Перейти к содержимому
Калькуляторы

Флуд на 445 порт способ борьбы с флудом на 445 порт

Здравствуйте,

 

Есть Ubuntu server + iptables + squid. Работает как NAT. С недавнего времени обнаружил что идет с внутренней сети во внешнюю большой флуд на 445 порт (абоненты видимо нахватали вирусни):

 

...

18:34:17.785494 IP 192.168.10.132.48612 > 10.55.72.53.microsoft-ds: Flags , seq 1897740209, win 65535, options [mss 1460,nop,nop,sackOK], length 0

18:34:17.838261 IP 192.168.10.132.48613 > 10.11.233.243.microsoft-ds: Flags , seq 1033225397, win 65535, options [mss 1460,nop,nop,sackOK], length 0

...

 

В качестве временного решения закрыл на файерволе сервера 445 порт ($LAN_IP_RANGE - диапазон локальных адресов):

iptables -A FORWARD -p tcp -s $LAN_IP_RANGE --dport 445 -j REJECT

iptables -A FORWARD -p udp -s $LAN_IP_RANGE --dport 445 -j REJECT

 

Прочитал, что 445 порт отвечает в большинстве случаев за шару и по сути выходить данные запросы за пределы внутренней сети не должны. Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей? Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф. В общем интересно сталкивался ли кто-нибудь с данной проблемой и как решали её.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

445 это SMB/CIFS, в глобальной сети ему делать нечего.

 

У себя мы их давим на BRAS'ах по портам 135-139,445 udp и tcp.

 

Кстати, я бы рекомендовал не -j REJECT а -j DROP. При вирусном шторме фонтан основательно снижает активность.

Изменено пользователем taf_321

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дропать на доступе, мы по крайней мере так поступили

 

ЗЫ. NETBIOS зло

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста, может ли закрытие порта 445 повлиять на работу других приложений у пользователей?

 

99,99% не заметят, что 445 порт закрыт, ну а если кто-то заметит, то дадите ему статику и откроете. Если у вас аксесс поддерживает L4 acl, то можно прямо там повесить, тогда снимать его будет проще в случае необходимости(если кто-то пожалуется)

 

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

 

У того же iptables есть возможность ограничивать кол-во пакетов за интервал времени в соответствии с тем или иным классификатором, только учтите такая фича потребует память, в отличии от безусловного дропа/реджекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://windows.microsoft.com/ru-RU/windows7/Networking-home-computers-running-different-versions-of-Windows

Вот что можно подропать. Вроде не жалуются...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существуют ли альтернативные решения не закрывать а как-нибудь ограничивать данный траф.

Смысла нет. Можно резать сразу на доступе или агрегации.

Если не резать до шлюза, то только для того, чтобы набирать статистику - к кому пора отправить доктора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.