Porte TCP / IP necessarie per il funzionamento CIFS / SMB

44

Se desidero consentire le unità di rete Windows tra due computer con firewall, devo aprire le porte 137-139 o la porta 445 è sufficiente? Devo inviare un modulo e ottenere l'approvazione per aprire le porte del firewall e non desidero richiedere più porte aperte di quelle di cui ho bisogno. Tutte le macchine qui sono Windows XP o successive.

Nota: quando dico "Unità di rete Windows", non sono del tutto sicuro se mi riferisco a SMB o CIFS e non sono del tutto chiaro sulla differenza tra i due protocolli.

windows  firewall  server-message-block  cifs 
Jonathan
fonte

Risposte:

58

Le porte 137-139 sono per la risoluzione NetBios / Name. Senza di essa dovrai accedere alle macchine per indirizzo IP opposto al nome NetBIOS. Esempio \\192.168.1.100\share_namecontrario\\my_file_server\share_name

Quindi la porta 445 è sufficiente se si può lavorare solo con indirizzi IP.

Tim
fonte
Sul mio sito, i nomi NetBIOS sono sempre gli stessi dei nomi DNS. Quindi, se mi riferisco alle macchine per nome host, Windows sarà in grado di trovare la macchina tramite DNS senza utilizzare NetBIOS?
Jonathan,
5
Finché hai DNS funzionante disponibile per il client dovrebbe essere sufficiente.
Tim
1
funziona anche con indirizzi IP pubblici? È sufficiente aprire la porta 445 nel firewall del modem / router ADSL?
Hrqls,
11
@Hrqls In teoria sì, ma AFAIK aprire la tua PMI al mondo intero è una pessima idea.
Samuel Harmer,
@ Styne666, sono totalmente d'accordo. Ancora di più: aprire qualcosa, che non ha un adeguato supporto di sicurezza, a tutta Internet è generalmente una cattiva idea. Consiglierei di usare la modalità di trasporto IPsec almeno per proteggerla.
Dess
7

Questa configurazione ha funzionato per me: 137 / UDP, 138 / UDP, 139 / TCP e 445 / TCP. Fonte e informazioni aggiuntive su: http://www.icir.org/gregor/tools/ms-smb-protocols.html .

Quindi queste sono le regole di iptables per il mio server Samba:

# The router doesn't need SMB access.
-A INPUT -s 192.168.1.1 -p udp --dport 137 -j REJECT
-A INPUT -s 192.168.1.1 -p udp --dport 138 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 139 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 445 -j REJECT

# Actual Samba ports
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
Juan
fonte
4
Dato che l'OP ha chiesto dei computer Windows e il loro livello di comprensione di iptables è completamente sconosciuto, questo sarebbe meglio scrivere che come un file di configurazione del sistema completamente diverso.
DarkMoon
1
In parole povere, UDP 137 e 138, TCP 139 e 445
Arlen Beiler il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.