Блокировка NetBIOS на Микротике

[Dimon]

Есть две подсети, между которыми радиоканал и Микротик. Один интерфейс Микротика смотрит в сеть 192.168.0.0, другой - 192.168.2.0. В данный момент для обмена файлами используем DC++. Но мы в своей подсети 192.168.2.0 использовать обычные NetBIOS-шары. Админ другой подсети не хочет. Кроме того, это лишняя нагрузка на радиоканал. Микротик стоит с нашей "стороны" канала.

Требуется с помощью микротика запретить обмен по NetBIOS между подсетями. Не могу нигде найти, какие порты и протоколы нужно для этого закрыть.

 

[BETEPAH]

порты 137-139 и 445 протокола TCP и порты 137-138 протокола UDP

в яндексе нашлось за 1 минуту

Edited November 2, 2008 by BETEPAH

[Dimon]

порты 137-139 и 445 протокола TCP и порты 137-138 протокола UDP

в яндексе нашлось за 1 минуту

Непомагает уже пробовал,серавно NetBIOS шурует токо так.

[yrida]

Значит ви неуказали ентерфейс на каком закривать ети порти в фаерволе или просто напишите даже закривать все на глобал ин и глобал аут для вашей подсети и все будет резать любие адреса.

[RAW]

Значит неправильно закрываете, раз ничего не получается, а порты указаны правильно.

[Dimon]

Все указую правильно, и порты тоже, все как положено. Закрыть все - и я такой умный, но какой смисл обеденения подсетей, если закрить все порты - тогда ни стронг, ни локальний чат неработает. Если знаете, напишите пожалуйста правило, как правильно.

[martini]

блин, зачем демагогию разводить ??

/ip firewall filter export

 

/ip firewall nat export

 

и все станет ясно

[Dimon]

Зачем мне сбрасывать мне свои настройки роутера? Если можно, покажите пример робочих правил, если я делаю чото не, так то я исправлю.

[RAW]

Все указую правильно, и порты тоже, все как положено.

Не слишком ли самоуверено? Как бы оно то ни было, оно продолжает неработать.

Зачем мне сбрасывать мне свои настройки роутера?

И после этого хотите что бы вам помогали?

[BETEPAH]

что-то вроде этого:

add chain=forward in-interface=eth0 src-address=172.16.0.0/16 dst-address=0.0.0.0/0 protocol=tcp dst-port=25 action=drop disabled=no

[Dimon]

Вот настройки фаервола

/ ip firewall filter

add chain=forward in-interface=ether3 out-interface=ether1 protocol=tcp \

src-port=137-139 dst-port=137-139 action=drop comment="" disabled=no

add chain=forward in-interface=ether1 out-interface=ether3 protocol=tcp \

src-port=137-139 dst-port=137-139 action=drop comment="" disabled=no

add chain=forward in-interface=ether1 out-interface=ether3 protocol=tcp \

src-port=445 dst-port=445 action=drop comment="" disabled=no

add chain=forward in-interface=ether3 out-interface=ether1 protocol=tcp \

src-port=445 dst-port=445 action=drop comment="" disabled=no

add chain=forward in-interface=ether1 out-interface=ether3 protocol=udp \

src-port=137-138 dst-port=137-138 action=drop comment="" disabled=no

add chain=forward in-interface=ether3 out-interface=ether1 protocol=udp \

src-port=137-138 dst-port=137-138 action=drop comment="" disabled=no

 

Хотя реально нетбиос вырубает тогда, когда блокирую тср порты 0-3000, но тогда и стронг рубает.

[builder]

Может я ошибаюсь, но наверно зря Вы обозначаете src-port, ибо во-первых это не правда,

а во-вторых если учитывается полное удовлетворение правилу, то пакеты естественно в него не попадают.

[Dimon]

Может я ошибаюсь, но наверно зря Вы обозначаете src-port, ибо во-первых это не правда,

а во-вторых если учитывается полное удовлетворение правилу, то пакеты естественно в него не попадают.

СПАСИБО!!!

Так и не понял, почаму, но без срц заработало.

[martini]

мда... да потому что сессия между машинами устанавливается не с 137 на 137 порт ))

Коннект идет на 137 порт, и инициатор открывает для входящего соединения порт выше 10000 (точно не помню), но никак не тот же на который идет коннект