Būna, kad kam nors pradėjus strigti internete, kyla įtarimų, ar tik jungtys, protokolai ar adresai nebus blokuojami interneto paslaugų tiekėjo? IPT atvirumą galima patikrinti įvairiais testais tiesiai naršyklėje. Vieną tokių, Netalyzr, iš smalsumo panaudojau savo IPT (Zebra) patikrinimui.
Gavau rezultatą, kurio ir tikėjausi – nieko svarbaus ir reikalingo Zebra neblokuoja. Netalyzr turėjo penkias pastabas, tačiau visos jos yra pagrįstos:
- Draudžiamas tiesioginis TCP prisijungimas prie nutolusių SMTP serverių („port 25“). Vartotojui negalima siųsti el. pašto į kitus, ne Zebra SMTP serverius, siekiant apsisaugoti nuo nepageidaujamo šlamšto platinimo. Tai visiškai netrukdo naudotis pačio IPT SMTP serveriu ir žiniatinklio pašto (Gmail ir pan.) tarnybomis.
- Draudžiamas tiesioginis TCP prisijungimas prie nutolusių RCP serverių („port 135“). Ribojama dėl saugumo, nes RCP komunikacijos yra nešifruotos.
- Draudžiamas tiesioginis TCP prisijungimas prie nutolusių NetBIOS serverių („port 139“). Protokolas skirtas naudoti vietiniame tinkle. Krauti BIOS iš interneto tikriausiai nelabai protinga.
- Draudžiamas tiesioginis TCP prisijungimas prie nutolusių SMB serverių („port 445“). Tos pačios saugumo priežastys: dalinimasis savo kompiuterio prievadais ir įrenginiais yra pernelyg pavojingas.
- UDP užklausa į DNS serverius nukreipiama per užkardą ir blokuojama („port 53“). Irgi uždaryta vengiant piktnaudžiavimo. Įprastos DNS užklausos neribojamos.
Visos kitos Netalyzr ataskaitos eilutės buvo žalios, o raudonos, perspėjančios apie esminių paslaugų blokavimą, nebuvo išvis. Neturiu galimybės patikrinti kitų IPT (galite pabandyti jūs – testas trunka kelias minutes ir nereikalauja nieko diegti į kompiuterį), bet spėju, kad su rimtais apribojimais Lietuvoje nesusidursime. Nors būtų smalsu palyginti netgi smulkmenas: dėl kokių priežasčių vienas ar kitas IPT uždaro ar palieka atvirą vieną ar kitą komunikacinį kanalą?
P. S. Jei sudomino pats testas, tai MetaFilter komentaruose jo kūrėjai aiškina plačiau, ir kam skirtas, ir kodėl toks.
31 Comments
Skynet’as visiškai nieko neblokuoja. Viskas ‘žalia’ :)
..kas šiaip keista, nes tarkim iš Lietuvos IPT, botnetuose sėdinčiųjų daugumą sudaro būtent telekomininkai.
Priklauso nuo pasirinkto plano. Dabar Sky Eko plane blokuojami visi (anskčiau dar sky silver buvo blokuojami portai iki 1024 imtinai):
http://miestas.penki.lt/city.a.....=215#Kokie prievadai blokuojami atskiruose mokėjimo planuose?
Man su zerba šviesolaidiniu neblokuoja tų pačių port, pvz.:
Direct TCP access to remote DNS servers (port 53) is allowed.
Gal Zebra DSL skiriasi..
Taip pat TEO turbūt daugiausiai žmonių naudoja LT, daugiausiai visokiuose kaimuose, kur alternatyvų mažai, tai daugiausiai ir botnetuose.
Mikro visata nieko neblokuoja, tik raudonuoja Your Downlink
Man atrodo, kad šis testas nėra itin patikimas – pvz man rodo, kad blokuojamas FTP (21) portas. Nors iš tikrųjų su tuo visai neturiu problemų :)
Meganetas
Geltoni:
* Direct TCP access to remote RPC servers (port 135) is blocked.
This is probably for security reasons, as this protocol is generally not designed for use outside the local network.
* Direct TCP access to remote SMB servers (port 445) is blocked.
This is probably for security reasons, as this protocol is generally not designed for use outside the local network.
Raudoni:
* We estimate your uplink as having 980 msec of buffering. This is quite high, and you may experience substantial disruption to your network performance when performing interactive tasks such as web-surfing while simultaneously conducting large uploads. With such a buffer, real-time applications such as games or audio chat can work quite poorly when conducting large uploads at the same time.
MegaNet Vilniuje „failino“ ant Network buffer measurements: Uplink 980 ms ir Restricted domain DNS lookup (raudoni), 445 ir 135 portai blokuoti (geltoni)
testuota naudojan routeri, taip pat galejo kitas kompiuteris narsyti interneta
Balticum Klaipėdoje („žaibernetas“) irgi be priekaištų, vos 3 geltoni portai (135, 139 ir 445), kurie ir taip, nereikalingi :)
kauno meganetas irgi viskas ok
Kaunas, Meganet.
Blokuoja FTP (netikiu), fragmentuotus UDP, EDNS, IPv6 (čia tikriausiai kalta pigioji Fonera)
vdnet vilniuje
Raudona:
Network buffer measurements: Uplink 2800 ms, Downlink 2800 ms
Geltona:
Direct TCP access to remote RPC servers (port 135) is blocked.
Direct TCP access to remote NetBIOS servers (port 139) is blocked.
Direct TCP access to remote SMB servers (port 445) is blocked.
Meganetas Vilnius planas B1 (50Lt):
Viskas žaliuoja išskyrus geltonuojantį „Network buffer measurements: Uplink 630 ms“…
Splius, Siauliai.
