Очередные выходные и очередная проблема с подключением РРРоЕ.
Попробывал перенастроить модем и все сетевые подключения,но коннекта так и нет. Решил полазить по настройкам и обнаружилось:

http://img.uz/d/2010/01/4b652bc66ae8e-s.jpg (http://img.uz/s?b8mljk)

пинг до любого IP из ARP-а успешно проходит
http://img.uz/d/2010/01/4b652bcd3a504-s.jpg (http://img.uz/s?a8mlkb)

прекрасно видно подсеть
http://img.uz/d/2010/01/4b652bbb4d297-s.jpg (http://img.uz/s?i8mlij)

заходим на любой из IP, вбив на угад незамысловатый логин/пароль,получаем доступ к комьютеру
http://img.uz/d/2010/01/4b652bd34a656-s.jpg (http://img.uz/s?k8mllf)

вся подсеть 192.168.1.0 открыта для свободного просмотра.
Если РРРоЕ регистрируется в сети,можно зайти на любой интерфейс модема в подсетке.
Закономерность вылета РРРоЕ наблюдается в течении последних 3х недель,но СТП продолжает говорить "у нас все нормально"
Разберитесь,пожалуйсто.

Подтверждаю! Был у знакомых в офисе в котором стоит всего 2 компьютера. Зашел в сетевое окружение и обнаружил там в списке чужие компьютеры. Был шокирован!
Это вообще нормально?
Как закрыться чтобы не было видно?
Как защититься?
Что им посоветовать?PS Провайдер ТШТТ

пинг до любого IP из ARP-а успешно проходит
Логично. Все модемы настроены бриджем и выпускают компьютер в подсеть провайдера. Это удобно, надо радоваться, что провайдер позволяет пользователям связываться друг с другом, а не навязывает запреты.
заходим на любой из IP, вбив на угад незамысловатый логин/пароль,получаем доступ к комьютеру
Ну и кто ж виноват, что логин/пароль незамысловаты и нет фаервола?

Как закрыться чтобы не было видно?
Модем сделать роутером и все.

Логично. Все модемы настроены бриджем и выпускают компьютер в подсеть провайдера. Это удобно, надо радоваться, что провайдер позволяет пользователям связываться друг с другом, а не навязывает запреты.

Это не удобство,а дырка в безопастности. У любого нормального провайдера,пользователи видят друг друга исключительно по IP,а не в рабочей группе. И радоваться тут нечему. Любой более продвинутый пользователь,зайдя с линукса в эту рабочую группу,сможет спокойно положить все компьютеры.
Если уж привязали к ТШТТ всех кто находится на выносе,так хоть сеть бы в порядок привели.

первая сетка на днях прикажет долго жить.
вы и так видите уже только остатки.

а вопросы безопасности - это двухсторонняя тема, все перекладывать на провайдера - не разумно.

первая сетка на днях прикажет долго жить.
вы и так видите уже только остатки.

Страшно становится от таких слов,особенно если понимать их двусмысленно. :)
Если оно так,то спасибо,что реагируете,т.к. эта проблема,как оказалось, уже давно существует.


а вопросы безопасности - это двухсторонняя тема, все перекладывать на провайдера - не разумно.
Согласен,но у большей половины пользователей,представление о сетевой безопастности заканчивается на установке антивируса. Поэтому со стороны провайдера должна быть,хотя бы минимальная защита.
Предстваляют,что было,если б они еще и белые IP имели.

Это не удобство,а дырка в безопастности. У любого нормального провайдера,пользователи видят друг друга исключительно по IP,а не в рабочей группе.
Нормальный провайдер - это тот, кто не ограничивает своих пользователей не всем нужными костылями и затычками.
Ну хорошо, запретят мультикаст microsoft-ds, и что? Как вы сами указываете, можно перебрать ip-адреса и попасть к кому угодно. Толку тогда в ограничениях, если конечный пользователь криворук?

Любой более продвинутый пользователь,зайдя с линукса в эту рабочую группу,сможет спокойно положить все компьютеры.
Вот линукс тут-то причем? Лишь бы ляпнуть?

Не совсем проблема безопасности, но ...
Целый день была проблема с нетом у ТШТТ, дозвонится не смог в течение дня, поставил телефон на автодозвон и через 20 минут (я даже забыл о нем :) ) дозвон, и берет трубку радостная (жизнерадостная?) девушка и говорит, что сегодня нета не будет - сервер переносили (????) и чо то там напортачили, звоните завтра с утра и лучше в абонотдел.
Два вопроса как это такое возможно, а если невозможно что ваши девочки курят, может все таки объяснять (записать на бумажку) что отвечать клиентам.

З.Ы. Кстати через 15 минут после звонка, Primary DNS Server появился.

