Nastavenie routeru aby nepodporoval port 139
Miroslav Petricek
mirek na petricek.cz
Středa Květen 19 23:06:38 CEST 2004
Petr Simek wrote:
> On Wed, 19 May 2004, influence wrote:
>
>
>>Zdravim všetkych,
>>Prosim Vas o radu, mam router a neviem na nom nastavit aby nepodporoval
>>"routrovanie" na port 139. Su tam totizto zdielane subory na PC
>>pripojenych do sieti, ako sa da tohoto zbavit? Ako sa to da vypnut a
>>kde? Samozrejme na routry je zapnuty len port 22 ssh, port 139 maju
>>zapnuty uzivatelia na svojich PC.
>
>
> Pokud je router linux-ovy a mate jadro 2.4 a iptables, tak doporucuji
> prostudovat manual k iptables a pak napsat pravidlo do FORWARD chain-u
> ktere zakaze spojeni z libovolne IP na libovolnou IP z libovolneho
> tcp portu na tcp port 139 . A jeste doporucuju pridat dalsi pravidlo
> pro port 135. Videl bych to asi tahle (ale doporucuju to vyzkouset) :
>
> iptables -A FORWARD -p tcp -m tcp -s 0/0 -d 0/0 --dport 139 -j DROP
> iptables -A FORWARD -p tcp -m tcp -s 0/0 -d 0/0 --dport 135 -j DROP
>
Mam pocit, ze pokud jde o CIFS (SMB), tak komunikace probiha na UDP
pozuva zejmena porty 137 a 138. Samotna session bezi na portu tcp/139.
Windows 2000 a novejsi mohou navic pozuivat jeste 445. Dalsi moznosti
jsou ruzne WINS replikace, Kerberos, LDAP autentizace, apod.
Port tcp/135 je RPC portmapper a pouzivaji jej zejmena mnohe MS cervi.
Kompletni zakaz windowsackeho sitovani bych videl nejak takhle:
iptables -A FORWARD -p udp -m multiport --dports 88,137,138,464 -j DROP
iptables -A FORWARD -p tcp -m multiport --dports \
42,88,135,139,389,445,544,636 -j DROP
Ale obvykle staci jen:
iptables -A FORWARD -p udp --dport 137:138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
viz take -
http://www.microsoft.com/resources/documentation/windows/2000/server/reskit/en-us/tcpip/part4/tcpappc.mspx
--
/* Miroslav Petricek mirek na petricek.cz
UNIS COMPUTERS, spol. s r.o. Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467 ------
Další informace o konferenci Linux