Часто ли админы запрещают UDP?

Никто так не делает. Успокойся.

Вообще протокол запретить - фиговая идея. Запретить можно, на свитчах, роутерах, где угодно. Но сеть от этого слегка сломается..

Причины - например, uTorrent uTP.
В остальном оно мало кого колышет, но вот это жуткое говно... я не знаю, зачем его придумали. Это какая-то диверсия против торрентов и провайдеров.

Voip, логи, etc., кажется.

voip боятся только опсосы, не?

UTP запрещать?
Это кто таких тузиков наплодил то?

Тогда уж кондовее надо, сквид, сокс5 и никакого интернета, с росписью в приложении к договору или колдоговору.

зачем мне DNS?
нет, мне DNS не нужен
что, я лошадь что ли?

Внезапно, DNS-запросы могут быть отправлены по TCP. А сервера обычно и то, и другое слушают.

Это кто таких тузиков наплодил то?

Да хватает дятлов. Перестраховщики.

Сам не запрещаю, с запретами сталкиваюсь.

А сервера обычно и то, и другое слушают.

не всегда

Да я про ДНС тож подумал, потом списал на то, что 100-500лет ничего не читал и возможно прослоупочил момент, когда клиенты поумнели и стали стучаться во все протоколы.

$ dig @8.8.8.8 linux.org.ru +tcp +short                                                         
217.76.32.61

$ dig @208.67.220.220 linux.org.ru +tcp +short
217.76.32.61

ORLY?

Наши админы-сетевики в ЦО так делают на всех шлюзах/свичах/роутерах, до которых дотягиваются руки. Открыты только стандартные протоколы и пара портов. Если кому-то хочется чего-то большего, то служебную записку в отдел сетевиков с обоснованием для чего, с указанием конкретных протоколов, портов, откуда и куда и все остальное. Уже пол года не можем пробить служебку по открытию четырех портов из нашей подсети в соседнюю для одного ПК. Так что в тех организациях, где следят на какую клавишу ты нажимаешь, очень даже могут.

Так и есть. И, насколько я знаю, не только у нас.

Это же один из вариантов. Инет не твой, а дяди, который работу дает.

Только вопрос не совсем понятен. Вернее если запретили админы на работе, то и нефиг рыпаться в праведном гневе хомяка.

Носи планшет в кармане, если правила позволяют.

ORLY?

MS DNS на Windows Server 2003 и раньше (не знаю, может и позже), ничего про tcp не знает.

Паранойя кроет ваших сетевиков, ИМХО.

Возьми и проверь. А потом спроси. Или ты решил найти окончательный ответ на философский вопрос?

ORLY?

YRLY!

из того, что два каких-то dns-сервера отвечают по tcp, следует что tcp-порт слушают все dns-серверы?

кроме того, не так уж и важно, что слушает сервер, клиент все равно по-дефолту шлет запросы по udp, и вот тут-то и придет пушной зверек; конечно, это наверняка можно настроить, но — лишний геморрой

анонимус — такой анонимус :)

Возьми и проверь.

УМВР, а у вас как? Ну сейчас хотя бы понял что для UDP могут запрещать не все порты, а подмножество портов - это уже хорошо.

из того, что два каких-то dns-сервера отвечают по tcp, следует что tcp-порт слушают все dns-серверы?

Трансфер зоны идёт по tcp, учи матчасть. Это почти гарантирует что tcp будет открыт.

УМВР, а у вас как?

Запрещено всё, что не разрешено. Доступ открывается по запросу. Если кто не в курсе, это входит в политику безопасности.

Это почти гарантирует что tcp будет открыт.

Это почти гарантирует, что tcp будет открыт, если выполнялись настройки сервера для трансфера зоны. //anonfix

учи матчасть

сам учи

трансфер зоны запрашивает secondary-сервер у primary, поэтому tcp должен быть открыт только на первичном сервере, да и то только для вторичников своих зон, весь остальной инет может быть зафильтрован (в смысле input tcp 53)
а еще бывают реккурсивные и кеширующие dns-серверы, которые сами никаких зон не держат, а только обслуживают клиентов, так что никаких трансферов зон им вообще не надо

При чем здесь гнев хомячка и дядя?! Доступ нужен по работе для связи с ПК одного сегмента сети до ПК в другом сегменте сети. А на всех маршрутизаторах/шлюзах/свичах/роутерах все закрыто, кроме что самых необходимых портов. К тому же админы в филиалах и админы-сетевики работают в разных подразделениях. И сетевики, на требования открыть нужные порты - забивают, потому что соответствующего распоряжения от своего руководства не получали. А руководство не даст распоряжения без СЗ, которую должны согласовать в СБ, которую мы проталкиваем уже полгода.

