Исходящий трафик с портами 137, 138, 139, 445.

Sert Sert

Здравствуйте. Я уже отошел от этой идеи, заранее знал что идея плохая, но нужно было сделать как можно проще на короткий период времени. Проще не получилось, но и задача немного поменялась. Сейчас настроил через VPN.
Не подкинете, случайно, годную свежую ссылку на полный мануал по настройке туннеля pf - pf?

werter

https://www.netgate.com/docs/pfsense/book/

Sert Sert

На странице OpenVPN - NAT написано что он не подходит для сетевых папок.

Note

Utilizing NAT will work for many protocols but some that are commonly desirable across VPN connections, primarily SMB/CIFS file sharing between Windows hosts, will not function in combination with NAT. If a protocol is used that is not capable of functioning with NAT, this is not a viable solution.

pigbrother

Кстати, по поводу открытых наружу портов SMB:

https://habr.com/company/jetinfosystems/blog/426463

Аналогичный эффект будет при клике на нехорошем сайте на картинку с
URL вида
\\HOST\kotik.jpg

Паранойя, возможно. Но резон подумать - есть.

werter

@pigbrother
С языка сняли )
Зы. Ссылку поправьте. Из почты. Сам подписан на новости с хабра )

Зы2. Новость по ссылке как раз для тех, кто все еще кипятит использует правило на ЛАН, к-ое разрешает всем всё и по всем протоколам.
Повторюсь, что на данный момент для 90% потребностей пол-лей хватает только 80\443 TCP.
Плюс DNS и NTP принудительно завернуты на лок. адрес pf.

werter

@sert-sert said in Исходящий трафик с портами 137, 138, 139, 445.:

На странице OpenVPN - NAT написано что он не подходит для сетевых папок.

Note

Utilizing NAT will work for many protocols but some that are commonly desirable across VPN connections, primarily SMB/CIFS file sharing between Windows hosts, will not function in combination with NAT. If a protocol is used that is not capable of functioning with NAT, this is not a viable solution.

Пробовали? У меня работает. Правда nat мне в туннеле не требуется - в филиалах, как и положено, сети с разной адресацией.

Зы. В настройках впн есть пункт Enable NetBios или как-то так. Попробуйте.
Зы2. И почему Исходящий трафик с портами 137, 138, 139, 44 ? Исходящий будет с любого в диапазоне 1024-65535, а вот обращаться будете к удаленному ресурсу именно по тем портам, к-ые вам нужны.

pigbrother

@werter said in Исходящий трафик с портами 137, 138, 139, 445.:

Пробовали? У меня работает. Правда nat мне в туннеле не требуется - в филиалах, как и положено, сети с разной адресацией.

Тоже работает. И тоже без NAT.

@werter said in Исходящий трафик с портами 137, 138, 139, 445.:

В настройках впн есть пункт Enable NetBios или как-то так. Попробуйте.

У меня работает, что с Enable NetBios , что без него.