Как заблокировать 445 порт tcp secret net
Перейти к содержимому

Как заблокировать 445 порт tcp secret net

  • автор:

Общий доступ к SMB недоступен, если TCP-порт 445 прослушивает в Windows Server

В этой статье описывается решение проблемы, из-за которой невозможно получить доступ к общему ресурсу SMB, даже если общий ресурс включен в целевом сервере Windows Server.

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 4471134

Симптомы

Вы не можете получить доступ к общему ресурсу SMB, даже если общий ресурс включен на целевом сервере Windows Server. При выполнении команды netstat для отображения сетевых подключений результаты показывают, что TCP-порт 445 прослушивает. Однако трассировка сети показывает, что связь через TCP-порт 445 завершается сбоем следующим образом:

Source Цель Протокол Описание
Клиент SERVER TCP TCP:Flags=. S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192
Клиент SERVER TCP TCP:[SynReTransmit #600]Flags=. S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192
Клиент SERVER TCP TCP:[SynReTransmit #600]Flags=. S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192

После включения аудита событий изменения политики платформы фильтрации с помощью следующей команды могут возникнуть некоторые события (например, событие с идентификатором 5152), которые указывают на блокировку.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable 

Пример события с идентификатором 5152:

Журнал событий Источник события Идентификатор события Текст сообщения
Безопасность Аудит безопасности Microsoft-Windows 5152 Описание:
Платформа фильтрации Windows заблокировала пакет.

Причина

Эта проблема возникает из-за того, что вредоносная программа Adylkuzz, которая использует ту же уязвимость SMBv1, что и Wannacrypt, добавляет политику IPSec с именем NETBC , которая блокирует входящий трафик на сервере SMB, использующем TCP-порт 445. Некоторые средства adylkuzz-cleanup могут удалить вредоносную программу, но не могут удалить политику IPSec. Дополнительные сведения см. в статье Win32/Adylkuzz.B.

Решение

Для устранения данной проблемы выполните следующие действия.

  1. Установите обновление для системы безопасности MS17-010 , соответствующее операционной системе.
  2. Выполните действия на вкладке «Что делать сейчас» в Win32/Adylkuzz.B.
  3. Выполните проверку с помощью средства проверки безопасности (Майкрософт).
  4. Проверьте, блокирует ли политика IPSec TCP-порт 445, используя следующие команды (и ознакомьтесь с приведенными результатами).

netsh ipsec static show policy all 
Policy Name: netbc Description: NONE Last Modified: Assigned: YES Master PFS: NO Polling Interval: 180 minutes 
netsh ipsec static show filterlist all level=verbose 
FilterList Name: block Description: NONE Store: Local Store Last Modified: GUID: No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: Source Mask: 0.0.0.0 Source DNS Name: Destination IP Address: Destination DNS Name: Protocol: TCP Source Port: ANY Destination Port : 445 

Примечание. При выполнении команд на неинфициалном сервере политика отсутствует.

    Выполните следующую команду:
netsh ipsec static delete policy name=netbc 

Дополнительная информация

С октября 2016 г. корпорация Майкрософт использует новую модель обслуживания для поддерживаемых версий обновлений Windows Server. Эта новая модель обслуживания для распространения обновлений упрощает решение проблем безопасности и надежности. Корпорация Майкрософт рекомендует поддерживать ваши системы в актуальном состоянии, чтобы обеспечить их защиту и применение последних исправлений.

Эта угроза может выполнять следующие команды:

netsh ipsec static add policy name=netbc netsh ipsec static add filterlist name=block netsh ipsec static add filteraction name=block action=block netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445 netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block netsh ipsec static set policy name=netbc assign=y 

Он также может добавить правила брандмауэра для разрешения подключений с помощью следующих команд:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow 

Обратная связь

Были ли сведения на этой странице полезными?

Вопрос по эксплоитам через открытые порты

Пока только начал разбиратся в метасплоите и возможно вы знаете ответ хотябы на один вопрос. На моей машине линукс кали, подключился в сеть где около 30 компов, просканировал сеть через nmap, очень много компютеров где открыты порты 135, 139, 445, 49152, 49153, 49158

Нашел в интернете пару видео где проникают через эти порты до командной строки жертвы. Но попробовав на своих жертвах, ни один способ из видеороликов не сработал, уязвимости не работают, возможно на машинах жертв стоит виндовс 8 или 10. Собственно такие вопросы.

1) Каким образом в метасплоите можно просканировать каким то сканером сеть, чтобы он просканил например адрес 192.168.0.105 и сказал, что комп уязвим к таким эксплоитам:
exploit/windows/smb/ms09_050_smb2
exploit/multi/samba/usermap_script
exploit/windows/smb/ms17_010_eternalblue
Это как пример. Чтобы я сразу знал через какой эксплоит атаковать. Есть ли такая возможность в метасплоите, чтобы он просканил все порты или программы которые стоят на компе жертвы, и сказал сам где есть уязвимость и куда нужно атаковать?

2) Каким сканером или чем то еще входящем в состав метасплоит, можно просканировать жертву и чтобы узнать как можно больше данных о жертве, например версия виндовс (плюс какой сервис пак), программы какие есть у жертвы, какие версии программ и все остальное?

3) Как сделать обратный поиск, например просканировал я сеть через nmap, увидел открытый порт 445, как мне теперь в метерпретер сказать, что вот есть открытый порт 445, покажи мне все эксплоиты под этот порт? Либо есть открытый порт 23, покажи все эксплоиты под этот порт?

4) Допустим у жертвы открыт порт 5555, и я точно знаю что на этом порте никакая программа не работает (то есть порт просто открыт). Как мне получить доступ к командной строке или процессам через этот открытый порт, на котором ничего не работает?

BKeaton

Green Team
18.07.2018 204 335 BIT 58

Каким сканером или чем то еще входящем в состав метасплоит, можно просканировать жертву и чтобы узнать как можно больше данных о жертве

Через Nessus или OpenVAS и в самом metasploit есть auxiliary модули для сканирования цели
Никогда не поздно почитать эти статьи))

gushmazuko

Red Team
24.03.2017 173 451 BIT 0
Взгляни на сканер
Ссылка скрыта от гостей
Ссылка скрыта от гостей

Чтобы скомпрометировать уязвимую машину ты должен знать логин и пароль от раздаваемого ресурса или же раздача должна быть без пароля и с правами на запись.

Компрометируется не сам порт, а программа (сервис) которая работает на этом порту. Т.е если теоретически OpenVPN будет работать на нестандартном порту, скажем на 445 (порт на котором обычно работает SMB) и ты будешь пытаться применить к нему експлоит EternalBlue то ничего не выйдет.
Советую прежде разобраться как работает сеть и сетевые программы, это очень полезно!

xejet

One Level
05.11.2018 9 1 BIT 0

Компрометируется не сам порт, а программа (сервис) которая работает на этом порту. Т.е если теоретически OpenVPN будет работать на нестандартном порту, скажем на 445 (порт на котором обычно работает SMB) и ты будешь пытаться применить к нему експлоит EternalBlue то ничего не выйдет.
Советую прежде разобраться как работает сеть и сетевые программы, это очень полезно!

Да, я понимаю что взлом идет не самого порта, именно поэтому я и написал порт smb и telnet (445 и 23). Тогда поставлю вопрос по другому. Допустим я знаю что на порту 42777 стоят камеры, хотя стандартный порт для них 37777. Как мне искать в метасплоит эксплоит для камер, писать search dahua? Или открыт 445 порт для smb например, но я знаю только популярный эксплоит eternalblue, но применив эксплоит, оказалось что комп жертвы не уязвим к этому эксплоиту. Возможно на компе жертвы стоит 8 винда, где естественно давно закрыта эта уязвимость. Как мне в метесплоит посмотреть все эксплоиты для smb?