Просто в некоторых компаниях работают ну очень параноидальные люди в СБ. А ты видно подумал, что я негодую что дядя работодатель перекрыл мне инет и торренты? Так я сам регулирую данный вопрос в филиале, перекрывая торренты. Но одно дело когда контролируется трафик внешний, и совсем другое дело, когда блокируется трафик внутренний.

Паранойя кроет нашу СБ, а сетевики просто никому не подчиняются кроме своих главных.

Мне кажется, что мы в одной конторе работаем. И похоже ты наш сетивик. Открой нам четыре порта!

А может быть, это ты в СБ работаешь. А я твой начальнег. :-D

гы :-)

не, то я мысль развил, что офисных хомякам (даже околоИТ) нечего разводить сопли на пустом месте.

бодание разных отделов одного предприятия - одно, а вопли хомяков , обнаруживших полный швах с сетью на рабочем месте, дело другое :-))

так что да, не поняли.

хомячкам - хомячковое, сиди с телефона.
а вот отделы, на то и начальники отделов там есть.

Некоторые начальники тупо не понимают, что от них хотят, и просто ждут — «авось само рассосётся». А иногда два начальника не могут действовать без одобрения «высших сил». В данном случае имею ввиду СБ - Службу безопасности, без ее одобрения сетевики не будут делать то, что просят админы. Хотя в данном конкретном случае сетевики просто «уперлись рогом», и не делают из-за каприза, или иной, известной лишь им причине.

Но по сабжу, да - бывают случаи, когда блокирую все, в том числе и UDP, по прихоти «высших сил», из-за того, что их накрыла паранойя.

Не мужик, я из другого города. И не сетевик, а юниксоид.

Но одно дело когда контролируется трафик внешний, и совсем другое дело, когда блокируется трафик внутренний.

Внутренний трафик блокируют как минимум из следующих соображений:

1) ограничение распространения вирусов.

2) сегментирование сети исходя из требований безопасности. Грубо говоря, пользователи в одной сети, пользовательские сервисы в другой, БД в третьей. Ну и DMZ отдельно. И между ними жёстко определены допустимые потоки данных.

Я все это понимаю, но кроме вышеперечисленного, сегментируют еще и территориальные подразделения. А еще бывает так, что пользователь из одного сегмента сети, должен иметь доступ к базе данных в другом, территориально удаленном сегменте сети, обслуживающимся администраторами другого филиала. И даже если админы другого филиала дадут доступ к БД, и откроют нужные порты, то сетевое оборудование, через которое идет трафик, не пустит пакеты. А сетевое оборудование между филиалами админится сетевиками, а про них я уже писал.

А наши сетевики как раз в другом городе находятся. Причем пол отдела в твоем городе.

Я все это понимаю, но кроме вышеперечисленного, сегментируют еще и территориальные подразделения.

Так это кстати не внутренний, а внешний траффик. Его тем более нужно контролировать.

А еще бывает так, что пользователь из одного сегмента сети, должен иметь доступ к базе данных в другом, территориально удаленном сегменте сети, обслуживающимся администраторами другого филиала.

Адский треш. По-хорошему, с рабочего места пользователя не должно быть прямого доступа ни к каким БД. Для этого есть сервера приложений и в крайнем случае терминальные сервера.

И даже если админы другого филиала дадут доступ к БД, и откроют нужные порты, то сетевое оборудование, через которое идет трафик, не пустит пакеты. А сетевое оборудование между филиалами админится сетевиками, а про них я уже писал.

Ленивые и/или загруженные другими задачами сетевики это да, проблема. Но я не думаю что если всё разрешить, то сразу будет хорошо, причём всем кроме сетевиков :)

Даже не знаю что посоветовать. Заведи заявку в их трекере, в крайнем случае обратить к своему начальнику.

Так это кстати не внутренний, а внешний траффик.

Внутренний. Все в одной большой корпоративной сети.

При том что директор наверняка на завирусованном компе в одноглазниках торчит, да?

Ты ошибаешься. Даже директор не лазит по нерабочим сайтам. Для этого у него есть его ipad с собственным интернетом.

Зачем мне DNS, IPTV и игрушки

fxd

Если твой клиент не умеет TCP, то это твоя проблема.