RTシリーズのIPパケット・フィルタに関するFAQ
NetBIOSで使用するポート(137,138,139)をフィルタする方法
最終変更日 | 2018/Nov/06 |
文書サイズ | 8.4KB |
NetBIOS(137,138,139)による発呼を抑えるフィルタ
[ NetBIOSで使用するポート(137,138,139)をフィルタする ]
プロバイダのDNSサーバ ↑ [ポート番号:53] │ │ ←PP側フィルタ │ │ │ ←LAN側フィルタ │ ↓ [ポート番号:137,138,139] NetBIOS (Lan Maneger) ∴PP側、LAN側のどちらでもフィルタできる。
プロバイダのDNSサーバ ↑ [ポート番号:53] │ │ ←PP側フィルタ…53をフィルタする訳にはいかない。 │ ↓ [ポート番号:53] DNSリカーシブサーバ ↑ [ポート番号:53] │ │ ←LAN側フィルタ…137,138,139でフィルタできる。 │ ↓ [ポート番号:137,138,139] NetBIOS ∴PP側でフィルタできないものがある。 だから、LAN側でフィルタすべき。
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * ip lan secure filter in 1 2 100※Rev.2.02.XXでshow configすると以下のように見えます。:-)
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan secure filter in 1 2 100
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * pp select N ip pp secure filter out 1 2 100※Rev.2.02.XXでshow configすると以下のように見えます。:-)
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * pp select N ip pp secure filter out 1 2 100
RT(192.168.0.1)のLAN側にNetBIOSのフィルタを適用し、syslog notice onに
しておくと、フィルタのログ機能が働きます。
RTをこの状態に設定しておきWindows95やWindows98(192.168.0.2)の電源を入れていると、
起動しているだけでWindows95やWindows98からこのよなブロードキャスト(broadcast)のパケットが
定期的に流れます。
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┃ ┃# show log ┃.... ┃1999/06/23 09:03:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 ┃1999/06/23 09:05:46: same message repeated 1 times ┃1999/06/23 09:05:46: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 ┃1999/06/23 09:08:16: same message repeated 2 times ┃1999/06/23 09:08:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 ┃1999/06/23 09:15:46: same message repeated 1 times ┃1999/06/23 09:15:46: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 ┃1999/06/23 09:23:16: same message repeated 2 times ┃1999/06/23 09:23:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 ┃1999/06/23 09:24:11: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 ┃.... ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
上記のログのようなNetBIOSのブロードキャストのパケットが発呼要因と なることはないでしょう。
LAN内の機器に対して一斉に通知する意味を持つbroadcastは、Windowsのネットワーク
機能が異常なのではありません。
LAN環境で利用されることを想定したシステムでは、
このようなブロードキャストを定常的に利用されることは、少なくありません。
ルータでもルータ間でルーティング情報を動的に共有する仕組として、
RIP(Routing Information Protocol)があり、定期的にルーティング情報を
交換することができます。
もし、このようなbroadcastで発呼するようなことがあれば、
ルータの不具合です。
RTシリーズも、このようなdirected broadcast addrees(192.168.0.255)宛の パケットをWAN側/ISDN回線側に流すことはありませんので、 broadcastによる常時発呼は、起りません。
発呼要因になる可能性があるのは、特定のホストと何らか通信を するようなケースで、以下のようなケースが考えられます。
PP[XX] IP Commencing: UDP 192.168.0.2:1024 > Windowsファイル共有サーバ:139
PP[XX] IP Commencing: UDP 192.168.0.2:137 > DNSサーバ:53
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]