Nastavenie routeru aby nepodporoval port 139

[Miroslav Petricek]

Petr Simek wrote:

> On Wed, 19 May 2004, influence wrote:
> 
> 
>>Zdravim všetkych,
>>Prosim Vas o radu, mam router a neviem na nom nastavit aby nepodporoval
>>"routrovanie" na port 139. Su tam totizto zdielane subory na PC
>>pripojenych do sieti, ako sa da tohoto zbavit? Ako sa to da vypnut a
>>kde? Samozrejme na routry je zapnuty len port 22 ssh, port 139 maju
>>zapnuty uzivatelia na svojich PC.
> 
> 
> Pokud je router linux-ovy a mate jadro 2.4 a iptables, tak doporucuji
> prostudovat manual k iptables a pak napsat pravidlo do FORWARD chain-u
> ktere zakaze spojeni z libovolne IP na libovolnou IP z libovolneho
> tcp portu na tcp port 139 . A jeste doporucuju pridat dalsi pravidlo
> pro port 135. Videl bych to asi tahle (ale doporucuju to vyzkouset) :
> 
> iptables -A FORWARD -p tcp -m tcp -s 0/0 -d 0/0 --dport 139 -j DROP
> iptables -A FORWARD -p tcp -m tcp -s 0/0 -d 0/0 --dport 135 -j DROP
> 

Mam pocit, ze pokud jde o CIFS (SMB), tak komunikace probiha na UDP 
pozuva zejmena porty 137 a 138. Samotna session bezi na portu tcp/139. 
Windows 2000 a novejsi mohou navic pozuivat jeste 445. Dalsi moznosti 
jsou ruzne WINS replikace, Kerberos, LDAP autentizace, apod.

Port tcp/135 je RPC portmapper a pouzivaji jej zejmena mnohe MS cervi.

Kompletni zakaz windowsackeho sitovani bych videl nejak takhle:

iptables -A FORWARD -p udp -m multiport --dports 88,137,138,464 -j DROP
iptables -A FORWARD -p tcp -m multiport --dports  \
      42,88,135,139,389,445,544,636 -j DROP

Ale obvykle staci jen:

iptables -A FORWARD -p udp --dport 137:138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP


viz take -

http://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/tcpip/part4/tcpappc.mspx

-- 
/* Miroslav Petricek             mirek na petricek.cz
    UNIS COMPUTERS, spol. s r.o.  Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467 ------