И все же остался вопрос про порт 5555, если там никакая программа на этом порту не работает, то получается толку никакого?

addedie
Well-known member

04.08.2019 157 0 BIT 0
сейчас имею такой вывод

(base) admix@buben:~$ smbclient -L 10.10.10.178 Unable to initialize messaging context Enter WORKGROUP\admix's password: Sharename Type Comment --------- ---- ------- ADMIN$ Disk Remote Admin C$ Disk Default share Data Disk IPC$ IPC Remote IPC Secure$ Disk Users Disk SMB1 disabled -- no workgroup available (base) admix@buben:~$

посоветуйте SMB брут
гидра обзывается

(base) admix@buben:~$ hydra -L user -P /usr/share/wordlists/rockyou.txt smb://10.10.10.178 Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2020-01-28 05:53:25 [INFO] Reduced number of tasks to 1 (smb does not like parallel connections) [DATA] max 1 task per 1 server, overall 1 task, 14344399 login tries (l:1/p:14344399), ~14344399 tries per task [DATA] attacking smb://10.10.10.178:445/ [ERROR] no reply from target smb://10.10.10.178:445/ (base) admix@buben:~$

вот так уже лучше но вывода никакого нету

(base) admix@buben:~$ sudo hydra -T 1 -L user -P /usr/share/wordlists/rockyou.txt smb://10.10.10.178/ Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2020-01-28 07:34:24 [INFO] Reduced number of tasks to 1 (smb does not like parallel connections) [DATA] max 1 task per 1 server, overall 1 task, 86066394 login tries (l:6/p:14344399), ~86066394 tries per task [DATA] attacking smb://10.10.10.178:445/ C

ан нет небрутит таже ошибка

[DATA] attacking smb://10.10.10.178:445/ [ERROR] no reply from target smb://10.10.10.178:445/ (base) admix@buben:~$

забыл добавить, хост пингуется и в ручную просит ввести пароль от SMB но гидра не брутит почемуто
Последнее редактирование: 28.01.2020

addedie
Well-known member

04.08.2019 157 0 BIT 0

как только начинаю брутить хост валится. перезапускаю на сайте и таже фигня. после гидры он вообще неконектится. чета тут заумно както я непойму
попробовал еще вот такой вариант

(base) admix@buben:~$ smbclient -L 10.10.10.178 Unable to initialize messaging context Enter WORKGROUP\admix's password: Sharename Type Comment --------- ---- ------- ADMIN$ Disk Remote Admin C$ Disk Default share Data Disk IPC$ IPC Remote IPC Secure$ Disk Users Disk SMB1 disabled -- no workgroup available (base) admix@buben:~$ mount -t cifs //10.10.10.178/Data /mnt/smb mount: only root can use "--types" option (base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Data /mnt/smb [sudo] пароль для admix: Password for root@//10.10.10.178/Data: mount error(2): No such file or directory Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (base) admix@buben:~$ ls /mnt/smb (base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Users /mnt/smb Password for root@//10.10.10.178/Users: (base) admix@buben:~$ ls /mnt/smb Administrator C.Smith L.Frost R.Thompson TempUser (base) admix@buben:~$ ls /mnt/smb/Administrator/ ls: чтение каталога '/mnt/smb/Administrator/': Отказано в доступе (base) admix@buben:~$ ls /mnt/smb/C.Smith/ ls: чтение каталога '/mnt/smb/C.Smith/': Отказано в доступе (base) admix@buben:~$ ls /mnt/smb/TempUser/ ls: чтение каталога '/mnt/smb/TempUser/': Отказано в доступе (base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/C$ /mnt/smb Password for root@//10.10.10.178/C$: mount error(13): Permission denied Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg) (base) admix@buben:~$ sudo mount -t cifs //10.10.10.178/Secure$ /mnt/smb Password for root@//10.10.10.178/Secure$: (base) admix@buben:~$ ls /mnt/smb ls: чтение каталога '/mnt/smb': Отказано в доступе (base) admix@buben:~$ sudo ls /mnt/smb ls: чтение каталога '/mnt/smb': Отказано в доступе (base) admix@buben:~$

Как заблокировать 445 порт tcp secret net

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Видны порты снаружи, VPN работает всегда.

Обсуждение оборудования и его настройки
Koenig Сообщения: 19 Зарегистрирован: 09 окт 2014, 14:11

Добрый день.
Ситуация следующая, имеем микротик RB2011UIAS-2HnD. Все настроено и работает, но при сканировании снаружи я вижу открытыми порты
Not shown: 991 closed ports, 3 filtered ports
PORT STATE SERVICE
53/tcp open domain
1723/tcp open pptp
2000/tcp open callbook
5900/tcp open vnc
8080/tcp open http-proxy
8291/tcp open unknown
Если порт vpn и vnc я открыл сам, то остальные без моего желания видны в интернете.
Стал менять правила firewall, крутил — вертел, порты открыты.
Решил закрыть для экспериментов порт 1723, так вот он вообще не закрывается и я без правила nat и firewall могу подключиться по vpn к роутеру.
VPN перестает работать только если я выключаю pptp сервер.
Перечитал кучу мануалов и инструкций, ничего не помогает.

