我之前默认接受所有输出流量。最近将策略更改为默认拒绝输出,仅打开服务器/应用程序功能所需的端口。
今天早上,当我尝试安装驱动器时,出现超时(目标服务器已启动)。如果我将输出策略设置为接受,我就可以毫无问题地安装。
我已将以下规则添加到我的防火墙中:
Chain INPUT (policy DROP 166 packets, 49616 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:137 state NEW,ESTABLISHED
628 48984 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:138 state NEW,ESTABLISHED
32 7244 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:138 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:139 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:139 state NEW,ESTABLISHED
Chain OUTPUT (policy DROP 30 packets, 1800 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:137 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137 state NEW,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:138 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138 state NEW,ESTABLISHED
3 180 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:139 state NEW,ESTABLISHED
通过临时将输出设置为接受,我在端口 udp:137、udp:138 上生成了一些输入流量。我在 tcp:139 上看到一些输出流量。
当我将默认输出更改为 DENY 时,我再次超时。
这是该/etc/fstab行:
//example.com/shares/acoder /mnt/acoder cifs 凭据=/etc/credfile,dom=example,uid=0,gid=0,file_mode=0600,dir_mode=0700 0 0 0 0
在上面的示例中, //example.com/shares/acoder 是 Windows 服务器。
这是相关部分/etc/services
# grep -i NETBIOS /etc/services
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
还需要打开哪些其他端口才能安装cifs?
答案1
您还需要端口 445,并确保还允许传入的相关/已建立的流量。
grep 445 /etc/services
microsoft-ds 445/tcp # Microsoft Naked CIFS
microsoft-ds 445/udp