Invitel ISP tűzfal

sziasztok!

Jún 15-én nektek is letiltotta az inbound tcp/25-öt az Invitel?

Hozzászólások

ha nincs egy saját szervered a nagyvilágba', ahonnan csekkolhatod a portot mondjuk "nc -vz [otthoni-külső-ip-cimed] 25" paranccsal, akkor válassz egy tetszőleges ilyen webes toolt (pl. https://www.yougetsignal.com/tools/open-ports/). én is szívesen tesztelném neked, de a helyzet az h az outbound portot is tiltják.

(nc az a netcat, de telnet paranccsal is szokták)

Szerkesztve: 2020. 06. 20., szo - 13:26

[nemide]

az Invitel, mióta átvette a Digi már csak a FIX ip-s ügyfeleknek hagyja a 25-ös inbound tcp portot nyitva.

De van már ilyen, azzal, hogy egyes mobilszolgáltatók korlátlan elérést adtak F@$bookhoz és egyéb közösségi és streaming szolgáltatásokhoz.

Amúgy a 80-as port csak akkor lenne elég, ha pl proxy-t kellene elérni. Másként kellene még a 443-as és a hagyományos DNS eléréshez az 53-as TCP/UDP és még ekkor is lenne pár weboldal, ami nem működne.

Ha ez lenne, akkor például a mobilnetes szolgáltatás sem felelne meg, merthogy azok CGNAT mögött vannak, illetve az IPv6 nélküli hozzáférés sem, hiszen az az IPv6-only erőforrásokhoz nem ad hozzáférést kifelé...

A probléma egyébként lehet az is, hogy CGNAT mögé raktak - amivel a lakossági felhasználók 9x%-ának semmi baja nincs. És nem, ez nem apúrság, meg szivatás, meg hasonló negatív dolog: egyszerűen nincs annyi publikus IPv4 címe a szolgáltatóknak, amennyi ügyfél egyidejűleg szeretne netre kapcsolódni.

Az, hogy dinamius IP-n SMTP-szervert üzemeltet valaki, az szerintem erős perverzióra vall egyébként :-D Ha meg a "kifelé" irányuló SMTP-re gondolsz, azt tessék a szolgáltató szerverén átzavarni - ez az "ára" annak, hogy néhány zombivá vált spamgenerátor ügyfél oldali pécé miatt nem fogják a teljes szolgáltatói címtartományt spamdb-be rakni, hogy aztán napokig vagy akár hetekig(!) kelljen a spamdb karbantartóival bírkózni, hogy kipiszkálják a tartományt a tiltólistából.

az outbound smtp az tiszta sor, elfogadom. arra elő is fizettem egy smtp relay szolgáltatónál.

dinamikus MX szerintem nem egy nagy ördöngősség, erre lett kitalálva a DNS meg a TTL. vagy ha a perverziót arra érted, hogy tőlem függetlenül rendelhetik máshoz az IP-t ami még az MX-emen van (amit ritkán szoktak, kb 24 óránként kapok újat), és ezert másnál landolhat 1-1 email (és nálam nem), erre vállat vonok; tudatában vagyok, hogy különösebb elővigyázatosság hiányában nem csak én tudom olvasni a nekem küldött maileket még fix IP-vel is. az meg hogy hozzám nem érkezik meg, az meg megint előfordul fix IP-vel is, nincs 100%-os rendelkezésreállás semmilyen közbelső csatornán (nálam meg pláne nem :-)

kösz h figyelmeztettél a CGNAT bevezetésének veszélyére. erre is jó felkészülni.

Nem az történt inkább, hogy az invitelt megvette a digi?

Ügyfélszolgálat -> kéred a feloldást -> 10 perc és van. Nekem CGNAT levétel után engedélyezve lett. Anyáméknál dettó. Kellett a külső IP, hogy be tudjak mászni, ha kell, de lett náluk is smtp mindenfelé, kértem, hogy ne legyen, 10 perc múlva nem volt. (Digi, már az Invitel is az.) 

openSUSE Leap 15

engem elhajtottak. mondjuk én voltam a meggondolatlan mert egy levélben említettem meg az in- és az outbound-ot is, onnastól kezdve csak az outbound-ra reflektáltak. 3-szor nyomatékosítottam, hogy melyik irány érdekel. erre végre jött hogy "tegyem át másik portra". oké kösz, az RFC2782-t meg ki fogja nekem világszerte implementálni?

Nekem most úgy tűnik, hogy az EU bíróság / tanács emlegetésével lehet(ne) rájuk nyomatékkal hatni.
Ugyanis az EU tanács (úgy általában) azon a véleményen van, hogy, amíg az ügyfélről egyértelműen be nem bizonyosodik, hogy illegális tevékenységre használja a kért portot, (pl: 25 -> elkezd spammelni) addig megilleti őt az ártatlanság vélelme, vagyis a szolgáltató KÖTELES feloldani az Összes alapból beállított port blokkolást, ha az ügyfél kéri.

Ha a szolgáltatót ez zavarja, és mégis blokkolni szeretné a 25-ös portot, akkor a szolgáltatónak KELL bizonyítania, hogy az ügyfél illegális tevékenységet végez!  (és nem fordítva, tehát nem az ügyfélnek kell bizonyítani az ártatlanságát!)

Mielőtt még komolyabban elindulnék az EU jogsegély irányába, fogok egy kört futni az NMHH-nál, is, hátha...

(Tessenek visszaemlékezni, úgy a 2000-es évek közepén a T-t lett keményen elmeszelve amiatt, hogy csak a saját smtp szerverén engedte kifelé a 25-ös port forgalmát, és utána szűnt meg ott az ezirányú kekeckedés.)