Решил полазить по настройкам и обнаружилось:
З.Ы.Ы. У меня вот так, чужих АйПи нет.
http://img.uz/d/2010/01/4b65bf654b824-s.jpg (http://img.uz/s?a8na6i)

Нормальный провайдер - это тот, кто не ограничивает своих пользователей не всем нужными костылями и затычками.
Ну хорошо, запретят мультикаст microsoft-ds, и что? Как вы сами указываете, можно перебрать ip-адреса и попасть к кому угодно. Толку тогда в ограничениях, если конечный пользователь криворук?
К кому угодно по IP (если нормально у прова настроено) вы просто так не попадете. Если лично вам нужны подобные услуги,то открывайте их лично для себя,и не стоит решать за других.
Тут речь идет не о криворукости.Так что давайте не будем продолжать оффтоп.


Вот линукс тут-то причем? Лишь бы ляпнуть?
Непонятно кому еще,лишь бы ляпнуть. Из линукса можно зайти на любую машину подсетки (без особых танцев с бубном) в корневые каталоги,в том числе и системные,дальше уже на что фантазии хватит.

P.S. Мне достаточно ответа Дмитрия. Для себя вопрос закрыл. На неадекватные выпады товарища Расулова в дальнейшем отвечать не собираюсь.

Не совсем проблема безопасности, но ...
Целый день была проблема с нетом у ТШТТ, дозвонится не смог в течение дня, поставил телефон на автодозвон и через 20 минут (я даже забыл о нем :) ) дозвон, и берет трубку радостная (жизнерадостная?) девушка и говорит, что сегодня нета не будет - сервер переносили (????) и чо то там напортачили, звоните завтра с утра и лучше в абонотдел.
Два вопроса как это такое возможно, а если невозможно что ваши девочки курят, может все таки объяснять (записать на бумажку) что отвечать клиентам.

З.Ы. Кстати через 15 минут после звонка, Primary DNS Server появился.



Не совсем понимаю, зачем тут поднимать вопрос?
http://www.tshtt.uz/modules.php?name=News&file=article&sid=571
28/01/2010

Уважаемые Абоненты филиала TSHTT
В связи с проведением плановых работ по переносу узла сети передачи данных (Интернет) филиала «ТШТТ», 31 января 2010 г. с 9.00 до 18.00 будут временно недоступны услуги Интернет. Приносим свои извинения за вынужденные неудобства. Благодарим за понимание и сотрудничество.

Непонятно кому еще,лишь бы ляпнуть. Из линукса можно зайти на любую машину подсетки (без особых танцев с бубном) в корневые каталоги,в том числе и системные,дальше уже на что фантазии хватит.
Ололо. Не только smbclient умеет показывать шара$ по умолчанию, эта магия доступна и виндам.

Если вы объясните мне, как без особых танцев с бубном избавиться от этого окошка и увидеть содержимое удаленного диска, не вводя 14-символьный пароль, я вам в ножки поклонюсь, назову гуру и пива поставлю.
https://img.uforum.uz/images/bweryfg7296003.png
Винда - XP Professional SP3. Локальная авторизация, учетки администратора и гостя заблокированы.
Линупс: Debian 5.03, samba 3.2 с копейками.

31 января 2010 г. с 9.00 до 18.00
Упс не обратил внимания. Но все таки даже с 20 00 не заработал (только после 22 часов открылся ящичек)

Grammar Nazi негодует от первого поста темы:
Безопастность сети
Попробывал перенастроить
вбив на угад
Разберитесь,пожалуйсто

ойй... старая, очень песня. Извиняюсь, за своеобразный некропост, но меня долго не было.
Подтверждаю! Был у знакомых в офисе в котором стоит всего 2 компьютера. Зашел в сетевое окружение и обнаружил там в списке чужие компьютеры. Был шокирован!
Это вообще нормально?
Как закрыться чтобы не было видно?
Как защититься?
Что им посоветовать?PS Провайдер ТШТТ Кстати, мы уже писали об этом...
И не только тут, и еще с Дмитрием общались, потом по не известным причинам нам отрубился доступ к форуму тштт (сначала некоторое время сидели через прокси)... позже догадались Переподключиться (благо на ТПС"е много модемных пулов) - продолжили беседу, не поняли друг друга в итоге)))

Потом, решили проблему по своему - в модеме и на локальных машинах пробили другие адреса, и рабочие группы не WorkGroup (по дефлту в винде) а "свое". Чего и вам всем - пользователям ТШТТ советую... и пароль на модеме тоже иметь "свой".

Защищаться надо было закрывая на модеме(если он работает в режиме роутера) порты/протоколы по которым работает smb.
Кажется это тсп/445 и юдп/135-139.

