RTシリーズとWindowsに関するFAQ
なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか?
| 最終変更日 | 2024/Apr/03 |
| 文書サイズ | 18KB |
なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか?
[ NetBIOS Service on a TCP/UDP Transport (RFC1001, RFC1002) ]
TCP/IPのポート137,138,139(NBT =NetBIOS over TCP/IP)は、 Microsoft製品のネットワーク環境で便利になるように使われています。
| IPプロトコル | ポート番号 | RTシリーズ表記 | Windows表記 | 説明 |
|---|---|---|---|---|
| NetBIOS(ファイル共有) | ||||
| UDP(17) | 137 | netbios_ns | microsoft-ns nbname |
MS-Windowsネットワーク (名前解決) |
| UDP(17) | 138 | netbios_dgm | microsoft-dgm nbdatagram |
MS-Windowsネットワーク (データグラム転送) |
| TCP(6) | 139 | netbios_ssn | microsoft-ssn nbsession |
MS-Windowsネットワーク (ストリームデータ転送) |
| PPTP (cf.LAN-TA機能) | ||||
| TCP | 1723 | PPTP | ||
| GRE(47) | - | GRE(PPTPで使用される) | ||
| IPsec | ||||
| UDP | 500 | isakmp | 鍵交換プロトコル | |
| ESP(50) | - | 暗号ペイロード | ||
| AH(51) | - | 認証ヘッダ | ||
| そのほか | ||||
| TCP | 80 | www | http | HTTPサーバ,Webサーバ |
| TCP,UDP | 135 | epmap | DCE準拠RPC | |
| TCP,UDP | 445 | microsoft-ds | Direct Hosting of SMB | |
| UDP | 1434 | Microsoft SQL:インスタンス解決サービス (Instance Resolve Service) データ通信ポートのデフォルト: UDP 1433 | ||
NetBIOSは、AppleTalkやNetWareなどと同様に、主としてLAN (ローカル・エリア・ネットワーク)環境やイントラネット環境を想定したものです。 イントラネット、LAN/WAN環境において、便利であるWindowsのネットワーク環境が 必要であれば、無理してフィルタする必要はありません。
ただし、インターネット接続する場合は、話が違ってきます。
# 個々のユーザ管理が不十分なら、塞ぐしかない?
つまり、「ポート137,138,139(NBT=NetBIOS over TCP/IP)」 が「必要」か「不要」かは、あなたのニーズ(要求)次第ということです。 少なくとも、インターネットとの接点(プロバイダとの接続点)では、 「ポート137,138,139(NBT=NetBIOS over TCP/IP)」は、 フィルタすることをお薦めいたします。
[ NetBIOS関係の不要な発呼を防ぐフィルタの適用方法 ]
ISP(インターネット・サービス・プロバイダ)
:
ISDN回線 or 専用線
:
+-------------------+
| RTシリーズ |
+---------+---------+
|192.168.0.1
| 192.168.0.0/24
--------------+----------------------+---------------------
|
|192.168.0.2
+---------+---------+
| Windows |
+-------------------+
|
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * ip lan secure filter in 1 2 100 |
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan secure filter in 1 2 100 |
| ポート番号 | ニーモニック | 説明 |
|---|---|---|
| 137 | netbios_ns | MS-Windowsネットワーク / 名前解決 |
| 138 | netbios_dgm | MS-Windowsネットワーク / データグラム転送 |
| 139 | netbios_ssn | MS-Windowsネットワーク / ストリームデータ転送 |
RT(192.168.0.1)のLAN側にNetBIOSのフィルタを適用し、syslog notice onに しておくと、フィルタのログ機能が働きます。 RTをこの状態に設定しておきWindows95やWindows98(192.168.0.2)の電源を入れていると、 起動しているだけでWindows95やWindows98からこのよなブロードキャスト(broadcast)のパケットが 定期的に流れます。
ただし、一般的にこれらのパケットが発呼要因にはなりません。
