⑴ 怎樣關閉本機的埠或者過濾例如139、445。
配置策略,禁止139/445埠連接
來源:賽迪網 2004-04-30
也許大家都知道網上有些掃描器如letmein.exe,whoisadmin.exe等,是通過TCP的139和445埠來獲取一些計算機相關信息,如計算機的名稱,管理員帳號。這樣便可以通過相應的攻擊工具進行入侵了。當知道了管理員的帳號後,可以猜測或暴力破解其密碼來獲得計算機的控制權。怎麼辦呢?利用win2000自身的策略設置,就能解決。我們採取對本地安全設置里的"IP安全設置,在本地機器" 來進行設置,禁止TCP的139/445連接。
在進行策略設置前,首先來了解一下相應的原理吧!
一、基本原理
SMB(Server Message Block) Windows協議族,用於文件和列印共享服務。NBT(NetBIOS over TCP/IP) 使用137(UDP), 138(UDP) and 139 (TCP)來實現基於TCP/IP的NETBIOS網際互聯。
在Windows NT中SMB基於NBT實現。 而在Windows2000中,SMB除了基於NBT的實現,還有直接通過445埠實現。 當Win2000(允許NBT)作為client來連接SMB伺服器時,它會同時嘗試連接139和445埠,如果445埠有響應,那麼就發送RST包給139埠斷開連接,以455埠通訊來繼續.當445埠無響應時,才使用139埠。當Win2000(禁止NBT)作為client來連接SMB伺服器時,那麼它只會嘗試連接445埠,如果無響應,那麼連接失敗。(注意可能對方是NT4.0伺服器。) 如果win2000伺服器允許NBT, 那麼UDP埠137, 138, TCP 埠 139, 445將開放。 如果 NBT 被禁止, 那麼只有445埠開放。
二、實戰操作
..............
參考資料:http://www.cert.org.cn/articles/tabloid/common/2004043021616.shtml
⑵ 華為交換機如何阻斷445埠
acl number 3001
[Huawei-acl-adv-3001] rule 5 deny tcp source-port eq 445 destination-port eq 445
[Huawei-acl-adv-3001]rule 10 deny udp source-port eq 445 destination-port eq 445
[Huawei-acl-adv-3001]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3001
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3001
⑶ 華為s2700交換機怎麼關閉445埠,還是它沒有這個埠
acl number 3001
[Huawei-acl-adv-3001] rule 5 deny tcp source-port eq 445 destination-port eq 445
[Huawei-acl-adv-3001]rule 10 deny udp source-port eq 445 destination-port eq 445
[Huawei-acl-adv-3001]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3001
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3001
⑷ H3Cs5500三層交換機配置基於埠的acl問題,急急急!!!!
添加一個acl
acl 3001
rule 0 permit tcp destination server1-ip destination-port eq 3000
rule 1 permit tcp destination server2-ip destination-port eq 3001
rule 2 deny tcp
註:tcp或者udp,以伺服器上埠為准,檢查版命令:netstat
進入G0/0介面權
packet-filter 3001 inbound
⑸ 如何在區域網交換機上用vacl禁用445埠
三層交換機的話在svi口的入方向deny eq445
2層沒有辦法做
⑹ cisco ACL 限制埠
ip access-list extended 100
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 deny tcp10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 permit ip any any
將此抄acl 100 應用到辦公網的兩個網關介面上就行了。
⑺ 如何配置接入層交換機pc網段之間禁止445埠訪問
不同網段的PC訪問伺服器需要在三層交換機中添加默認路由即可。
具體方法(以華專為為例,其它品牌步屬驟都是一樣,命令稍有不同而已):
1、用TELNET或CONSOLE線連接三層交換機。
2、輸入用戶名密碼登陸。
3、使用命令行:
system-view
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1(具體以伺服器IP為准)
quit
save
這樣不同網段的PC就能訪問伺服器了。
⑻ 銳捷 交換機ACL如何禁止10000以上的埠
你好,ACL命令後寫:eq 11221,就11221埠的限制。
如:270 deny tcp any any eq 11221 //拒絕所有所有11221埠的訪問。
你可以到銳捷內官網下載RG-S5750或者3760的配置容手冊查閱。
⑼ h3c 7506e交換機有沒有方法禁止445-135-137-139埠,請問,
輸入命令源
acl nu 3000
rule 10 deny tcp des eq 445
rule 20 deny tcp des eq 135
rule 30 deny udp des eq 137
rule 40 deny tcp des eq 139
rule 100 per ip
應用的vlan上或介面上,本例子應用到vlan1上
int vlan1
packet-f 3000 in
packet-f 3000 out