Так. Господа. Считайте это официальным ответом. Так сказать "из первых рук".
Я считаю так.
Если у пользователя один комп, то шар там нет.
Если сетка, то полюбому РРРоЕ будет поднято на модеме, а компы за натом будут стоять.

Существует проблема, что куча уродов-производителей как не настраивай интерфейс на модеме ставят поверх всего "бриджинг моде" и чтобы его отключить надо снять галочку.

Если у пользователя локалка то элементарные представления о безопасности он иметь должен, иначе его не так дык этак "поимеют", вопрос только времени.

Когда стоял вопрос делать ли Port Isolation или нет решили не делать.

Сейчас эта проблема есть и она актуальна, по кардинальному будет решена к весне при вводе новых серверов доступа со всякими "вкусностями".

Так. Господа. Считайте это официальным ответом. Так сказать "из первых рук".
Я считаю так.
Если у пользователя один комп, то шар там нет.
Если сетка, то полюбому РРРоЕ будет поднято на модеме, а компы за натом будут стоять.

Существует проблема, что куча уродов-производителей как не настраивай интерфейс на модеме ставят поверх всего "бриджинг моде" и чтобы его отключить надо снять галочку.

Если у пользователя локалка то элементарные представления о безопасности он иметь должен, иначе его не так дык этак "поимеют", вопрос только времени.

Когда стоял вопрос делать ли Port Isolation или нет решили не делать.

Сейчас эта проблема есть и она актуальна, по кардинальному будет решена к весне при вводе новых серверов доступа со всякими "вкусностями".

Еще один повод с нетерпением ждать весну!
Спасибо за ответ!

Когда стоял вопрос делать ли Port Isolation или нет решили не делать.

Сейчас эта проблема есть и она актуальна, по кардинальному будет решена к весне при вводе новых серверов доступа со всякими "вкусностями".

Приветствую Вадим!
Если я правильно понял, существующая система авторизации, будет полностью реконструирована. Понимаю, что озвучивание хотя бы одной из "вкусностей" претит политики "партии". Просто хотелось бы знать (хотя бы намёком) , на каком уровне будет строиться система безопасности при авторизации, не сменится ли шило на мыло, например, можно уверенно пойти проторенной дорогой Корбины, "обновившей" свои сервера доступа приведшей к проблеме весьма плачевной, в своё время, что сильно ударило как по самой структуре финансово, так и по несчастным пользователям, в силу обстоятельств мигрировавших на других провов, замучившись в коннектах к столь не любезной, ограничивающих возможности системе.

ойй... старая, очень песня. Извиняюсь, за своеобразный некропост, но меня долго не было.
Подтверждаю! Был у знакомых в офисе в котором стоит всего 2 компьютера. Зашел в сетевое окружение и обнаружил там в списке чужие компьютеры. Был шокирован!
Это вообще нормально?

Как закрыться чтобы не было видно?
Как защититься?
Что им посоветовать?

PS Провайдер ТШТТ Кстати, мы уже писали об этом...
И не только тут, и еще с Дмитрием общались, потом по не известным причинам нам отрубился доступ к форуму тштт (сначала некоторое время сидели через прокси)... позже догадались Переподключиться (благо на ТПС"е много модемных пулов) - продолжили беседу, не поняли друг друга в итоге)))

Потом, решили проблему по своему - в модеме и на локальных машинах пробили другие адреса, и рабочие группы не WorkGroup (по дефлту в винде) а "свое". Чего и вам всем - пользователям ТШТТ советую... и пароль на модеме тоже иметь "свой".

Вы пишете, что в модеме и на локальных машинах пробили другие адреса. А разве там не DHCP сервер адреса раздает?
А что если я прописал адрес, а потом такой же по DHCP получит кто-то другой?

Сейчас эта проблема есть и она актуальна, по кардинальному будет решена к весне при вводе новых серверов доступа со всякими "вкусностями".

Проблема уже решена? "Вкусности" доступны?

в силу обстоятельств мигрировавших на других провов
От ТШТТ не уходят. Если только не к ЭВО.

"Вкусности" доступны?
Ничего "вкусного" пока не почувствовал. Либо "к весне" еще не наступило, либо год еще не тот.

От ТШТТ не уходят. Если только не к ЭВО.
Не скажите, бывают и такие события. Зуб даю :)

Не скажите, бывают и такие события. Зуб даю
Интересно, а как (точнее куда) мне уйти если я "на выносе", и вариантов других нет. Я бы с радостью в тот же самый саркор или тпс ушел.

Что за вкусности все таки? Их уже запустили, а мы (абоненты ТШТТ) пока нчиего такого не ощущаем. Только ухудшение сейчас пошло - форум отключили, внутренний фтп вообще перестали обновлять.

