CIFS / SMB işlemi için gerekli TCP / IP portları

44

Windows tabanlı ağ sürücülerine iki güvenlik duvarı olan bilgisayar arasında izin vermek istersem, 137-139 numaralı bağlantı noktalarını açmam gerekir mi, yoksa 445 numaralı bağlantı noktası yeterli mi? Güvenlik duvarı bağlantı noktaları açmak için bir form göndermek ve onay almak zorundayım ve ihtiyaç duyduğumdan daha fazla açık bağlantı noktası istemiyorum. Buradaki makinelerin tümü Windows XP veya üstü.

Not: "Windows ağ sürücüleri" derken, SMB veya CIFS'e atıfta bulunup bulunmadığımdan tam olarak emin değilim ve iki protokol arasındaki farkı tam olarak anlayamadım.

windows  firewall  server-message-block  cifs 
Jonathan
kaynak

Yanıtlar:

58

137-139 numaralı bağlantı noktaları NetBios / Name çözünürlüğü içindir. O olmadan, NetBIOS isminin aksine IP adresli makinelere erişmek zorunda kalacaksınız. Örnek \\192.168.1.100\share_namekarşı\\my_file_server\share_name

Bu nedenle, yalnızca IP adresleriyle çalışabiliyorsanız, bağlantı noktası 445 yeterlidir.

Tim
kaynak
Sitemde NetBIOS adları her zaman DNS adlarıyla aynıdır. Öyleyse makinelere ana bilgisayar adına göre başvurursam, Windows NetBIOS kullanmadan makineyi DNS üzerinden bulabilir mi?
Jonathan
5
İstemcide kullanılabilir durumda olan bir DNS bulunduğunuz sürece, bu yeterli olacaktır.
Tim
1
Bu aynı zamanda halka açık IP adresleriyle de çalışır mı? Bağlantı noktası 445'i ADSL modem / yönlendiricinin güvenlik duvarında açmak yeterli mi?
Hrqls
11
@Hrqls Teoride evet, ama AFAIK KOBİ'nizi tüm dünyaya açıyor çok kötü bir fikir.
Samuel Harmer
@ Styne666, tamamen katılıyorum. Dahası: Güvenlik desteğinin yeterli olmadığı birşeyin bütün İnternet’e açılması genel olarak kötü bir fikirdir. En azından korumak için IPsec aktarım modunu kullanmanızı tavsiye ederim.
Dess
7

Bu yapılandırma benim için çalıştı: 137 / UDP, 138 / UDP, 139 / TCP ve 445 / TCP. Kaynak ve ek bilgi: http://www.icir.org/gregor/tools/ms-smb-protocols.html .

Yani bunlar Samba sunucum için iptables kurallarıdır:

# The router doesn't need SMB access.
-A INPUT -s 192.168.1.1 -p udp --dport 137 -j REJECT
-A INPUT -s 192.168.1.1 -p udp --dport 138 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 139 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 445 -j REJECT

# Actual Samba ports
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
Juan
kaynak
4
OP'nin Windows bilgisayarlar hakkında sorduğu ve iptable'ların anlama seviyelerinin tamamen bilinmediği göz önüne alındığında, bu tamamen farklı bir sistemin yapılandırma dosyasından daha iyi yazılabilir.
DarkMoon
1
Sade İngilizce, UDP 137 ve 138, TCP 139 ve 445
Arlen Beiler
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.