Nếu tôi muốn cho phép các ổ đĩa được nối mạng Windows giữa hai máy tính được tường lửa, tôi có cần mở các cổng 137-139 không, hoặc cổng có đủ không? Tôi phải gửi biểu mẫu và được chấp thuận mở các cổng tường lửa và tôi không muốn yêu cầu nhiều cổng mở hơn tôi cần. Tất cả các máy ở đây là Windows XP trở lên.
Lưu ý: khi tôi nói "Ổ đĩa nối mạng Windows", tôi không hoàn toàn chắc chắn liệu tôi đang đề cập đến SMB hay CIFS và tôi không hoàn toàn rõ ràng về sự khác biệt giữa hai giao thức.
Câu trả lời:
Các cổng 137-139 dành cho độ phân giải NetBios / Tên. Nếu không có nó, bạn sẽ phải truy cập các máy theo địa chỉ IP trái ngược với tên NetBIOS. Ví dụ \\192.168.1.100\share_nametrái ngược với\\my_file_server\share_name
Vì vậy, cổng 445 là đủ nếu bạn chỉ có thể làm việc với các địa chỉ IP.
Cấu hình này hoạt động với tôi: 137 / UDP, 138 / UDP, 139 / TCP và 445 / TCP. Nguồn và thông tin bổ sung tại: http://www.icir.org/gregor/tools/ms-smb-prot Protocol.html .
Vì vậy, đây là các quy tắc iptables cho máy chủ Samba của tôi:
# The router doesn't need SMB access.
-A INPUT -s 192.168.1.1 -p udp --dport 137 -j REJECT
-A INPUT -s 192.168.1.1 -p udp --dport 138 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 139 -j REJECT
-A INPUT -s 192.168.1.1 -p tcp --dport 445 -j REJECT
# Actual Samba ports
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT