Pokud se nepletu, tak mi T-Mobile USA blokoval i ten port 465 (ale od te doby uz uplynulo par let a moje reseni s 2525 funguje).
Predstava, ze volam ze Starbucks na hotline T-Mobile USA a chci na hodinu povoli z konkretni IP adresy port 25 a odpoledne volam znovu a chci povolit jinou adresu a zitra ... je ponekud usmevna. Zvlaste v kontextu toho, ze by mi meli vyjit vstric.
No tak v případě mobilního připojení nebo nějaké free-wifi je ta poznámka s kontaktováním supportu skutečně mimo. Měl jsem na mysli spíš klasické pevné ISP, i když s takovým O2 by také jednání nebylo jednoduché...
Jasně, řešení s jiným portem funguje dobře, a v extrémních případech kdy se blokuje kde co, a ještě třeba na L7, to jistí SSL VPN na portu 443, to už snad neblokují na žádné trochu rozumné sítí.
…připojení adsl, kabel, mobil není připojení pro firmu…
Tak to mi jistě pane moudrý poradíte, jaké mám použít připojení u zákazníka, který má budovu v polích, kde kromě telefonní linky a jedné garážové firmy s ještě horšími parametry nic k dispozici není. Nebo půjdete přesvědčit ředitele u jiného zákazníka, že na každou z prodejniček, které chce mít spojené s centrálou, má pořídit optiku za několik tisíc měsíčně.
Tak ono se na podobné situace myslelo, a na komunikaci MUA > MTA/MSA je vyhrazen port 587 (SMTP Submission), kde by MTA neměl dovolit komunikaci bez autorizace. Případně ještě není zvykem blokovat SMTPs (implicitní SSL) na portu 465.
Celkově podle mě ISP, který pro běžné uživatele by-default blokuje port 25, a bez problémů ho povolí na žádost nebo na to má přímo položku v objednávce, nedělá nic špatného, ale naopak se chová rozumným způsobem. Pokud fakt potřebuju provozovat vlastní MTA a komunikovat přes port 25, není problém kontaktovat support, kde to během pár minut odblokují.
ad c)
Jak víš, zda se nesnaží napadat síťovou infrastrukturu? Může ... Pochybuji, že někdo sleduje každý paket co skončí někde na inteligentnějším zařízení. Nejenom že to zabije oblíbené wifiny (na typu nezáleží), ale občas zvládne i switche či jiná zařízení (ono třeba 300 tisíc konexí v prakticky jeden okamžik nepřežije leccos - sám jsem to viděl).
A co je horší, zaručeně se snaží napadat ostatní uživatele/zákazníky. A co teď? V rámci do kamene vytesané síťové neutrality to nechat plavat? Paní, je naprosto v pořádku, že nemůžete využívat internet. My jsme tak neutrální, že DOS od vašeho souseda je provoz jako každý jiný a my ho nemůžeme zablokovat, to by se mu nemuselo líbit a mohl by nám nakopat řiť. Pořiďte si lepší počítač, router, nebo silnější linku (alespoň na tom vyděláme).
I zablokovaný paket na místo určení dojde ... (tedy na místo blokace). Vygenerovat 8Mbit fake provozu není problém. A co ten chudák DSLkař?
A taky by mě zajímalo, od koho máš konektivitu ty. Pokud to 99% procent neumí, tak ti na výběr moc nezbývá ...
Opet, ISP se do toho nema co srat. POkud dotycny napada jeho vlastni stroje, muze na nej podat zalobu/trestni oznameni, ale dokud neexistuje alespon predbezne rozhodnuti soudu, nema narok jakkoli zasahovat. Pokud nekomu prodam 100Mbit a on mi pak posila 100Mbit pingu a moje sit to neustoji, tak sem debil leda ja.
Pokud HW ISP neustoji konexe od klienta, je to opet jen a jen chyba ISP, kterej prodava neco, co neni schopen poskytnout. A ono 300 konexi jeden zakaznik jiste nevygeneruje. Pokud me skleroza neklame, tak si jich muze vygenerovat jeden stroj maximalne 64k.