конфиг

[administrator@MikroTik] > /export compact
# oct/09/2014 13:59:23 by RouterOS 6.20
# software />#
/interface bridge
add mtu=1500 name=bridge2
add mtu=1500 name=bridge10
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway
set [ find default-name=ether2 ] comment=»LAN 2-5″ name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local
set [ find default-name=ether6 ] comment=»LAN 6-10″ name=ether6-master-local
set [ find default-name=ether8 ] master-port=ether6-master-local
/ip neighbor discovery
set ether1-gateway comment=WAN
set ether2-master-local comment=»LAN 2-5″
set ether6-master-local comment=»LAN 6-10″
/interface vlan
add comment=»Internet ot YUP» interface=ether1-gateway l2mtu=1594 name=Vlan306 \
vlan-id=306
add comment=»Guest lan» interface=ether1-gateway l2mtu=1594 name=vlan2 vlan-id=\
2
add comment=»Inet in lan» interface=ether1-gateway l2mtu=1594 name=vlan10 \
vlan-id=10
/ip neighbor discovery
set Vlan306 comment=»Internet ot YUP»
set vlan2 comment=»Guest lan»
set vlan10 comment=»Inet in lan»
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods=»» management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity=»» \
wpa-pre-shared-key=********** wpa2-pre-shared-key=**********
add authentication-types=wpa-psk,wpa2-psk eap-methods=»» group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=Guest \
supplicant-identity=»» unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
houseamber wpa2-pre-shared-key=houseamber
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-onlyn channel-width=20/40mhz-ht-above comment=WI-FI country=\
russia distance=indoors frequency-mode=regulatory-domain \
ht-ampdu-priorities=0,7 ht-guard-interval=long hw-protection-mode=rts-cts \
hw-retries=15 l2mtu=2290 mode=ap-bridge periodic-calibration=enabled \
periodic-calibration-interval=10 security-profile=profile1 ssid=YD \
wireless-protocol=802.11 wmm-support=enabled
add disabled=no mac-address=4E:5E:0C:27:E1:83 master-interface=wlan1 name=wlan2 \
security-profile=Guest ssid=GuestYD wds-cost-range=0 wds-default-cost=0
/ip neighbor discovery
set wlan1 comment=WI-FI
/interface wireless nstreme
set wlan1 comment=WI-FI
/interface wireless manual-tx-power-table
set wlan1 comment=WI-FI
/ip firewall layer7-protocol
add name=social regexp=»^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\
|fall-in-love|loveplanet|my.mail.ru|ok.ru).*\$»
/ip pool
add name=dhcp_pool ranges=192.168.0.121-192.168.0.254
add name=dhcp_vlan2 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool3 ranges=192.168.4.2-192.168.4.254
/ip dhcp-server
add address-pool=dhcp_pool lease-time=3d name=dhcp
add address-pool=dhcp_vlan2 disabled=no interface=bridge2 lease-time=3d name=\
dhcp_vlan2
add address-pool=dhcp_pool3 disabled=no interface=wlan2 lease-time=3d name=\
dhcp1
/port
set 0 name=serial0
/ppp profile
set 1 bridge=bridge10
/interface pppoe-client
add ac-name=»» add-default-route=yes allow=pap,chap,mschap1,mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no interface=Vlan306 \
keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=SZT password=\
szt profile=default service-name=»» use-peer-dns=yes user=szt
/ip neighbor discovery
set SZT discover=no
/queue simple
add comment=»Ogranichenie dlya guest lan» max-limit=1M/1M name=»guest vlan2″ \
target=192.168.10.0/24
add comment=»Ogranichenie dlya guest lan» max-limit=1M/1M name=queue1 target=\
192.168.4.0/24

