Router OS控制不同网段的网络共享
原创
©著作权归作者所有:来自51CTO博客作者hongyu263的原创作品,请联系作者获取转载授权,否则将追究法律责任
一个小测试源于朋友的Router OS控制某几台电脑网络访问网站时,萌发的测试内容。这个内容也就是管控内网不同网段做网络共享。首先应用一下网络美文:
windows XP中局域网实现共享所使用的端口号
|
需要137、138、139,445;
TCP139
TCP445
UDP137
UDP138
137端口
137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
要是非法入侵者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。此外非法入侵者还能知道目标主机是否是作为文件服务器或主域控制器来使用。
138端口
137、138端口都属于UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。
非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。
139端口
139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。
139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。
445端口
445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(Common Internet File System)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。
知道了winxp网络共享需要的端口,我们来使用Router Os来控制网络间共享。我们设置如下:
1、winxp的两台虚拟机ip为172.16.100.200和10.1.100.200,他们分别是实用vnet1(host-only网卡模式)连接的。
2、在ros虚拟机里一块网卡vnet1分别设置两个ip地址172.16.100.254和10.1.100.254,这就是说如果不限制策略那么这两台pc机是可以互访问的。
3、
[admin@MikroTik] > /ip firewall filter
[admin@MikroTik] /ip firewall filter> add chain=forward action=drop protocol=tcp src-address=172.16.100.200 dst-address=10.1.100.200 dst-port=139,445
[admin@MikroTik] /ip firewall filter>add chain=forward action=drop protocol=udp src-address=172.16.100.200 dst-address=10.1.100.200 dst-port=137,138
这样可以防止两个网段的pc(局域网)做网络共享,禁止137和138端口还是可通过ip地址来访问对方的共享文件夹的,如果将139和445禁止就无法访问了。
这里补充一句,如果将傻交换机接到router os的lan网卡接口,并且使用同一网段ip那么此条规则将不生效(测试环境是vmware的vnet1网卡模式)。下次有机会再说说只允许某些电脑访问特定网站。
|