A pokud DOS probiha na jineho zakaznika, je to problem mezi nim a utocnikem, ciste v jejich rezii. ISP muze tak maximalne na soudni prikaz sdelit, komu linka patri. Pripadne muze poskytnout zakaznikovi nejake nadstandardni sluzby FW (tomu, ktery ma pocit, ze na nej nekdo utoci - samozrejme na jeho zadost a s jeho vedomim), ale nikoli omezovat toho, kdo odesila.
Mimochodem, nekolikrat sem osobne musel rvat na nekolik ruznych "ISP", kteri meli tu drzost ze blokovali provoz na zakaznika, protoze "se jim zdalo", ze jde o nejaky utok.
Ač tento post považuji za ironický od pisatele, je bohužel v tomto případě naprosto pravdivý. Je hezké, že se zákazník rozčiluje kvůli blokaci SMTP, ale zjevně nikdy nedělal v síťařině a v síťařině pro obyčejné lidi tuplem. Je velice krásné, když člověk zvládne za půl dne poslat několik set tisíc meilů ... nebo pokusů o ně. Nemá to ráda ani síť, ani příjemci těch meilů. A donutit toho dotyčného k odvšivení je většinou nemožné. Nejlepší je je uříznout od sítě do doby vyřešení. Jinak na to kašlou.
Takže plně chápu ty firmy, co SMTP blokují. U nás to sice nepraktikujeme, ale při určitém počtu za den ho sekneme také. Byť selektivně, nikoliv plošně. A nejradši bych ho zablokoval celé a šmitec.
To samé platí pro porty samby. Ač jsou tyto díry ve windows dávno zalepené, stále si netroufnu plošně toto pustit.
to je trochu mimo mísu ... svůj SMTP si samozřejmě ochránit člověk dokáže. Ten jede pořád. Ale nedokáže rozumně omezit ty ostatní, mimo síť. Nasadit na bránu >1Gbit nějaký L7 filtr (neboť ne vše na 25 portu je SMTP, že) není žádná sranda.
A mluvil jsem obecně. Teprve druhý odstavec byl konkrétně. Čisté počítače jsou u nás nedotknutelné ...
Takže co:
a) zablokovat port 25 natvrdo
a1) povolovat vyjímky
a2) bez vyjímek
b) nějakým stylem to počítat a blokovat selektivně
c) selektivně omezovat přesněji - L7 filtr, vyhazovat do pomalého pásma, nebo vždy na chvilku omezit, nebo přesměrovat na jiný SMPT (což není zas až tak správné).
a) je nejjednodušší ...
A každá síť, která to blokuje kompletně má zároveň vlastní SMTP. Takže kdo potřebuje, může ho bez problému použít. V dnešní době ho moc lidí nepoužívá. Většině stačí web rozhraní.
I UDP je v podstatě konexe ... stačí si generovat IP adresy a porty.
By mě zajímalo, proč máme na silnici přechody. To, že chtějí chodci přecházet ulici je jen a pouze jejich věc a mají se přeci dohodnout mezi sebou.
Proč máme dopravní předpisy? Vždyť se řidiči mohou dohodnout sami mezi sebou ...
Když mě mě někdo na ulici napadne, tak se také můžu vykašlat na řešení přes policii. Ta do toho nemá co kecat, je to jen mezi mnou a útočníkem. Policii obecně můžeme zrušit, neboť jejich preventivní činnost je přeci omezování osobní svobody.
Tenhle přístup je naprosto zcestný a docela rád bych, abys zavolal mě a řval.
Mimochodem celá diskuse je vcelku mimo mísu. Chceš garantované, neomezované připojení? Pořiď si něco takto definovaného. A ne sdílené připojení pro domácnost. Dokud nebude mít každý svých vyhrazených 100Mbit, nelze být stoprocentně neutrální (ve tvém pojetí). To je hovadina.
Síťová neutralita znamená, že nejsem omezený v cílech přenosu dat. Že neodříznu půlku světa jenom proto, že se mi nelíbí. Nikoliv že si můžu na síti dělat co chci. Moje svoboda končí tam, co začíná svoboda někoho jiného.