Странно тут както участники форума прицепились к видению в сетевом окружении чужих компьютеров. Там помоему это даже запретить то и нельзя. Если модем у вас и у других в режиме бриджа, ровно, как и DSLAM на АТС, то уж извините - будете вы видеть друг друга...
И почему привязались именно к ТШТТ?
Ведь так называемая проблема имеется на ТШТТ, АРС-Информе, Бузтоне. И это 3/3 провайдера, где я это проверял. Уверен, то же самое будет на ТПС, Саркоре и всех остальных провайдерах. Блин, влом мне сейчас модем в режим бриджа переводить, но у верен на НетСити то же саоме будет.
Да и по-умолчанию система либо вообще пускать с сети никого не должна, либо пароль спрашивать. Видать там чела к которому на комп залезли XP SP0 стоял, когда сетевой анонимный доступ был по-умолчанию разрешен. Или же вообще 98 окна висели.

Там помоему это даже запретить то и нельзя.
Можно, и как это сделать есть даже в этой теме.

Что за вкусности все таки? Их уже запустили, а мы (абоненты ТШТТ) пока нчиего такого не ощущаем. Только ухудшение сейчас пошло - форум отключили, внутренний фтп вообще перестали обновлять.
1. Форум будет восстановлен - есть форс-мажор.
2. Не знаю, о каком вы фтп говорите - но CS постоянно обновляется, может не в тех объемах конечно, по сравнению с Нирваной (сравнение чисто по объему - не путать с фильмами).
3. Переключение абонентов АДСЛ на магистраль 10G идет интенсивно , в теневом режиме (статистику выполнения приводить не буду, сразу будут вопросы - а када нас, типо ...).

Проявляйте терпение, данные работы не вещи закинуть в стиралку, включить таймер и получить готовое.
В завершении работ заинтересованы обе стороны.

RHD
Если я вижу MAC-адреса тех компов, значит через роутер не проходит, а значит и порезать по портам не получится. Или я не прав?

Проблема в основнам всплывает, когда пропадает Интерент. Т.е. железка провайдера не имеетс связи с центральной системой. В этот момент у железки отрубается DHCP и она начианет работать в режиме бриджа. Именно так происходит на Билайне. На АРС-Информе и ТШТТ у них нет т.н. локалки, и поэтому железка работает всегда в режиме бриджа. А иначе как бы она пропустила PPPoE? Он ведь не маршрутизируется.

Есть только вариант вообще разделить все порты на разные VLAN-ы. Но, ИМХО, былоб стремно. А то как бы я из дома пользовался бы нетом по VPN c рабочего компа (В пределах одной АТС) :)

Dmitriy Nikolaev
У меня к Вам, как Администартору ТШТТ несколько вопросов. Если можно ответьте.
1) Клиентам подключенным год назад, по PPPoE выдаются белые IP адреса. Тариф 512 Анлим. А клиентам подключенным менее года назад выдаются серые IP из диапазона 192.168.X.X. Что это - ошибка тех. персонала ТШТТ при настройке Биллинга/Сервера? Или это целенапрвленное выдавание серых IP новым абонентам?
2) Делаю трассировку с рабочего до домашнего компа, получаю это:
1 2 ms <1 мс <1 мс 192.168.0.170
2 34 ms 33 ms 33 ms 77.220.192.21
3 37 ms 37 ms 37 ms 77.220.192.1
4 37 ms 35 ms 35 ms 193.27.206.53
5 37 ms 38 ms 39 ms 193.27.206.26
6 37 ms 37 ms 37 ms tsk-reg.intal.uz [195.69.188.21]
7 39 ms 43 ms 39 ms Tshtt-Uznet.tshtt.uz [84.54.72.33]
8 40 ms 39 ms 39 ms Tshtt-Uznet.tshtt.uz [84.54.72.33]
9 46 ms 57 ms * 192.168.17.3
10 60 ms 63 ms 85 ms 84.54.81.27
В чем необходимость задействования приватной подсети 192.168.17.Х? Честно говоря даже не знаю, на сколько это рпавильно - в школе этому не обучали :)
3) Если пингануть ваш шлюз из вне, то получается интересная картина :)
Трассировка маршрута к 84.54.81.1 с максимальным числом прыжков 30

1 1 ms <1 мс <1 мс 192.168.0.170
2 35 ms 35 ms 33 ms 77.220.192.21
3 38 ms 36 ms 35 ms 77.220.192.1
4 36 ms 36 ms 40 ms 193.27.206.53
5 43 ms 38 ms 35 ms 193.27.206.26
6 41 ms 37 ms 39 ms tsk-reg.intal.uz [195.69.188.21]
7 42 ms 37 ms 40 ms Tshtt-Uznet.tshtt.uz [84.54.72.33]
8 39 ms 37 ms 40 ms Tshtt-Uznet.tshtt.uz [84.54.72.33]
9 44 ms * 40 ms fw-c7100.tshtt.uz [84.54.72.53]
10 42 ms 47 ms 63 ms c7100-fw.tshtt.uz [84.54.72.54]
11 * 44 ms * fw-c7100.tshtt.uz [84.54.72.53]
12 53 ms 47 ms 51 ms c7100-fw.tshtt.uz [84.54.72.54]
13 * 55 ms * fw-c7100.tshtt.uz [84.54.72.53]
14 56 ms 53 ms 45 ms c7100-fw.tshtt.uz [84.54.72.54]
15 45 ms 53 ms 45 ms fw-c7100.tshtt.uz [84.54.72.53]
16 56 ms 61 ms 53 ms c7100-fw.tshtt.uz [84.54.72.54]
17 * 57 ms 65 ms fw-c7100.tshtt.uz [84.54.72.53]
18 74 ms * 45 ms c7100-fw.tshtt.uz [84.54.72.54]
19 60 ms 67 ms * fw-c7100.tshtt.uz [84.54.72.53]
20 72 ms 65 ms 60 ms c7100-fw.tshtt.uz [84.54.72.54]
21 * 53 ms 53 ms fw-c7100.tshtt.uz [84.54.72.53]
22 60 ms 63 ms ^C
Футбол между 84.54.72.53 и 84.54.72.54 - это так задумано?

С уважением.

Если я вижу MAC-адреса тех компов, значит через роутер не проходит, а значит и порезать по портам не получится. Или я не прав?
Во первых, почти все дсламы могут изолировать порты. Во-вторых, при желании можно фильтровать каждый порт отдельно. Просто все это отключено, ибо админы адекватны.

В этот момент у железки отрубается DHCP и она начианет работать в режиме бриджа.
Она и с живым DHCP является бриджем, точней, свичем. Что в этом плохого?

А иначе как бы она пропустила PPPoE? Он ведь не маршрутизируется.
Роутится при желании (RFC1483+MER). Попробуйте, будучи подключенным через модем-роутер, запустить pppoe-discovery и увидите.

Футбол между 84.54.72.53 и 84.54.72.54 - это так задумано?
Видимо, загадочная замена фаерволу :)


traceroute to 84.54.81.1 (84.54.81.1), 40 hops max, 60 byte packets
1 192.168.0.1 0.138 ms 0.143 ms 0.134 ms
2 217.12.83.17 40.114 ms 41.816 ms 45.010 ms
3 217.12.81.243 43.767 ms 46.944 ms 48.164 ms
4 193.27.206.1 49.868 ms 51.821 ms 53.045 ms
5 193.27.206.26 54.978 ms 118.278 ms 119.496 ms
6 195.69.188.21 110.200 ms 111.298 ms 113.240 ms
7 84.54.72.33 114.435 ms 76.263 ms 165.941 ms
8 84.54.72.33 165.229 ms * *
9 * * *
10 * * 84.54.72.53 93.911 ms
11 84.54.72.54 85.968 ms 86.709 ms 87.984 ms
12 84.54.72.53 89.169 ms 92.366 ms 93.062 ms
13 84.54.72.54 105.633 ms 105.424 ms 105.383 ms
14 84.54.72.53 106.945 ms 122.673 ms 121.664 ms
15 * * *
16 84.54.72.53 99.668 ms 99.240 ms 126.360 ms
17 * * *
18 * 84.54.72.53 149.525 ms *
19 * 84.54.72.54 52.653 ms *
20 * * *
21 * * 84.54.72.54 68.312 ms
22 84.54.72.53 70.505 ms 75.947 ms 77.897 ms
23 * * *
24 * * 84.54.72.53 63.464 ms
25 84.54.72.54 50.974 ms 51.507 ms *
26 84.54.72.53 47.027 ms 64.512 ms 63.958 ms
27 84.54.72.54 63.731 ms * *
28 84.54.72.53 65.980 ms 64.707 ms 53.917 ms
29 * * *
30 * * 84.54.72.53 75.315 ms
31 84.54.72.54 77.756 ms * *
32 * * *
33 * * 84.54.72.54 119.816 ms
34 84.54.72.53 123.752 ms 124.946 ms 126.678 ms
35 * * *
36 84.54.72.53 80.998 ms 81.527 ms 81.750 ms
37 * 84.54.72.54 84.765 ms 85.257 ms
38 84.54.72.53 106.088 ms 104.856 ms 80.497 ms
39 84.54.72.54 93.596 ms 83.441 ms *
40 84.54.72.53 69.667 ms * 58.322 ms



PING 84.54.81.1 (84.54.81.1) 56(84) bytes of data.
From 84.54.72.53 icmp_seq=1 Time to live exceeded
From 84.54.72.54 icmp_seq=3 Time to live exceeded
From 84.54.72.54 icmp_seq=4 Time to live exceeded
From 84.54.72.54 icmp_seq=5 Time to live exceeded
From 84.54.72.54 icmp_seq=6 Time to live exceeded
From 84.54.72.54 icmp_seq=7 Time to live exceeded
From 84.54.72.54 icmp_seq=10 Time to live exceeded

--- 84.54.81.1 ping statistics ---
10 packets transmitted, 0 received, +7 errors, 100% packet loss, time 9032ms

Во первых, почти все дсламы могут изолировать порты. Во-вторых, при желании можно фильтровать каждый порт отдельно. Просто все это отключено, ибо админы адекватны.
Почти - это не все. И изолировать порты - вопрос спорный, что плохого что клиенты могут иметь прямой доступ между абонентами одной АТС? Ни через АТС поимеют, так через интернет.
Она и с живым DHCP является бриджем, точней, свичем. Что в этом плохого?
Да, согласен, просто видно это становится когда DHCP у железки пропадает и какой-нибудь роутер абонента начинает всем раздавать адреса из своего пула.
Роутится при желании (RFC1483+MER). Попробуйте, будучи подключенным через модем-роутер, запустить pppoe-discovery и увидите.
Да, но опять-таки далеко не все железки поддерживают.

Резюмируем:
Отделить клиентов одной АТС друг от друга можно только путем изоляции портов/разделением на VLAN-ы.
При этом, как тут предлагалось ранее, зарезать smb на стороне DSLAM нет возможности, ибо он работает в режиме бриджа, т.е. на канальном уровне. А порты TCP и UDP относятся к транспортному уровню.
Так что блокировать придется либо все, либо ничего. Я считаю, что лучше ничего не блокировать. Тем более, настройки безопасности ОС по-умолчанию, не позволят просто так шататься по чужим компам.

Странно тут както участники форума прицепились к видению в сетевом окружении чужих компьютеров. Там помоему это даже запретить то и нельзя. Если модем у вас и у других в режиме бриджа, ровно, как и DSLAM на АТС, то уж извините - будете вы видеть друг друга...
И почему привязались именно к ТШТТ?
Ведь так называемая проблема имеется на ТШТТ, АРС-Информе, Бузтоне. И это 3/3 провайдера, где я это проверял. Уверен, то же самое будет на ТПС, Саркоре и всех остальных провайдерах. Блин, влом мне сейчас модем в режим бриджа переводить, но у верен на НетСити то же саоме будет.
Да и по-умолчанию система либо вообще пускать с сети никого не должна, либо пароль спрашивать. Видать там чела к которому на комп залезли XP SP0 стоял, когда сетевой анонимный доступ был по-умолчанию разрешен. Или же вообще 98 окна висели.
На ТПСе тоже одно время это было, потом как-то полечили. В сетевом окружении никого не видно.

Уверен, то же самое будет на ТПС, Саркоре и всех остальных провайдерах. Блин, влом мне сейчас модем в режим бриджа переводить,

на Саркоре такого нет. В режиме бриджа сеть не будет доступна, ни внешняя, ни внутренняя. Всегда нужно поднимать PPPoE

И изолировать порты - вопрос спорный, что плохого что клиенты могут иметь прямой доступ между абонентами одной АТС? Ни через АТС поимеют, так через интернет.
Я вообще не вижу трагедии даже в том, что SMB доступно наружу. Если человек что-то расшарил, значит, он не против, что это что-то качают.

Да, согласен, просто видно это становится когда DHCP у железки пропадает и какой-нибудь роутер абонента начинает всем раздавать адреса из своего пула.
А вот это странно, dhcpd в большинстве пользовательских модемов не слушает WAN-интерфейс.

Да, но опять-таки далеко не все железки поддерживают.
Ну так если надо, то надо покупать :)

Так что блокировать придется либо все, либо ничего. Я считаю, что лучше ничего не блокировать. Тем более, настройки безопасности ОС по-умолчанию, не позволят просто так шататься по чужим компам.
Я тоже против блокирования чего-либо:
1. Даже умолчальные настройки убогого виндового фаервола из мира никого не пускают. Если фильтр выключен и не стоит стороннего - пользователь виноват сам.
2. Пользователь что-то расшарил на единственном компе, подключенном к интернетам - виноват сам.
3. Пользователь криво настроил (хотя это затруднительно при теперешнем софте) свой роутер - виноват сам.
4. Пользователь ни хрена не понимает в компутерах - виноват сам :)

Провайдер предоставляет канал связи с Интернетом. Ограничивать его как-либо, ставя фильтры (есть практика затыкать 137-139, 445, 25), имхо неправильно - кому-то эти порты могут быть нужны. Как вариант можно предложить пользуну услугу фаервола на стороне провайдера за умеренную плату - за, скажем, пять баксов в месяц тебе открывают 110, 21, 25, 80, 443, 53, 5190 и что-то там для игрушек, остальные затыкают. Все входящие, включая ICMP, дропать.

4. Пользователь ни хрена не понимает в компутерах - виноват сам

А если пользователем окажется "большой" человек, который всех на уши поднимет, если у него какая инфа важная пропадёт?

4. Пользователь ни хрена не понимает в компутерах - виноват сам А если пользователем окажется "большой" человек, который всех на уши поднимет, если у него какая инфа важная пропадёт?
По-моему у нас чем "больше" человек, тем дальше он от интернета:biggrin:

А если пользователем окажется "большой" человек, который всех на уши поднимет, если у него какая инфа важная пропадёт?
Большой человек для настройки своего компьютера обычно привлекает маленького человека, с него и спрос.

1. Даже умолчальные настройки убогого виндового фаервола из мира никого не пускают. Если фильтр выключен и не стоит стороннего - пользователь виноват сам.
2. Пользователь что-то расшарил на единственном компе, подключенном к интернетам - виноват сам.
3. Пользователь криво настроил (хотя это затруднительно при теперешнем софте) свой роутер - виноват сам.
4. Пользователь ни хрена не понимает в компутерах - виноват сам

Так то оно так. Но помимо всего есть еще проблема вирусов-червей. Которые в таких дырявых сетях и пируют. И еще кое что опаснее.

Так то оно так. Но помимо всего есть еще проблема вирусов-червей. Которые в таких дырявых сетях и пируют. И еще кое что опаснее.
Самый опасный из таких Sailyty - его механизм в том, что он сканирует всю подсеть 192.168.0.0 и 192.168.1.0 на наличие открытых для записи шар. А много ли таких из всех расшаренных? Ну, уж менее половины - уж точно. Sailyty - это очень грамотный вирус с функционалом руткита, подцепить его гораздо легче через флеху. Большинство остальных червей размножаются лишь через Авторан.инф на флехе. Так что угорза не особо то и большая. Гораздо опаснее нюки, направленные на посылку исполняемого кода в кадре ответа на запрос со строны компьютера. Такой нюк может содержаться, как в HTTP-запросе, так и в кадре TCP. Да и другие системные службы не обделены потенциальными дырами. Именно такие вещи прикрывают обновления безопасности от МС, которыми многие пренебрегают.
И вот в таких случаях ни фаервол, ни еще что-либо вас не защитит. Потому что именно ваш компьютер зачастю становится инициатором запроса данных, в ответ на которые вам присылается нюк.
Фаервол, вообще может защитить лишь от лишней сетевой активности, т.е. от потенциальной передачи конфидециальных данных вирусом в сеть. Но, если он что-то передает, значит он уже сидит в системе.
К тому же многие потенциальные уязвимости в системе используются следующим образом:
Допустим, червь запущен локально с юзерскими правами. Он отправляет на определенный локальный порт нюк-последовательность, которая является нестандартной для даннойго сервиса, и поидее должна быть проигнорирована, но из-а ошибок в коде, некоторые последовательности могут исполняться ОС или драйвером, т.е. этот вредоносный код может работаь уже не от лица юзера, а от лица ОС, т.е. с наивысшим преоритетом. В идеале, такой червь запускает сам себя с локального компа, и гораздо реже с сетевого. Именно поэтому в биллютенях по безопасности пишется "существует риск повышения полномочий на локальном компьютере"

А если пользователем окажется "большой" человек, который всех на уши поднимет, если у него какая инфа важная пропадёт?
А если большому человеку понадобиться SMB?

А вот это странно, dhcpd в большинстве пользовательских модемов не слушает WAN-интерфейс.
Я по-работе очень часто настраиваю и устраняю неполадки с ADSL. И поверьте мне, помоему все модемы вещают на WAN порт. По крайней мере, я наблюдал чужие морды модемов Zyxel P660RT (ктстаи, глюкало еще то), всех TP-LINK, D-LINK, AVIV SR, Huawei и еще многих других экзотических штук.
Прикол в том, что внутри одной АТС, за IP 192,168,1,1 борятся не один десяток модемов.
Я даже как то пытался порядок наводить, чтоб левые IP не получать. Заходил на чужие модемы и отключал DHCP - все равно большинство бриджем их используют. Кстати, может ответ именно тут - в режиме бриджа DHCP вещает и на внешний порт.

На ТПСе тоже одно время это было, потом как-то полечили. В сетевом окружении никого не видно.
Не факт что полечили, может у Вас просто служба браузинга накрылась. Некоторые гореадмины, не зная особенностей данной службы не знают как ее вообще заставить работать, и почему компы то видно, то нет. А может рабочая группая другая, или вообще 2 сетевых интерфейса, а NetBIOS может работать только на одном.

Real Root - при всем уважении к вам, избавьте нас (читателей этой ветки) - от подробностей.

Одно дело, когда у всех есть Инет и Вики - другое, когда, с этим борешься и тут не до вики.

Dmitriy Nikolaev
А на мои 3 вопроса по ТШТТ не ответите. Особенно интересует ситуация с серыми IP-шниками.

Сижу дома на ТШТТ. Часто играю в шахматы на сервере playchess.com или fritzserver.de Так вот, сыграть партию нормально просто невозможно, каждые 2-3 минуты разрыв соединения, и через некоторое время сервер зачисляет поражение. О блице уже и мечтать не стоит. Хотя все остальное работает нормально. Раньше на Саркоре такой проблемы не было. Вопрос решаемый, или стоит менять провайдера?

Сижу дома на ТШТТ. Часто играю в шахматы на сервере playchess.com или fritzserver.de Так вот, сыграть партию нормально просто невозможно, каждые 2-3 минуты разрыв соединения, и через некоторое время сервер зачисляет поражение. О блице уже и мечтать не стоит. Хотя все остальное работает нормально. Раньше на Саркоре такой проблемы не было. Вопрос решаемый, или стоит менять провайдера?
Врятли. Лучше поменять. Ибо я уже 4-й месяц от тех. поддержки пытаюсь получить просто вразумительный ответ почему серые ip дают на безлимитных тарифах - безрезультатно.
А недавно у знакомого вообще был случай - сняли кросс просто так. И выяснить это удалось через руководство компании. А до этого тех. поддеркжа морочила голову, что у вас модем глючный, на линии проблемы, сплитер корявый и т.д. и т.п.
Потом уже, когда выяснилось что кросс сняли (при оплаченном счете), начали гнать что у нас вирус какойто-там сверх страшный был, и у них всю сеть забил. Сказали почистите компутер и тырнет вернем после этого. Посидели 2 часа - чай попили, сказали что почистили. Кроссировку сделали заного и все заработало, при этом вирсу сам собой кудато испарился.
Как мне кажется просто тупо номера перепутали с которых кросс сбить надо было.

ТШТТ выгоден лишь низкой ценой на анлимный тарифы, в остальном, отношение сотрудников весьма халатное. мне вообще кажется, что работосопсобность этого провайдера держится на энтузиазме нескольких человек. Т.е. когда у них хорошее настроение - все зашибись. И проблемы решаются тоже в зависимости от их настроения и их занятости леваками, ибо з.п. скорее всего очень низкая, учитывая ценность самих специалистов. И выгоднее делать леваки, а с такой квалификацией их недостатка не будет, чем решать текущие "мелкие" проблемы за которые платят относительные гроши.

Real Root
Для начала, предлагаю сменить топик на этот http://uforum.uz/showthread.php?t=1813
Оффтоп тут.

Для начала, предлагаю сменить топикСменил, но решения не видно пока.

почему серые ip дают на безлимитных тарифах
серые ip на безлимитных тарифах дают потому что, дают серые ИП на безлимитных тарифах.

Или где-то было обещано другое. Реальный ИП стоит кажись 4000 - неважно на какой тариф.

серые ip на безлимитных тарифах дают потому что, дают серые ИП на безлимитных тарифах.

Или где-то было обещано другое. Реальный ИП стоит кажись 4000 - неважно на какой тариф.
Почему же одним белые, другим серые? Или это от АТС зависит?
У всех провайдеров уже несколько лет только белые.
Умом ТШТТ не понять...

пример - де вы увидели белые ... что за чушь?

пример - де вы увидели белые ... что за чушь?
Если скажу - не уберете?
В городе, есть как минимум в 3-х местах.

Я честно говоря, последний раз серые IP на АРС-Информе 2 года назад видел. Неужели у вас пула адресов нормальных нет?

Судя по ситуации на ТШТТ и ответам на вопросы тех. поддержки ждать исправления этих проблем безполезно думаю. Так что надо всем потихоньку переходить к другому провайдеру. А срыв подключением РРРоЕ думаю специально предусмотрено самим провайдером видимо по каким либо причинам им это выгодно. Раньше использовал тариф 500 мб. все работало отлично ни разу не срывалась связь а как поменял тариф на 1000мб через несколько дней начались проблемы и каждый день теперь когда срочно что либо нужно и начинаю нагружать потоком закачки интернет срывается и каждые 5-10 сек приходиться переподключаться.....