Jump to content

Флуд на 445 порт

el_misho
 Share

Recommended Posts

el_misho

el_misho

Posted
Posted

Здравствуйте,

 

Есть Ubuntu server + iptables + squid. Работает как NAT. С недавнего времени обнаружил что идет с внутренней сети во внешнюю большой флуд на 445 порт (абоненты видимо нахватали вирусни):

 

...

18:34:17.785494 IP 192.168.10.132.48612 > 10.55.72.53.microsoft-ds: Flags , seq 1897740209, win 65535, options [mss 1460,nop,nop,sackOK], length 0

18:34:17.838261 IP 192.168.10.132.48613 > 10.11.233.243.microsoft-ds: Flags , seq 1033225397, win 65535, options [mss 1460,nop,nop,sackOK], length 0

...

 

В качестве временного решения закрыл на файерволе сервера 445 порт ($LAN_IP_RANGE - диапазон локальных адресов):

iptables -A FORWARD -p tcp -s $LAN_IP_RANGE --dport 445 -j REJECT

iptables -A FORWARD -p udp -s $LAN_IP_RANGE --dport 445 -j REJECT

 

Прочитал, что 445 порт отвечает в большинстве случаев за шару и по сути выходить данные запросы за пределы внутренней сети не должны. Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей? Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф. В общем интересно сталкивался ли кто-нибудь с данной проблемой и как решали её.

taf_321

taf_321

Posted
Posted (edited)

445 это SMB/CIFS, в глобальной сети ему делать нечего.

 

У себя мы их давим на BRAS'ах по портам 135-139,445 udp и tcp.

 

Кстати, я бы рекомендовал не -j REJECT а -j DROP. При вирусном шторме фонтан основательно снижает активность.

Edited by taf_321
s.lobanov

s.lobanov

Posted
Posted

Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей?

 

99,99% не заметят, что 445 порт закрыт, ну а если кто-то заметит, то дадите ему статику и откроете. Если у вас аксесс поддерживает L4 acl, то можно прямо там повесить, тогда снимать его будет проще в случае необходимости(если кто-то пожалуется)

 

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

 

У того же iptables есть возможность ограничивать кол-во пакетов за интервал времени в соответствии с тем или иным классификатором, только учтите такая фича потребует память, в отличии от безусловного дропа/реджекта.

Ilya Evseev

Ilya Evseev

Posted
Posted

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

Смысла нет. Можно резать сразу на доступе или агрегации.

Если не резать до шлюза, то только для того, чтобы набирать статистику - к кому пора отправить доктора.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.