Zase na druhou stranu - připojení adsl, kabel, mobil není připojení pro firmu. Lze říci, že v takovém případě si za to může sama. Firma potřebuje garance a to u těchto technologií stejně nedostane ...
Kromě toho existuje konkurence a pokud se někomu něco nelíbí, může jít jinam. U internetu je to snadnější, než u telefonu.
A pokud taková možnost (řekněme) není, tak má firma prostředky si pořídit a platit dedikovaný server někde v serverhouse. Nebo VPS, to je za babku.
Samozřejmě - pokud někdo blokuje, mělo by to být zveřejněné a dát se to zrušit, povolit. Ale jinak je dobrá cesta k omezení celosvětového spamu ...
A jak tady někdo jiný napsal, že je jedno, zda je provoz torrentem, nebo spamovou vlnou - podle mě to jedno není. Byť čistě technicky ano. Spam je dokonce vlastně i trestný, co když někdo takového uživatele zažaluje? Bude se bránit, že o tom nevěděl? Neznalost neomlouvá ... A furt lepší je ho zablokovat, než pak později řešit, že je na blacklistech. Nebo nedejbože dostane na blacklist sdílenou IP adresu. A toto bude daleko horší problém, s tím jak bude IPv4 ubývat.
A abych nevypadal jako velký obránce omezování uživatelů - ne, nelíbí se mi to a nejradši bych se obešel bez omezování. Paket na síti je pro mě posvátný, tedy nedotknutelný. Ale bohužel to nejde, vše je odsud podsud. A moje svoboda končí tam, kde začíná svoboda toho druhého ...
Ani ve snu mne nenapadlo, že když si pořídím připojení k Internetu o rychlosti 50Mbit/s, dostanu také zdarma blokaci SMTP ven. Taková je představa poskytování Internetu u RIO Media. Více viz:
http://rychlost.cz/forum/tema/2130/
kde je k nalezení i jejich oficiální stanovisko (příspěvek od marian-rychtecky).
ISP by měli mít minimálně nařízeno jasně definovat co si pod jejich připojením k Internetu mám představit. Připojení, u kterého je blokováno SMTP, bych já ve své terminologii nikdy nenazval "vysokorychlostním internetem". Správný název je "blokované připojení k Internetu". Podotýkám, že provádění uvedené blokace podmínky RIO Media neuvádějí a vlastně ani nepřipouští.
Takze zakaznik co ma firmu, vlastni domenu a hosting s vlastnim SMTP serverem ma podle vas jako smulu ? Zvlaste kdyz SMTP server nabizeny poskytovateli pripojeni je tradicne zcela nepouzitelny. Bezne od (sveho) SMTP serveru ocekavam, ze email odesle do 5ti sec., ne do 5ti hodin jako u SMTP serveru u poskytovatelu.
Chapu ze je to defaultne treba zakazane, ale pokud to nejde na zadost povolit, tak je takove pripojeni zcela k nicemu.
Skoro bych si tipnul na neschopneho preprodejce konektivity, ktery si nejspis nekde rika ISP.
Takze:
a) Poskytovali konektivity je naprosto kulovy do toho, co kam, kdy a jak zakaznik posila. Ma poskytovat konektivitu (ani to v 99% neumi) a nesrat se do niceho jineho.
b) Siti je uplne jedno jestli po ni prenasim milion spamu nebo generuju stejny provoz p2p, ftp, ... proste si platim nejakou konektivitu a ocekavam, ze presne tyhle parametry dostanu, v opacnem pripade dojdu osobne a s radosti providerovi prokopnout rit.
c) Providerovi je stejne tak kulovy do toho, jestli na stroji zakaznika bezi nejaky cerv/vir/... dokud ten stroj nenapada samotnou infrastrukturu, tak se do toho nema co hrabat.
Jedine toto je sitova neutralita a potesi me kazdy kdo vygeneruje DDOS na providera, ktery provoz filtruje. Dobre mu tak.