ISP ARTELECOM

[Евгений К]

Оффтоп:

Цитата:
Сообщение от rekrut
А не могут они делать потому что просто напросто используют инет на что то другое?или не в обиду будет сказано воруют.

Обид никаких и быть не может, и если не секрет отпишитесь в личку или свяжитесь со мной в, кто Вы именно... И для каких нужд Вам ICMP протокол...

И всё таки Вы как то проигнорировали вопрос....

[JackDaniels]

Цитата:

Сообщение от Евгений К

Цитата:

Эх вроде бы умный человек, а говорите глупость... а разве тяжело посмотреть выходной IP и посмотреть на ripe.net кому принадлежит???

Выходной айпи? Это что за термин такой?
Вы имели ввиду наверно айпи вашего роутера, который является шлюзом для абонента?

Если так, то без ICMP не будет возможности посмотреть маршрут пакета и провайдеру это даст возможность скрыть наличие «тарелки» на прием, например.
Знаете про асимметричную связь?

Иначе говоря, закрывая ICMP провайдер может скрывать направление маршрута, а кидая трафик через Сквид на собственном роутере, будет проблемно увидеть как пришел пакет…

Возникает логичный вопрос — Вам есть что прятать?

Так или иначе, если провайдеру скрывать нечего, то и ICMP закрывать не нужно.


P.S. Вопрос ко всем — Кто ни будь знает провайдера, закрывающего ICMP для какой-то оправданной для пользователя и/или сети цели?

[ARTelecom]

Цитата:

Сообщение от Ruslan Khudyakov

Цитата:

Выходной айпи? Это что за термин такой?
Вы имели ввиду наверно айпи вашего роутера, который является шлюзом для абонента?

Если так, то без ICMP не будет возможности посмотреть маршрут пакета и провайдеру это даст возможность скрыть наличие «тарелки» на прием, например.
Знаете про асимметричную связь?

Иначе говоря, закрывая ICMP провайдер может скрывать направление маршрута, а кидая трафик через Сквид на собственном роутере, будет проблемно увидеть как пришел пакет…

Возникает логичный вопрос — Вам есть что прятать?

Так или иначе, если провайдеру скрывать нечего, то и ICMP закрывать не нужно.


P.S. Вопрос ко всем — Кто ни будь знает провайдера, закрывающего ICMP для какой-то оправданной для пользователя и/или сети цели?

Вопрос для своей инфы!
Вы какую систему администрируете?
И если Unix-подобную то дайте пояснение на такую задачку!
Имеем три канала в Мир!
Каждый канал от разных провайдеров!
Обозначим так для простоты!
канал "А" - первый провайдер
канал "В" - второй провайдер
канал "С" - третий провайдер
и вот вам настройки роутинга FreeBSD
####################################
ipfw add 100 divert "A" icmp from "table_users" to any
ipfw add 200 divert "B" ip from "table_users" http,https to any
ipfw add 300 divert "C" ip from "table_users" to any
##############################################
И теперь если Вы предметно разбираетесь о чем скажем мягко "что-то пытаетесь говорить" может скажете что по Вашему значат написанные правила? И какое кстати отношение Squid может иметь к ICMP протоколу если он работает только в TCP пакетами?
А написав что ассиметричную связь возможно обнаружить через ICMP Вы точно показали что настройкой "спутникового инета" Вы никогда не занимались.

[ARTelecom]

Цитата:

Сообщение от rekrut

Всем здравствуйте.Тут спрашивали про ARTELECOM,у меня он как раз таки и подключен.Скажу вам по секрету провайдер не ахти как работает.Закрыли доступы на ping и tracert,уже 3 ночь подряд инет отрубаеться и за ночь это происходит не один раз.Постоянно выкидывает с таких клиентов как ICQ & MAGENT.Звоню в техподдержку отвечают что у нас все нормально работает.Так мой вам совет не ходите туда подключаться .

А Вы Батенька попросту "провокатор" и нашим клиентом Вы не являетесь!
Тут Вы солгали, что не есть "ХОРОШО".
А потому предметный разговор с Вами пуст и бесполезен.

[JackDaniels]

Цитата:

Сообщение от ARTelecom

Каждый канал от разных провайдеров!
Обозначим так для простоты!
канал "А" - первый провайдер
канал "В" - второй провайдер
канал "С" - третий провайдер
и вот вам настройки роутинга FreeBSD
####################################
ipfw add 100 divert "A" icmp from "table_users" to any
ipfw add 200 divert "B" ip from "table_users" http,https to any
ipfw add 300 divert "C" ip from "table_users" to any
##############################################

Ни что не мешает, конечно, завернуть ICMP на другой интерфейс, это понятно.
Просто по умолчанию для ICMP не прописываются какие-то иные интерфейсы, ибо попросту не за чем.

А вот вопрос — зачем запрещать (или скрывать) маршрут, остается открытым.
(Про вирусы не убедительно, другим же они не мешают…)

Про «Сквид» вы меня не поняли, я имел ввиду, что с его помощью склеивают несколько каналов, например, и абонент получая картинку, из кеша, снифером увидит совсем иное, ну и так далее…
Естественно ICMP это ни как не касается.

Вообще, резать, перенаправлять, путать ICMP — Нельзя, это важный и нужный протокол.
(Есть софт, кстати, который не получив ответ от вызываемого хоста по ICMP даже ссылку не откроет)

[ARTelecom]

Цитата:

Сообщение от Ruslan Khudyakov

Цитата:

Ни что не мешает, конечно, завернуть ICMP на другой интерфейс, это понятно.
Просто по умолчанию для ICMP не прописываются какие-то иные интерфейсы, ибо попросту не за чем.