# syslog notice on # show log .... 1999/06/23 09:03:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 1999/06/23 09:05:46: same message repeated 1 times 1999/06/23 09:05:46: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 1999/06/23 09:08:16: same message repeated 2 times 1999/06/23 09:08:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 1999/06/23 09:15:46: same message repeated 1 times 1999/06/23 09:15:46: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 1999/06/23 09:23:16: same message repeated 2 times 1999/06/23 09:23:16: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 1999/06/23 09:24:11: LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 .... |
LAN内の機器に対して一斉に通知する意味を持つbroadcastは、Windowsのネットワーク 機能が異常なのではありません。 LAN環境で利用されることを想定したシステムでは、 このようなブロードキャストを定常的に利用されることは、少なくありません。
ルータでもルータ間でルーティング情報を動的に共有する仕組として、 RIP(Routing Information Protocol)があり、定期的にルーティング情報を 交換することができます。 もし、このようなbroadcastで発呼するようなことがあれば、 ブリッジ機能を利用している場合を除いて、 ルータの設定などが正しくない可能性があります。
RTシリーズも、このようなdirected broadcast address(192.168.0.255)宛の パケットをWAN側/ISDN回線側に流すことはありませんので、 broadcastによる常時発呼は、起りません。
PP[XX] IP Commencing: UDP 192.168.0.2:1024 > Windowsファイル共有サーバ:139 |
PP[XX] IP Commencing: UDP 192.168.0.2:137 > DNSサーバ:53 |
NetBIOS関係の不要な発呼を防ぐフィルタが適用されていれば、 これらのパケットも破棄されます。
LANインタフェースにrestrictフィルタを適用した場合、passと等価になりま すので、reject効果は得られません。
ip filter 1 restrict * * udp,tcp 137-139 * ip filter 2 restrict * * udp,tcp * 137-139 ip filter 100 pass * * * * * pp select 1 ip pp secure filter out 1 2 100 |
期待の内容によっても異なりますが、 回線の接続状態に応じて、NetBIOS名の名前解決できたり、できなかったりします。 また、DNSリカーシブサーバを使っている場合には、PP側フィルタでは 効果が無いので、不要な発呼を防ぐ対策として不十分だろうと思います。
[ NetBIOS関係のセキュリティ確保や不要なトラフィックの抑制をするフィルタの適用方法 ]
WAN回線経由のNetBIOS関係の通信は、出さない&入れない。
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * pp select N ip pp secure filter in 1 2 100 ip pp secure filter out 1 2 100 |
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn pp select N ip pp secure filter in 1 2 100 ip pp secure filter out 1 2 100 |
[ tips ]
Windowsファイル共有は、139番ポートを使用します。 つまり、「遠隔地とWindowsのネットワークファイル共有がしたい」のLMHOSTS ファイルを用意しておき、139番ポートを開けるとファイル共有可能です。
案1) 137と138を閉じる。139を開ける。
ip filter 1 reject * * udp,tcp 137-138 * ip filter 2 reject * * udp,tcp * 137-138 ip filter 100 pass * * * * * pp select N ip pp secure filter in 1 2 100 ip pp secure filter out 1 2 100 |
案2) 137を閉じる。138と139を開ける。
ip filter 1 reject * * udp,tcp 137 * ip filter 2 reject * * udp,tcp * 137 ip filter 100 pass * * * * * pp select N ip pp secure filter in 1 2 100 ip pp secure filter out 1 2 100 |
[ ちょっと、Q&A ]
Keyword Decimal Description ------- ------- ----------- netbios-ns 137/tcp NETBIOS Name Service netbios-ns 137/udp NETBIOS Name Service netbios-dgm 138/tcp NETBIOS Datagram Service netbios-dgm 138/udp NETBIOS Datagram Service netbios-ssn 139/tcp NETBIOS Session Service netbios-ssn 139/udp NETBIOS Session Service |
[ 関連FAQ ]
[ 関連RFC ]
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for Windows / RTユーティリティ ]