我经营着一家提供无线互联网接入的按周出租房屋。我已允许路由器上的所有出站端口,但我的 ISP 已两次禁用我的互联网接入,因为客人下载(或提供)了受版权保护的内容。因此,我想设置一些端口过滤来阻止 p2p 共享(请参阅下面的免责声明)。但我不想给 99.9% 的光明正大的人带来不便。
我的问题是,出租/酒店无线互联网接入通常开放哪些出站端口,或者我在哪里可以找到这样的列表?至少是 TCP 80、443、25、110。虽然我自己的电子邮件服务使用 995 和 465 进行 SSL,但有些可能使用 IMAP,我个人使用 SSH 和 FTP,所以我会打开它们。粗略地来说,我认为我需要打开对特权端口的访问,并关闭 1024 及以上端口。我是否应该为常用的高端口制定白名单?阻止 UDP > 1024 是否有意义?
免责声明:我意识到回复此消息的任何人都可以绕过端口过滤并随心所欲地共享内容。我不需要全面的 p2p 阻止,这需要的不仅仅是端口白名单。根据租赁合同,住在房子里的任何人都应对自己的互联网使用负责。此外,任何足够精明能够绕过端口过滤器的人都希望足够精明能够使用某种对等阻止,从而防止 ISP 停止服务。
答案1
“访客网络”上要打开的端口的一般列表,这些端口相对安全:
出站 TCP:
53 DNS unless you provide it (yes, TCP. Read the RFCs)
80, 443 Web Browsing
110, 995 EMail (pop3, pop3s)
143, 993 EMail (IMAP, IMAPS)
587 EMail (SMTP Submission RFC 6409)
出站 UDP:
53 DNS again, unless you provide it
123 NTP (Optional, but nice.)
入站 TCP/UDP:NONE (Only established stateful connections from the above list)
正如其他人提到的,带宽限制可能是处理 torrenters 的更有效的方法。
作为一项非技术措施来保护自己免受行动(由您的 ISP 或版权所有者采取)的侵害,您还应该为您的租户提供可接受的互联网使用政策,并指出租户对互联网访问的使用完全由他们自己负责,不容忍非法活动,违反该政策将导致本次和所有未来访问都无法访问互联网。
有模板 AUP,但您可以根据需要将其简单或复杂化,我建议将其放在一张普通纸张的一侧。
答案2
首先,应该了解所需的服务。我知道这很麻烦,但访客 ACL 应该只允许流量流向贵组织信任的资源。
首先,通过执行“Arin 是谁”搜索可以轻松找到目标地址。(美国互联网号码注册处。)
其次,合法的互联网资源将提供其网站/服务使用的 TCP/UDP 端口列表。阻止所有其他端口。
第三,封锁所有不受信任的资源,例如:整个亚洲、欧洲、非洲、南美洲、TOR 出口点和其他匿名代理服务。APNIC、RIPE、AFRINIC、LACNIC。(谷歌搜索)(我为美国公司提供安全保障,这些公司与美国境外没有任何关系。这可能不适用于你)
https://www.dan.me.uk/tornodes有 TOR 出口点列表。其他代理服务则需要您自行研究。
第四,使用更好的网络设备,支持UTM、IDP、第7层应用防火墙和其他威胁检测技术。
我使用 Juniper SRX,但还有来自多个供应商的其他类似产品和服务。
如果不满意,请考虑由信誉良好的公司提供基于云的安全解决方案,以便为您处理安全问题。