notestēju un visi porti zemāki par 1023 ieskaitot neatbild. Pamēģināju 1024 portu un viss aizgāja.
Apollo atkal ierobežo tikai īpašu subnetu vai kārtējo reizi līkas rokas?
Rīt mēģināsim līst citos subnetos ar OpenBSD, jo nevar tak sēdēt subnetā, kur apspiež tavas tiesības. Es domāju, ka Windows lietotāji parūmēsies. Mājas DSL pūls ta liels un visiem vietas pietiks 🙂

39 thoughts on “Mājas DSL lietotājiem nogriež zemos portus

  1. kristapz

    varetu gadities ka tas ipasham subnetam ir… starp citu, pec idejas telekomam ljoti nepatik ja kaukas hostejas uz maajas dsl – nu tur www serveris vai smth like that. vismaz zinu vel paris keksus kuriem nesen aizstampaaja portus.

    Atbildēt
  2. janiz

    nu uz mana maajas dsl subneta gan www serveris griezhaas, neteikshu gan uz kura, taa teikt katram gadiijumam 😀 bet nu jaasaka, ka tas subnets tiek noteikts kaa lattelekom subnets nevis kaa maajas dsl subnets skatoties, kam pieder noteikti subneti. nu cereesim, ka nepiegrieziis 🙂

    Atbildēt
  3. Acuda

    Maajas DSL liigumu kaads ir palasiijis?
    gan jau ka kaur kur ir ielikts fontsize 8 rindinja kas ljauj shiem griezt nost visko peec patikas, sak “security deelj”
    SakTelekom

    Atbildēt
  4. Ibis

    Nu gan vechi dodat! Ja jau tas LTK nepatiik, tad nelietojiet to. Ko var gausties par suudiigu piesleegumu?
    Ir tak arii Delfi, Latnet, Internet u.c. suxsu Maajas un citi DSL, kur internetu nodroshina augstaakmineetaas firmas. Nez kaapeec tauta tos nelieto? Paarregjistraacija uz citu provaideri pikjo diezgan padaargi – Ls 25, bet vai tas ir daudz par shiis ruupju nastas nonjemshanu? :))

    Atbildēt
  5. Budzis

    Ibi, vai esi paintereseejies, kur ir pieejami Tevis nosauktie piesleegumi? Ilguciemaa neviens nepiedaavaa. Delfi negribiigi atzinaas, ka esot, bet arii tikai peec tam, kad es vinjus PIESPIEDU un PAARLIECINAAJU, ka vinji sho pakalpojumu piedaavaa. Turklaat tas serviss nav ne suuda labaaks (taa runaa lietotaaji) 🙁

    Atbildēt
  6. coolynx

    Ibis: principaa jau par piesleegumu kaa taadu es nesuudzos, jo prieksh muusu banaanu republikas tas ir veel saliidzinoshi labs. Runa iet par to, ka bez muusu zinjas leeniiteem piegriezh skaabekli.
    Un tas, ko tu nosauci par iizveeles briiviibu ir PILNIIGS BLEFS. Taa nav un veel paaris gadus nebuus. Es savaa chuhnjaa Paardaugavaa nevaru atljauties nevienu citu piesleegumu kaa tikai DSL vai dialupu. Uz dialupu es paseedeeju paaris gadinjus – Paldies! DSL man pilniigi apmierinaaja kaads tas bija liidz shim. Ja buutu kaads, kas speetu piedaavaat ko liidziigu, tad iespeejams, ka padomaatu par provaidera mainju. Lai gan esmu jau intereseejies un NEVIENS no taviem piemineetiem ISP neko taadu nepiedaavaa. Un iegaadaaties radiolinku es netaisos.
    Taa kaa nebrauc auzaas.

    Atbildēt
  7. terorists

    Mājas DSL līgums ir ļoti progresīvi sastādīts ;). Patiesībā tur ir runa praktiski tikai par DSL pakalpojumu un nekā par interneta piegādi pa DSL līniju. Tur pat ir atruna, ka Lattelekom netabild par interneta pakalpojumu sniedzēja piedāvātā servisa kvalitāti (tas nekas, ka IPS ir Lattelekom sastāvdaļa Apollo un tas otrā pusē smuki ierakstīts). Kaut kas ir minēts par IP adresi un tās atgriešanu IPSam pēc līguma darbības beigām.
    Nu un , protams, nedrīkst pārkāpt likumus un ko tur. Bet nekāda atsevišķa līguma ar Apollo līdzi nenāk. Un attiecīgi nav nekas atrunāts sīkāk. Vienīgi ir tāds moments, ka par jebkurām izmaiņām konfigurācijā klients tiek rakstiski iepriekš brīdināts.
    Patiesībā jau pēc tā līguma tu tur drīksti likt ko gribi virsū, tikai nevari pārdot to tālāk un nedrīkst pieslēgt vairāk kā vienu kompi. Interesanti, kas būtu ja uzliktu mail serveri ar open relay ;).

    Atbildēt
  8. Benvenuto

    ja es nedriikstu paardot taalaak tas noziimee kas es nevaru njemt naudu par to ja kaads piemeeram hosteejas uz mana pee cee vai piemeeram iziireet vietu uz ftp visaadiem aazhiem?
    ja taa tad interesanti zinaat kaapeec? ja es maksaaju par sho piesleegumu taatad tas ir mans taatad ja man sagribas ljauju vinju noslogot kaut vai velna vecmaaminjai.

    Atbildēt
  9. coolynx

    Benvenuto: daljeeji tev ir taisniiba, bet sheit vareetu buut daudz dazhaadu nianshu kapeec ir taads aizliegums.
    Pirmkaart tapeec, ka pats piesleegums ir paredzeets vienam PC. Attieciigi, ja tas tiek lietots vairaakiem, tad zuud kvalitaate un visi ir neapmierinaati utt. Karoche firmas produkts tiek blameets, jo cilveeki jau nesaprot, ka tas nav korporatiivais risinaajums uz kura vareetu gaazt virsuu visu, kas tik praataa ienaak. Domaaju, ka taapeec arii ir shaadi ierobezhojumi.
    Otrkaart, ja gribi piedaavaat kaut ko citiem, tad izveelies citu piesleeguma veidu, kas buus jaudiigaaks un attieciigi vairaak maksaas 🙂
    Treshkaart shis piesleegums ir domaats lamer-friendly un tam ir attieciigs supports arii lamer-support. Ja notiek kaada kjibele, tad reaali vari ziist laastekas. Gribi kaut ko labaaku skaties otro punktu.
    Darbaa pats lietoju UltraDSL un tie ir PILNIIGI dazhaadi produkti un kvalitaate ir kaa dina pret nakti, lai gan MaajasDSL pa naktiim arii rullee. Taa teikt agraak gaidiiju, kad buus 20:00, lai traapiitu ekonomiskajaa dialup rezhiimaa, bet tagad gaidu, kad kanaals atbriivosies.
    Darbaa esmu apmierinaats ar saviem 2mbit/s, lai gan supports apollo sako abos gadiijumos un jaabuut ljoti uzmaniigiem, jo vinji visiem speekiem meegjinaas sabaazt batonus ausiis un sastaastiis, ka tieshi Juus esat laames un nemakat neko nokonfigureet, jo liigumaa ir viens punkts, kas paredz atbildiibas paareju juusu rokaas, ja esat atteikushies no vinju paliidziibas konfigureejot Juusu ruuteri. Visi normaali cilveeki no shii pakalpojuma atsakaas tapeec, ka tur nav daudz ko konfigureet. 🙂 Savukaart Apollo peec tam noslauc naudinju, ja vinji kaut ko ir savaariijushi un Jums neiet tiikls (es par saviem vaardiem atbildu, jo tam ir dokumentaals apliecinajums uz apalju summu).
    Starp citu pods.lv griezhas uz kastes, kas karaajas uz shii ultra dsl. Ultra DSL nav domaats hostingam, bet nu mazai firmelei ir gana laps 🙂

    Atbildēt
  10. warrx

    tik tieshaam, ir uzlikts ACLs uz vienu no 80.x.x.x poola. ja seed shai poolaa, tad nekur neaizliidisi prom. Kapeec tika uzlikts ACLs – lai kautkaa aizsargaaatu gala lietotaajus, kas nav specs windovzes un tiek regulaari uzlausts. jaaatziist, ka taaduu vareetu buut liidz 80% no visa juuzeru pulka. Ja nepatik ACLi, tad par to vajag teikt, lai ieguutu vismaz kaaadu noveerteejuma, vai tas ir vajdziigs. Ir iespeejams variants aizveert tikai widovzes portus. Nezko paareejie teiktu – visus portus vai tika logu portus?

    Atbildēt
  11. Ibis

    Ieskatiijos atbildees un konstateeju, ka taa guvusi uzmaniibu 🙂
    Taatad: Jaatvainojas visiem, kurus nepareizi noinformeeju, ka SIA Internet nodroshina Maajas DSL – uzzvaniiju un noskaidroju, ka nepiedaavaa vairs :(. Taa, ka viens ISP atkriit.
    Latnet nodroshinaaja maajas DSL pakalpojumu, tomeer no vinjiem uzzinaaju interesantu zinju – LTK ir aizliedzis lielai daljai provaideru piedaavaat sho pakalpojumu nezinaamu iemeslu deelj. Neko dariit – taatad nokaveejaat savu laimes stundu tie, kas nav apmierinaati ar Apollo. Tomeer ceriibu starinjsh nezudiis – sola, ka driiz aizliegumu atcels.
    Un veel – jo vairaak klientu, jo vairaak neapmierinaato (iespeejams, ka procenti paliek nemainiigi). Palasam tos pashus nosleegtos liigumus un ieveerteejam nesteidzoties, vai LTK izpilda, ko soliijis, vai nee. Ja nee – njemam liigumu rokaas un ejam uz klientu apkalposhanas centru, atrodam atbildiigo personu un pieraadot AR FAKTIEM luudzam nodroshinaat nepiecieshamo kvalitaati un papildinaat liigumu ar sev izdeviigiem noteikumiem.
    No pieredzes: kad atteicos no viena LTK datu paarraides pakalpojuma, vinji bija LJOTI ieintereseetu uzklausiit truukumus un atteikshanaas iemeslus.

    Atbildēt
  12. Ague

    Istenibaa nav uz majas DSL jaliek web,ftp, etc serveri. Tas ir domats darbam vienaa virzienaa. Un par shito cenu tas taa arii ir. Slikti ir tas ka nestraadaa daudzi Outgoing streemu izmantojoshie protokoli. Prieksh VPNa pptp naiet arii

    Atbildēt
  13. Ibis

    Nu ljoti patika coolynx domas 13.31, kas pilniibaa sakriit ar maneejajaam punktos no 1. – 3. Taa kaa man ir daljeeji otrais punkts, tad par Apollo suportu nesuudzos. Peec principa – drosha darbiiba maxaa lielu naudu.

    Atbildēt
  14. terorists

    2 Ibis!
    Davai nemuldi par tiem alternatīvajiem piedāvājumiem uz Mājas DSL. Telekoms nevienam neko nav aizliedzis!!! Nevajag izplatīt kaut kādas līkas baumas.
    Viss ir daudz vienkāršāk. Telekoma piedāvātie nosacījumi citiem IPSiem ir vienkārši totāli neizdevīgi. Precīzi nepateikšu, bet par pašu internetu IPSam tiek mazāk kā Ls 5 no visas abonēšanas maksas. Te pa Ls 5 pat prokšus tikai čomakiem piedāvā, tā cenas iet uz Ls 15. Padomā, kādas kvalitātes pieslēgumu var dod pa Ls 5 ar kaut kādu flatrate. Jā, nepateicu – trafika uzskaiti telekoms neļauj likt gan, visiem vienādi nosacījumi. Pa dienu kaut kas, vakaros pilns links.

    Atbildēt
  15. Ibis

    2tetorists: Kaartiigam zhurnaalistam taadas atbildes neklaatos raxtiit 🙂 Baumas neizplatu – pastaastu, ko man teica uzzvanot pa telefonu 7211241 (Latnet). Bet vispaar jau paldies par atbalstu, ka citi ISP uz maajas DSL nevaldaami sako 🙂

    Atbildēt
  16. coolynx

    warrx: tas noziimee, ka arii paareejiem pooliem buus shaadas probleemas vai tikai shajaa poolaa seedoshiem ir probleemas?
    Un kapeec es nevareeshu tikt citaa poolaa? Tagad mana datora MAC adrese ir piesieta pie shii poola vai kaa? Principaa agraak es briivi celjoju no viena poola pie otra. Pateicoties linux/unix iespeejaam to izdariit sagaadaa nelielu spriedze, bet nav neiespeejami. Jau kaadu laiku neesmu meegjinaajis un iespeejams, ka tagad ir jauni aizliegumi, bet shodien pameegjinashu 🙂
    Un ko es kaa parasts juuzers varu izdariit, ka man nepatiik aizgriezti porti. Vai varbuut, ja tagad buushu piesiets pie viena poola ir iespeejams tikt taadaa, kur nekas nav nogriezts?
    Ar lielaako prieku gribeetu tikt taadaa…

    Atbildēt
  17. Taapat vien

    No vienas puses forši, visādiem vienkāršiem ļautiņiem vai nebūs jāuztraucas par security problēmām (laikam tas 139 ports, utt.), taču visādiem vidēji advancētajiem ļautiņiem tiek apgrieztas rokas, jo nevar vairs uzturēt private ftp vai www. Ok, iespējams, ka papūloties kaut ko no tā visa varētu dabūt arī atpakaļ.
    Skatoties no LTK jeb Apollo puses, iespējams viņiem nepatīk šie pašdarbnieki ar visādiem ftp un www, kas tikai veicina trafiku, un otrā daļa, kam viss vaļā un var kļūt par neapzinātiem DOS uzbrukumu līdzdalībniekiem.
    Arguments pret to visu un sava veida alternatīva varētu būt: Veicot šādu darbību, tiek bremzēta IT izaugsme Latvijā, jo studentiem un tiem līdzīgajiem nav iespējas eksperimentēt un mācīties, veidojot savu weblapu, utt. Tāpēc vislabākais risinājums varētu būt: piedāvāt šādu portu piegriešanu visiem, kas grib un par brīvu (šķiet, ka sākumā kaut kāda aizsardzība bija iespējama par 1 – 2 Ls/mēn.), bet nevis piegriezt obligāti visiem. Papildus varētu izglītot tautu (jeb “lamers”) par to kā aizsargāt savus datorus no visādām portu uzlaušanām. Es domāju, ka šajā jomā nekas netiek darīts. Varbūt šo visu diskusiju (par portu piegriešanu) vajag pacelt valdības līmenī, jo daļa % pieder arī tai? 🙂
    Un ko jūs domājat par šo te?
    P.S> Starp citu vakar Home DSL atkal bija down un šķiet šodien neredzēju nekādu paskaidrojumu par to apollo saitā (tehniskas problēmas, utt.).

    Atbildēt
  18. janiz

    hmm, nu kaa jau teicu 8:58, es savam pc veuljoprojaam varu piekljuut – gan pie 80 porta, gan 21, kas man attieciigi ir atveerti. Piekriitu tam, ka daudzi ir ‘lames’ un neko daudz par shiim lietaam nezin. Ja man to lietu piegrieziis, domaaju, ka buus jaasuudzas LTK, un pamatiigi, kaa es to daru pie visaam probleemaam, kas saistiitas ar interneta pakalpojumiem.

    Atbildēt
  19. warrx [coolynx]

    Atbildot par pooliem – migreet no viena poola uz otra var briivi un neko tas tev nedos. situaacija taada, ka ir 3 vietas, kuraas savaacas traffiks, un 2 no taam ir ACLi. Risinaajums vareetu buutu vienkaarshs – uzraksta/piesaka vai taml. ka negrib ACLu un tas tiek nonhmemts. Vieglaak ir nonhemt, jo potenciaali taadu buus maz. Uzreiz atbildot kur pietiekt – var meighinaat uz Apollo PD, galvenais apzinaat kad ir taads pieprasiijums. Un naudu neviens par to nenhems, vajag tikai izveeleeties – gribu/negribu.

    Atbildēt
  20. coolynx

    warrx: paldies par info. tikai veel viens jautaajums:
    Kaa tulkojas ACL, access control list prieksh pakeshu filtra?
    Un kaa varees nonjemt ACL konkreetam lietotaajam, ja reiz mums nav statiskas IP adreses un teiksim MAC adrese var mainiities.

    Atbildēt
  21. keem

    nu principaa buutu normaali, ja apollo uz visiem hdsl vienkaarshi 139 portu aizgrieztu – tas buutu pietiekams un nepiecieshams droshiibas pasaakums uz taada piesleeguma veidu, kaa hdsl.

    Atbildēt
  22. coolynx

    Normaali tas nav, kad taa vienu dienu vienkarshi panjem un aizver visu ciet. Nevienam ne chiku ne grabu un esmu paarliecinaats, ka taa arii neviens neuzzinaas par to kas notiek. Tas jau ir pierasts.
    Normaali buutu, ja apollo piedaavaatu tiem klientiem, kam ir probleemas, aizveert portus, bet nevis pilniigi visiem. Pat ezim ir skaidrs, ka nekaadu suuro Warez FTP vai Porno saitu atveert uz Maajas DSL nevar, bet tapeec jau tas nenoziimee, ka tie porti nav vajadziigi un jaaver ciet. Ja tu neproti nokonfigureet savas network shares, tad tagad nav no taam jaaatsakaas pilniigi visiem, tas pats atiecas arii uz Netbios portiem (139). Ja tev negarsho saldeejums, tad kapeec gan lai es to nevareetu eest, jo man garsho? 🙂
    Taa kaa nav alternatiivas, tad vienkaarshi ar to jaasamierinaas.

    Atbildēt
  23. Benvenuto

    Taatad nupat sazvaniiju Apollo un Lattelekom klientu tel numurus. Taas nu vairs nav baumas – nogriezts ir. Bet liidz ar to Lattelekoms ir paarkaapis 2 liiguma punktus attieciibaa pret lietotaajiem 1. Bija jaabriidina lietotaajs par izmainjaam rakstiski jau ieprieksh. 2. Lattelekom piedaavaa visas interneta piedaavaataas iespeejas, bet man liekas ka manas tiesiibas tomeer ir tikushas apgrieztas.
    Taatad kaa riikojos es un iesaku riikoties arii jums – sarunaajoties ar Apollo operatoru, kursh rausta valodu, kad saac vinjam uzskaitiit liiguma punktus 😉 daudz neko neieguusiet – bet zvanot uz 8008040 pieteicu suudziibu attieciibaa uz to ka esmu aplikts shaadaa veidaa. Teica ka peec nedeeljas buushot atbilde – shkjiet sheit ir labs pamats seriaalam Juuzeris VS Lattelekom/Apollo.
    P.S. Rakstu peec tam kad vairaak kaa stundu bija nokaaries mDSL visaa LV 🙂

    Atbildēt
  24. Maxii

    kur nu stundu? tur jau bija kaadas 2h. Interesanti ka Direct Connect tajaa laikaa bija vieniigaa lieta kas gaaja. Downloadi naaca, bet nekaa cita nevareeja izdariit, pat pods.lv nevareeja atveert 🙂

    Atbildēt
  25. core

    fufels, nekas nav piegriests – vismaz maneejiem routeriem un serveriem kuri atrodaas 195.13.22x.xxx/24 tiiklaa.
    coolynxam: paarbaudiiji?!

    Atbildēt
  26. warrx [coolynx]

    yep, access control list. katram uzerim (ne visiem pagaidaam) tagad ir savs point-to-point interfeiss un taatad ar katru teoretiski var dariit kas ienaak praataa:) reaali tas notiekas ar ATM vcc paliidzibu, paarkomuteejot konkreetu klientu uz interfeisu ar vai bez ACL, kaa nu katrs veelas.

    Atbildēt
  27. Benvenuto

    nupat iegriezu savu ftp serveri un paarsteidzoshaa kaartaa shis straadaa un griezhaas kaa ierasts. …. wierd , man Apollo teica ka nogriezts ir un taa tas paliks… hmz

    Atbildēt
  28. coolynx

    core: jep uz shiis zinjas postoshanas briidi ap 2:00 bija tas kas rakstiits zinjaa. Shobriid nemaaku teikt.

    warrx: vai nevareetu tevi sakontakteet (email/irc/irl/phone)? shkjiet, ka beidzot ir iistais cilveeks, kas ar taam lietaam nodarbojas un spees atbildet uz paaris jautaajumiem. 🙂

    Atbildēt
  29. warrx

    par to liigumu – neesmu rokaas tureejis, bet tur jabuut punktam par to, ka LTK ir tiesiigs uzlabot servisa kvalitati un tas tiek dariits. uzliekot ugunssienu tas tiek panaakts, jo kaadu laiku atpakalh bija smurf uzbrukumi. Kam gan gribaas, ka deelh viena juuzera, kursh absoluuti nav vainiigs, jo ir upuris, nogaazhas viss serviss. tiek kas noleemushi dziivot bez ugunssienas, vairaak vai mazaak apzinaas risku un speej pashi izsargaaties. Taa ka, kas grib bez ugunsienas – piesakaas uz Apollo PD.

    Atbildēt
  30. terorists

    Punkts par servisa uzlabošanu tur ir gan. Vispār jau nav nekur normāla apraksta par firewall tieši priekš lameriem. Visur viss sūri pārgudri sarakstīts, a nafig userim kaut ko zināt par portiem. Būs laikam jāieraksta tāsklistā tāds aprakstiņš 😉

    Atbildēt
  31. Benvenuto

    warrx, terorists: nu tad buutu baigi feini ja vareetu individuaali norunaat ar shiem visas shiis lietas, bet nu nezinu cik tas ir reaali. visur valda attieksme: “tin naher” nevis “labdien miiljais klient ko veelies”.
    starp citu kas ir nekorekti: ja liigumu sleedzot man bija valjaa tas un tas un shanceeja shitas un shitas, tad tam taa arii ir jaapaliek.

    Atbildēt
  32. CHORT

    vispaar bazars nepotjemu, ‘traceroute’ straadaa ne caur TCP protokolu, bet ICMP. suutot ICMP echo requestus. tad ja jamie grieza *zemos portus* tad arii pie reizes filtree ICMP protokolu.

    nebiju pirmstam izlasijis to artikjeli liidz galam un iedziljinaajies…

    Atbildēt
  33. Lupus

    Jē. Atgādina to kā gribējās sūdzēt tiesā Microsoft par to ka šamie bez manas ziņas nodarbojas ar datora updeitošanu, tādā vedā aizstājot man pārdoto produktu ar kaut ko pilnīgi citu.
    Debīli. Sašūmējušos tīņu bars ;D

    Atbildēt

Atbildēt uz komentāru Taapat vien Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *