Prezado catvbrasil
Justamente eh isso que está sendo feito, bloquear tudo e deixar passar só o que interessa!
Nenhum p2p conecta fora do horário determinado.
Versão Imprimível
Prezado catvbrasil
Justamente eh isso que está sendo feito, bloquear tudo e deixar passar só o que interessa!
Nenhum p2p conecta fora do horário determinado.
Amigão, dsclpe a minha pergunta pois sou leigo ainda, mas estas regras se aplicam onde dentro do MK? na Nat, no Mangle onde eu as ponho.
Citação:
Postado originalmente por fernandoborille
Citação:
Postado originalmente por fernandoborille
Bom, quero dar a minha opinião, se for de encontro a alguns que me perdoem,mas, acho que não é bem assim:
O que seria considerado portas altas em TCP? Seriam portas acima da 10000, então o colega ainda bloqueou portas baixas (na minha opinião).
Ao fazer esse tipo de bloqueio ele diminuirá sim drasticamente o consumo de banda da rede dele, mas, também em contra partida, vários serviços pararão de funcionar com essas regras, vou comentar...
As poprtas UDP acima da 1024 são consideradas portas altas, e na maioria das vezes são usadas por vírus, e softwares que usam o protocolo P2P, bloquear as portas é válido, mas dessa forma quando o cliente for usar VOIP'S como (skype, lig, e outros) com certeza não irão funcionar, pois os mesmos precisam de portas altas UDP para fazer a sua conexão, alguns jogos on-line (e seriam muitos) também parariam de funcionar, por que também precisam de portas altas, então fazer o bloqueio assim para toda a rede eu não acho justo com as pessoas que navegam normalmente sem usar a conexão para downloads cada vez maiores.
Quanto ao bloqueio da porta ( 0 ) TCU e UDP isso sim é válido para todos por que assim evitamos que a conexão criptografada do WAREZ e seus semelhantes se estabeleçam causando assim um furo no controle de banda da rede.
Esse bloqueio de portas altas TCP e UDP deve sim ser feito mas para cada ip que começe a estrapolar a conexão, não é justo aplicar isso a toda a rede.
Uma das principais coisas que deve ser feita em uma rede é o bloqueio de todo o trafego desnecessário NO CLIENTE, vou comentar...
Um pouco sobre NAT e controle de banda:
Normalmente o controle de banda em um provedor de acesso Wireless é feito no servidor que usa regras estáticas para descartar os pacotes até que se atinja a velocidade pretendida. Isso acarreta um sério problema já que os pacotes saem do cliente, via equipamento de rádio, passam pelo POP principal (AP) e chegam ao provedor para só então fazer o controle de banda com descarte de pacotes. Note que os pacotes continuam a passar pelo POP principal, fazendo com ele trabalhe mais, e sem necessidade, já que os pacotes serão descartados somente no Servidor. Se a máquina do cliente estiver contaminada com certos vírus ou softwares P2P (Emule, Edonkey, Kazaa, Torrent, etc), que enviam grandes requisições de pacotes UDP ou TCP, o problema será maior ainda, chegando ao ponto de um só cliente derrubar o POP como um todo. Sniffers de rede, como o Iptraf e o tdpdump, também não serão de grande valia, já que o POP estará tão congestionado que as informações chegarão (se chegarem) totalmente truncadas dificultando a descoberta do problema.
Com isso os ''técnicos'' tentarão trocar equipamentos, cabos, conectores, antenas, gastarão muito dinheiro, sendo o problema ocasionado, muitas vezes, por um só cliente. Assim é IMPRESCINDÍVEL que o controle seja feito no cliente, antes que os pacotes subam para o POP, fazendo com que o AP principal trabalhe muito mais solto, já que ele repassará somente o tráfego necessário. Controlando, também, a banda de upload evita que grandes requisições de pacotes, comprometam o desempenho do POP.
Fazendo NAT também no cliente, (sempre que possível) teremos a certeza que eles não se enxergarão e possibilitando fazer regras de firewall protegendo a sua rede e tornando o serviço mais profissional.
ESPERO QUE COMPREENDAM A MENSAGEM, muitas vezes o problema é de como a sua rede está configurada, desde a placa de rede instalada no PC do seu cliente até o modem de sua conexão.
Aproveitem que hoje estou bomzinho para repassar essas dicas,:burnout: e a quem conseguir assimilar o que está dito aqui, conseguirá colocar a sua rede e a conexão dos seus clientes em um nível muito superior ao que é, e a dos seus concorrentes.
Amigo de nada adinata somente travar as portas em forward...Citação:
Postado originalmente por fernandoborille
Saiba que são 3 canais nativos:
Forward - Pacotes que passam pelo roteador (exemplo: trafego entre pcs na rede, tráfego direcionado a serviços como web-proxy, etc)
Input - Pacotes que chegam da internet para o roteador (estes são os piores)
Output - Pacotes que saem para internet (estes não representam pouco/nenhum perigo)
Suas regras são excelentes, porém ao meu ponto de vista incompletas... Ainda não usaria elas no meu provedor....
----------------------------------------------------------------Citação:
Postado originalmente por catvbrasil
Tenho mais algumas regras para adicionar, porém apenas com estas grande parte do problema ja foi solucionado.