Geltonai sviecia tik:
Direct TCP access to remote SMTP servers (port 25) succeeds, but does not return the expected content.
Direct TCP access to remote RPC servers (port 135) is blocked.
Direct TCP access to remote NetBIOS servers (port 139) is blocked.
Direct TCP access to remote SMB servers (port 445) is blocked.
Daugiau viskas leidziama.
Būtų gerai, kad parašytumėt, ar prisijungę tiesiogiai, ar per maršruto parinktųvą (routerį)
Raudoni:
Your ISP’s DNS server is slow to lookup names
Your Downlink: We measured your downlink’s receiving bandwidth at 79 Kbit/sec. This rate could be considered quite slow, and will affect your user experience if you perform large transfers.
We estimate your uplink as having 1200 msec of buffering. This is quite high, and you may experience substantial disruption to your network performance when performing interactive tasks such as web-surfing while simultaneously conducting large uploads. With such a buffer, real-time applications such as games or audio chat can work quite poorly when conducting large uploads at the same time.
We estimate your downlink as having 7900 msec of buffering. This is quite high, and you may experience substantial disruption to your network performance when performing interactive tasks such as web-surfing while simultaneously conducting large downloads. With such a buffer, real-time applications such as games or audio chat can work quite poorly when conducting large downloads at the same time.
Your ISP’s DNS resolver requires 790 msec to conduct an external lookup, and 500 msec to lookup an item in the cache.
This is particularly slow, and you may see significant performance degradation as a result.
Internetas zebra DSL Optimalus Plius,iš bėdos tinka naudojimui.
Telelanas Klaipėdoje:
Geltoni: 135, 139, 445
Testavau tiek pajungęs routeri, tiek be jo – rezultatas tas pats.
Šiauliai, kava internetas.
No DNS Port Randomization, jį žymi raudonai ir štai ka rašo:
Your ISP’s DNS resolver does not randomize its local port number. This means your ISP’s DNS resolver is probably vulnerable to DNS cache poisoning, which enables an attacker to intercept and modify effectively all communications of anyone using your ISP.
We suggest that, if possible, you immediately contact your network provider, as this represents a serious vulnerability.
Mažeikiai, Meganet.
Nei vieno geltono/raudono – viskas žalia.
Sveiki, gal žinot kaip network buffering pareguliuoti? Maršrutizatoriaus nustatymuose ieškoti, ar win xp?
Skynet.
Kaip ir viskas žalia, tik geltona „Your computer’s clock is slightly slow “ vėlina 15sekundžių.
Airnet Garliavoje (šalia Kauno), geltoni: 25, 135, 139, 445
Raudonas:
Direct TCP connections to remote FTP servers (port 21) failed.
This is commonly due to how a NAT or firewall handles FTP traffic, as FTP causes unique problems when developing NATs and firewalls.
Bet ftp veikia kuo puikiausiai, čia gal dėl ruoterio, neaišku…
Patiko humoras apie 139 porta :D jo, tinklinis biosas :D
Jei kam idomu realiai kodel sitie portai blokuojami – tai tik tam kad uzblokuoti per windows failu saringa plintancius wormsus, 139 portas senesnese windows versijose failu sharingui buvo naudojamas, kai SMB ejo ant NetBT virsaus, 445 pradetas naujose naudoti, SMB tiesiai per TCP/IP.
Labai daug kritinių klaidų (pvz., pirmoji oficialiai pripažinta Microsoft Windows 7 klaida ir buvo SMB) randama būtent SMB, už tai ir blokuojama.
keista kad su zebra pas mano kolegas blokuoja 25 porta nors tai tik pas keleta.
zebra blokuoajams 25 portas varotojams esantiems botnete, arba uceprotect.net blacklistuose
Ot velnias kiek daug blokuoja :) Jokios saviveiklos darbe neleidzia :D
http://www.78.lt/image.php?id=.....5&jpg
Tai dabar visi draugiskai pasitikrinkit nuo virusu…
Nes „tikrinant atviruma“, Eset’as sužviegė.
Kaunas, Mikroviasatos šviesolaidis XXXL planas. Testo metu pasipiktino mano Eset antivirusinė ir užkarantinavo JAVA appletą, kurio pagalba vyko testas. To pasekoje gavau vieną raudoną:
Direct TCP connections to remote DNS servers (port 53) succeed, but do not receive the expected content.
The applet received an empty response instead of our normal banner. This suggests that a firewall, proxy, or filter initially allowed the connection and then terminated it, either because it did not understand our server’s reply or decided to block the service.
Krūva geltonumo, bet postinau tik raudonus laukelius :) ir ko jiems OpenDns neįtiko, ojj, rezultatai iš Olandijos(Nyderlandai):
Tiekėjas: ADSL van KPN Telecom
Speed (Kbit/sec): 768 up / 6144 down
Direct TCP connections to remote FTP servers (port 21) failed.
Direct UDP access to remote MSSQL servers (port 1434) is blocked.
This is most likely due to a filtering rule against the Slammer worm.
Network bandwidth measurements (?): Upload 220 Kbit/sec, Download 190 Kbit/sec
Network buffer measurements (?): Uplink 1300 ms, Downlink 4900 ms
You appear to be using OpenDNS as your DNS resolver. OpenDNS acts as a Man-in-the-Middle for some servers, returning the address of one of their servers that acts as an intermediary, rather than the final result. As a result, 1 lookup appears to be anomalous.
Name IP Address Reverse Name/SOA
http://www.google.com 208.69.35.230 SOA: auth1.opendns.com