/queue type
set 0 kind=sfq
set 9 kind=sfq
/system logging action
set 1 disk-file-name=log
set 2 remember=yes
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=bridge10 comment=»Work wi-fi mikrotik» interface=wlan1
add disabled=yes interface=sfp1
add bridge=bridge10 disabled=yes interface=ether1-gateway
add bridge=bridge2 interface=vlan2
add bridge=bridge10 interface=vlan10
add bridge=bridge10 disabled=yes interface=ether2-master-local
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=\
yes
/interface pppoe-server server
add disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 mrru=1600 \
service-name=service1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.100/24 comment=»IP LAN Houseamber» interface=bridge10 \
network=192.168.0.0
add address=192.168.10.1/24 comment=»IP guest lan dlink» interface=bridge2 \
network=192.168.10.0
add address=192.168.4.1/24 comment=»IP guest lan mikrotik» interface=wlan2 \
network=192.168.4.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.100,78.36.207.130 gateway=\
192.168.0.100
add address=192.168.4.0/24 gateway=192.168.4.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.102 name=DC
/ip firewall address-list
add address=192.168.0.0/24 comment=»Blokirovka social setey» disabled=yes list=\
CU_BLOCK_SOCIAL
add address=192.168.0.139 comment=»Net ineta no pochta rabotaet» disabled=yes \
list=»NO INTERNET»
/ip firewall filter
add chain=forward comment=»Pochta pri otsutstvii interneta» dst-port=110 \
protocol=tcp src-address-list=»NO INTERNET»
add chain=forward dst-port=25 protocol=tcp src-address-list=»NO INTERNET»
add chain=forward dst-port=465 protocol=tcp src-address-list=»NO INTERNET»
add chain=forward dst-port=993 protocol=tcp src-address-list=»NO INTERNET»
add chain=input comment=»Vkl VPN po PPTP» connection-state=new disabled=yes \
dst-port=1723 in-interface=SZT protocol=tcp
add chain=input disabled=yes protocol=gre
add chain=input comment=»Dostup mikrotik» connection-state=new disabled=yes \
dst-port=8291 protocol=tcp src-address=192.168.0.0/22
add chain=input connection-state=new disabled=yes dst-port=8080 protocol=tcp \
src-address=192.168.0.0/22
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established
add chain=input protocol=udp
add chain=input protocol=icmp
add chain=input src-address=192.168.0.0/24
add chain=forward connection-state=invalid protocol=tcp
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward comment=»\C1\EB\EE\EA\E8\F0\F3\E5\EC IP \E0\E4\F0\
\E5\F1\E0 \E2\FB\E7\FB\E2\E0\FE\F9\E8\E5 bogons» src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward comment=\
«\EF\E5\F0\E5\F5\EE\E4 \E2 \ED\EE\E2\FB\E5 \F6\E5\EF\EE\F7\EA\E8» \
jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=tcp comment=»tcp \EF\F0\E0\E2\E8\EB\E0 \E2 \F6\E5\EF\EE\F7\
\EA\E5 tcp \E8 \E7\E0\EF\F0\E5\F2\E8\EC \ED\E5\EA\EE\F2\EE\F0\FB\E5 tcp \EF\
\EE\F0\F2\FB deny TFTP» dst-port=69 protocol=tcp
add action=drop chain=tcp comment=»deny RPC portmapper» dst-port=111 protocol=\
tcp
add action=drop chain=tcp dst-port=135 protocol=tcp
add action=drop chain=tcp comment=»deny NBT» disabled=yes dst-port=137-139 \
protocol=tcp
add action=drop chain=tcp comment=»deny cifs» disabled=yes dst-port=445 \
protocol=tcp
add action=drop chain=tcp comment=»deny NFS» dst-port=2049 protocol=tcp
add action=drop chain=tcp comment=»deny NetBus» dst-port=12345-12346 protocol=\
tcp
add action=drop chain=tcp dst-port=20034 protocol=tcp
add action=drop chain=tcp comment=»deny BackOriffice» dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment=»deny DHCP» dst-port=67-68 protocol=tcp
add action=drop chain=udp comment=»\C7\E0\EF\F0\E5\F2\E8\EC udp \EF\EE\F0\F2\FB \
\E2 \F6\E5\EF\EE\F7\EA\E5 udp deny TFTP» dst-port=69 protocol=udp
add action=drop chain=udp comment=»deny PRC portmapper» dst-port=111 protocol=\
udp
add action=drop chain=udp dst-port=135 protocol=udp
add action=drop chain=udp comment=»deny NBT» dst-port=137-139 protocol=udp