А вот вопрос — зачем запрещать (или скрывать) маршрут, остается открытым.
(Про вирусы не убедительно, другим же они не мешают…)

Про «Сквид» вы меня не поняли, я имел ввиду, что с его помощью склеивают несколько каналов, например, и абонент получая картинку, из кеша, снифером увидит совсем иное, ну и так далее…
Естественно ICMP это ни как не касается.

Вообще, резать, перенаправлять, путать ICMP — Нельзя, это важный и нужный протокол.
(Есть софт, кстати, который не получив ответ от вызываемого хоста по ICMP даже ссылку не откроет)

А раз Вам ясно, что не трудно направлять ICMP куда угодно, и как душе угодно...то Вам должно быть понятно, что ICMP закрыт не для того, чтобы что то скрыть. Тем более, что Вам как просвященному человеку известно что "компетентным органам" совсем не сложно получить доступ с центральному роутеру ISP и все самим выяснить есть "тарелка" или ее нет. А с клиентами делается все точечно...по умолчанию у нас ICMP закрыт до Мира. Пинг Тасикса и шлюза клиентам открыт. Но если клиент просит открыть пинг до Мира не из праздного любопытства, а для дела, то клиенту всегда идем навстречу. А вирусы на самом деле были одной из причин. И еще я думаю Вам опять таки как сведущему человеку понятно, что провайдер имеет право открывать ICMP или закрыть его...незнаю пока ни одного закона или инструкции которая обязывает ISP держать ICMP открытым.
Каждый Пров выстраивает свою Сеть так как ему удобно. Или я неправ?
Думаю тему ICMP стоит закрыть.

[JackDaniels]

Оффтоп:

Цитата:

Сообщение от ARTelecom

Каждый Пров выстраивает свою Сеть так как ему удобно. Или я неправ?

Ну да, можете вообще так —

Код:

scrub all
pass in quick proto tcp from any to any port 80
pass out quick proto tcp from any to any port 80
block all

Дело Ваше, несомненно.

[Alexander Abgaryan]

Цитата:

Сообщение от ARTelecom

Тем более, что Вам как просвященному человеку известно что "компетентным органам" совсем не сложно получить доступ с центральному роутеру ISP и все самим выяснить есть "тарелка" или ее нет.

Думаю не так это просто, даже компетентным органам получить доступ хоть к какому-то оборудованию нормального провайдера.
На моей памяти таких попыток не было.

На мой взгляд полное отключение icmp является запущенной формой паранойи. Есть конечно атаки(в т.ч на роутеры) с использованием этого протокола, но защищаться от них надо корректно, а не путем полного вырубания протокола.

Цитата:

ICMP отключается в виду того что многие троян серверы активируются по принцыпу посылки ICMP пакета.

Вот это вообще чушь. Между прочим многие боты(клиенты ботнетов) активируются через irc. Предлагаю тоже перекрыть нафиг -).

Цитата:

Сообщение от Евгений К
Пинг шлюза открыт свободно, и работоспособность Вашей сети, Вы сможете проверить, а у нас мы и сами проверим

Где гарантия, что вы будете честны при проверке ? Что помешает вам скрыть факт наличия проблем в вашей сети. Мало-ли что шлюз(абонентский) пингуется. После него может быть ещё куча железок...

Цитата:

Сообщение от ARTelecom

А с клиентами делается все точечно...по умолчанию у нас ICMP закрыт до Мира. Пинг Тасикса и шлюза клиентам открыт.

icmp вроде не только для пингов придумали...

Цитата:

Сообщение от ARTelecom

незнаю пока ни одного закона или инструкции которая обязывает ISP держать ICMP открытым.

Это да, к сожалению. А потом бедолаги админы не могут понять почему не проходят пакеты с установленным битом DF.

[ARTelecom]

Цитата:

Сообщение от Alexander Abgaryan

Цитата:

Думаю не так это просто, даже компетентным органам получить доступ хоть к какому-то оборудованию нормального провайдера.
На моей памяти таких попыток не было.

На мой взгляд полное отключение icmp является запущенной формой паранойи. Есть конечно атаки(в т.ч на роутеры) с использованием этого протокола, но защищаться от них надо корректно, а не путем полного вырубания протокола.

Цитата:

Вот это вообще чушь. Между прочим многие боты(клиенты ботнетов) активируются через irc. Предлагаю тоже перекрыть нафиг -).


Где гарантия, что вы будете честны при проверке ? Что помешает вам скрыть факт наличия проблем в вашей сети. Мало-ли что шлюз(абонентский) пингуется. После него может быть ещё куча железок...

Цитата:

icmp вроде не только для пингов придумали...

Цитата:

Это да, к сожалению. А потом бедолаги админы не могут понять почему не проходят пакеты с установленным битом DF.

Уважаемые "Главные" и не очень Главные системные администраторы!
Обсуждение данной темы приняло форму "перелива воды из пустого в порожнее".Все присутствующие прекрасно понимают, что каждый останется при своем "единственно правильном мнении", так что дальнейшее обсуждение этого вопроса считаю бессмысленным.Далее говорить на эту тему не намерен.Остальные вольны делать то, что им хочется.Всем Спасибо.

[Alexander Abgaryan]

Ну вот, как на юзера наезжать так пожалуйста, а как аргументированно дискутировать, так сразу в кусты -)