摩托學園討論區

[kahn]

為什麼在 nat 下的 client 會發現這個:
封鎖 NetBIOS 資料流 *NetBIOS 66.216.x.x NETBIOS_NS 上行 UDP
但小弟的linux 防火牆只對外開放ssh ,並且使用遠端的nmap 來掃過,怎會這樣呢?

[Tetralet]

可否請教您是怎麼發現的呢？

[kahn]

win98 中的防火牆中顯示的

[Tetralet]

首先，NETBIOS_NS 的 UDP 是 MS Windows 的特色，
所以我們可以先假設這個封包是由 MS Windows 的機器或是 Samba Server 所發出來的。

接下來，您的問題是說：這個封包越過防火牆跑到外面去了，是嗎？

[kahn]

是呀! 雖然server 上有裝 samba ,但nat server 這邊並沒有開放,外面的ip確有法連進來,如此的話實在很讓人擔心.

[d2207197]

是呀! 雖然server 上有裝 samba ,但nat server 這邊並沒有開放,外面的ip確有法連進來,如此的話實在很讓人擔心.

你是不是只鎖 filter 的 INPUT or OUTPUT
而沒有控管 nat 或 filter 的 FORWARD

鎖了 filte，用 nmap 掃你這台主機當然不會出現問題囉
但是你主機後面的電腦，卻和 filter 的 INPUT & OUTPUT 沒有關係

請看鳥哥網站的圖片

[Tetralet]

是呀! 雖然server 上有裝 samba ,但nat server 這邊並沒有開放,外面的ip確有法連進來,如此的話實在很讓人擔心.

實在有趣！

比如說，NAT 內部的 IP 是 192.168.1.0/24，
而 Server 並沒有做 Port Mapping 的動作，
那麼這個封包怎麼流進來的呢？

也就是說，
就算這台 NAT Server 開放了所有對內、對外連線，
對於在外流竄的 UTP 封包，
它會把它往 NAT 內部傳遞嗎？

比如說，在您防火牆外部有一台 MS Windows 機器，
它會定時向 255.255.255.255 傳遞 137 Port 的 UDP 封包，
那麼您的 NAT Server 看到這種封包會往內部網路丟嗎？


還有，
試試看：

代碼: 選擇全部

iptables -P FORWARD DROP

之後會不會再看到這種封包呢？


順便查一下，來源的主機是？？
和您的 NAT Server 是在同一個 IP 網段之內的嗎？

[kahn]

來源的主機跟小弟的hinet 是不同網段的,而且來源主機不止一個.只要上了這個web http://scan.sygate.com/quickscan.html 就會出現.
本來懷疑是client 的os 中毒,但是重灌後還是會有.
要是 FORWARD chain 沒作管控,那外面中毒的主機會感染 nat 下的client 嗎?

[d2207197]

透過 nat 以後...就已經是不同網域了
不同網域能不能互相感染...那就要看是什麼病毒了