Frage Für den CIFS / SMB-Betrieb erforderliche TCP / IP-Ports


Wenn ich Windows-Netzwerklaufwerke zwischen zwei Firewall-Computern zulassen möchte, muss ich die Ports 137-139 öffnen, oder reicht Port 445 aus? Ich muss ein Formular einreichen und die Genehmigung erhalten, Firewall-Ports zu öffnen, und ich möchte nicht mehr offene Ports anfordern, als ich brauche. Alle Maschinen hier sind Windows XP oder höher.

Hinweis: Wenn ich "Windows-Netzwerklaufwerke" sage, bin ich mir nicht ganz sicher, ob ich mich auf SMB oder CIFS beziehe, und mir ist der Unterschied zwischen den beiden Protokollen nicht ganz klar.


39
2018-01-03 16:35


Ursprung




Antworten:


Die Ports 137-139 dienen zur NetBios / Namensauflösung. Ohne es müssen Sie Maschinen durch IP-Adresse zugreifen, die dem NetBIOS-Namen entgegengesetzt ist. Beispiel \\192.168.1.100\share_name entgegengesetzt zu \\my_file_server\share_name

Port 445 ist also ausreichend, wenn Sie nur mit IP-Adressen arbeiten können.


54
2018-01-03 16:41



An meiner Site sind NetBIOS-Namen immer die gleichen wie DNS-Namen. Also, wenn ich Maschinen nach Hostnamen referenziere, wird Windows in der Lage sein, die Maschine über DNS ohne NetBIOS zu finden? - Jonathan
Solange Sie dem Client funktionierende DNS zur Verfügung haben, sollte dies ausreichen. - Tim
Funktioniert das auch mit öffentlichen IP-Adressen? Reicht es, Port 445 in der Firewall des ADSL Modems / Routers zu öffnen? - Hrqls
@ Hrqls In der Theorie, ja, aber AFAIK zu öffnen Ihr SMB in die ganze Welt ist eine sehr schlechte Idee. - Styne666


Diese Konfiguration funktionierte für mich: 137 / UDP, 138 / UDP, 139 / TCP und 445 / TCP. Quelle und zusätzliche Informationen unter: http://www.icir.org/gregor/tools/ms-smb-protocols.html.

Das sind die iptables-Regeln für meinen Samba-Server:

# The router doesn't need SMB access.
-A INPUT -s 192.168.1.1 -p udp --dport 137 -j REJECT
-A INPUT -s 192.168.1.1 -p udp --dport 138 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 139 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 445 -j REJECT

# Actual Samba ports
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

5
2017-10-12 10:00



Angesichts der Tatsache, dass das OP nach Windows-Computern gefragt hat und ihr Verständnis von iptables völlig unbekannt ist, wäre dies besser als eine komplett andere Systemkonfigurationsdatei geschrieben. - DarkMoon