add action=drop chain=udp comment=»deny NFS» dst-port=2049 protocol=udp
add action=drop chain=udp comment=»deny\r\
\nBackOriffice» dst-port=3133 protocol=udp
add chain=icmp comment=»\D0\E0\E7\F0\E5\F8\E8\EC \ED\E5\EE\E1\F5\EE\E4\E8\EC\FB\
\E5 icmp \EA\EE\E4\FB \E2 icmp \F6\E5\EF\EE\F7\EA\E5″ icmp-options=0:0 \
protocol=icmp
add chain=icmp icmp-options=3:0 protocol=icmp
add chain=icmp icmp-options=3:1 protocol=icmp
add chain=icmp icmp-options=4:0 protocol=icmp
add chain=icmp icmp-options=8:0 protocol=icmp
add chain=icmp icmp-options=11:0 protocol=icmp
add chain=icmp icmp-options=12:0 protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=SZT
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.4.0/24
add action=netmap chain=dstnat comment=»Port RDP on 192.168.0.103″ disabled=yes \
dst-port=3389 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 \
to-ports=3389
add action=netmap chain=dstnat comment=»Linia web 9786″ disabled=yes dst-port=\
9786 in-interface=SZT protocol=tcp to-addresses=192.168.0.1 to-ports=9786
add chain=dstnat comment=»Port VPN» disabled=yes dst-port=1723 in-interface=SZT \
protocol=tcp to-addresses=192.168.0.100 to-ports=1723
add action=netmap chain=dstnat comment=»VNC \ED\E0 103″ disabled=yes dst-port=\
5900 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 to-ports=5900
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec policy
set (unknown) dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip proxy
set cache-path=web-proxy1
/ip route rule
add action=unreachable dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.10.0/24
add action=unreachable dst-address=192.168.4.0/24 src-address=192.168.0.0/24
/ip service
set telnet disabled=yes
set ftp address=192.168.0.0/24 disabled=yes port=8291
set www address=192.168.0.0/22 port=8080
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/22
set api-ssl disabled=yes
/ip smb users
add name=user1 password=123 read-only=no
/ip upnp
set allow-disable-external-interface=no
/lcd
set backlight-timeout=never default-screen=interfaces read-only-mode=yes
/ppp secret
add local-address=192.168.3.1 name=******** password=******** remote-address=\
192.168.3.2 service=pptp
add local-address=192.168.3.1 name=******** password=******** remote-address=\
192.168.3.3 service=pptp
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Minsk
/system clock manual
set time-zone=+03:00
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool graphing interface
add interface=SZT
add interface=bridge10
add interface=bridge2
add interface=ether1-gateway
add interface=vlan10
/tool graphing resource
add
/tool mac-server
set [ find default=yes ] disabled=yes
add
/tool mac-server mac-winbox
[admin
istrat
or@Mik
roTik]
[administrator@MikroTik] >

Возможные проблемы соединения Secret Disk Alarm

При попытке настроить соединение с сервером в программе Secret Disk Alarm могут возникнуть следующие ошибки:

  • сервер RPC недоступен (0x6ba) — возникает, если сервер недоступен (неправильно введён адрес или имя);
  • служба Secret Disk не запущена, блокируется сетевое подключение.

Для решения необходимо выполнить следующее:

— перезапустить службы SDS и Alarm;

— проверить ping servername.

При использовании Named pipes:

— убедиться в том, что на сервере открыты TCP порты 139 и 445;

— для проверки соединения через именованные каналы выполните следующие процедуры:

в командной строке на клиенте введите: net view \\servername. Если соединение открылось, то появится список доступных сетевых ресурсов сервера. Для проверки подключения к серверному именованному каналу выполните: net use \\servername\IPC$ . В ответ должно появиться сообщение об успешном подключении.

При использовании TCP (Sockets):

— убедиться в том, что порт TCP в настройках сервера совпадает с портом в настройках клиента (Alarm);

— убедиться в том, что используемый порт открыт на сервере.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *