Ale jo udelej tak jak tu napsal jantar.czHQ.
je to zaloha? Nouzovka? tak povol jen porty 80 HTTP, 443 HTTPs, 110 POP3, 25 SMTP a treba 5190 na ICQ (MSN si ted vevzpomenu) a pripadne RDP+VNC (ktery si ted taky nevzpomenu). Proste vse zakazat z TCP a povolit jen to co je pri nouzovem rezimu vazne potreba. S FTP je to horsi protoze FTP neni jen o 21 portu.
A ze to nebudou chtit pochopit sosalci? To, ze kdyz to jde prez uzky nouzovy hrdlo a oni stale sosaji tak ze tu nouzovku znehodnoti na neco co je z hlediska pouzitelnosti zdegradovano
na neco co se neda pouzit ani na prohlizeni WWW ale jen na to sosani? tak sorry za muj radikalismu, ale holt musi jit jinam. Me zkusenosti s takovymi jsou totiz bohuzel takove, ze pokud je nouze a je potreba dohodnout nejaky kompromis nebo pomoc tak s nimi je nejhorsi rec. Stale se ohaneji jen tim, ze si neco zaplatily a tak to chteji vyuzivat na 100%. Proste zacnou jednat jako s normalnim ISP typu Eurotel a ne jako k nejakemu celku jako jsou komunity kde zalezi na chovani kazdeho jednotlivce. V tom pripade nezbyva nez se k prevazne DCckarum opravdu zachovat jako ISP a stroze oznamit, ze holt na jejich predstavy v soucsnosti nemam a ze nezbyva nic jineho nez aby k nejakemu ISP skutecne presly. Ja vim je to ted tvrde, ale co s temi max. 10 % uzivatelu kteri dokazi svym chovanim a vystupovanim zhorsit sit zbylym 90 %.
To sem ale odbocil. Proste prez ten nouzovy spoj vse zakazat a selektivne povolit jen to nejnutnejsi na co ten spoj ma. A tem kteri to nebudou chtit pochopit proste rict, ze jinde to maji urcite lepsi :(
No jak sem pochopil tak jde o to ze je to nouzovy spoj ktery se se zapina pri nepruchodnosti optiky. Takze uz vidim jak se stale obvolavaji vsichni uzivatele, ze uz to jde nebo zase to nejde.
Takze zakazat vse a povolit tam jen to nutne. To vse je hlavne kvuli DC ktere skace vsude mozne. Taky sem nikde nenapsal ze neni mozna domluva. Proste to, jake porty budou otevreny se da domluvit. Ty co sem uvedl jsou dle meho jen zaklad.
A tunel prez 80 port? To fakt neni problem. Ale kdyz si tam nekdo ten tunel udela tak nageneruje provoz. A kdyz nageneruje provoz takovy ze to opet ucpe tu linku tak bych to pak resil individuelne. Je sice moznost udelat tunel prez 80 ale ne neviditelne zrovna tak jako je videt ze nekdo NATuje a preprodava konektivitu dale svym kamaradum.
S tou dohodou o portech by muselo jit ruku v ruce ohlaseni, ze je to kvuli omezeni kapacity spoje. Pokud se v tu dobu nekdo vrhne na dolovani 80 a nemusi to byt jen tunelem tak je dle mne jasnej a je videt jeho pristup k ostatnim.
To ze se na cas zablokuji automaticky nejake porty prave lidi znali IT dle mne pochopi snaze neb vi ze je to pro ne signal, ze to jede v nouzovem rezimu a zaroven pochopi ze je to operativni automaticke a rychle reseni. Lidi neznali IT uvidi ze jim WWW a posta jdou a DC ne. Takze taky pochopi. (napriklad to ze venku je mlha )
Ale vsichni pochopi ze to je proste automaticka reakce systemu pri prechodu do nouze. Ti co to nepochopi maji fakt smulu.
A hlavne aby mne nepochopil nekdo jinak. Zakazovani portu a povolovani jen vybranych beru fakt jen jako reseni prez mene pruchodne nouzove spoje a ne reseni normalniho stavu.
Souhlasim s JKT ze nema cenu povolovat jen neco. Maximum pasma vyzira jen DC a proto jdu po krku jen tehle aplikaci. Zbytek sluzeb si troufam tvrdit neni takovy zahul (na techto spojich ani FTP protoze je to lajna na BGP router a tim smerem nejsou FTP zdroje nasim povetsinou lammerskejm sosakum zname - teda pokud se neprovali diky CZF4BFU projektu )
Jinak diky hezkemu pocasi v poslednich dnech ta linka docela drzi a neni duvod to omezovat. Skript uz sem nasadil, zatim je to ciste tak ze pri vypadku to zkrouhne CZF DC porty. Chova se to docela schopne, sice to pomaleji konverguje ale troufam si tvrdit ze i tak je to pouzitelne reseni.
Pristi tyden jdeme jednat se zastupci 10.13.0.0/16 (Stodulky atd.) o vystavbe 5G, takze pocitam ze by to mohlo nabrat rychly spad a dalsi omezovani nebude potreba. Podle informaci od kolegy navic do 14 dnu na nasi pateri bude implementovanej QoS, takze hura, snad bude po problemech
nicmene mi porad neni jasny, proc ty pakety rovnou DROPujes misto toho, abys jim jenom daval nizsi prioritu...? nebo kdyz uz je hlavni duvod ta iGW, tak proste dej vsemu, co jede na jeji IP adresu, na tvrdo vetsi prioritu...