none
Запрет широковещательного трафика NetBios с одного из серверов средствами IPSec. RRS feed

  • Общие обсуждения

  • Имеем сервер под Win2003 SE SP2. Сервер в домене, но не контроллер (рядовой сервер).
    На нем крутится некое ПО, без которого нельзя, но которое активно гадит в сеть широковещательным трафиком.
    Это ПО "защищает лицензионность" одной из наших информационных систем.

    Соответственно имеем "некрасивые" логи ISA Server вроде:

    Denied Connection

    Log type: Firewall service
    Status: 
    Rule: Default rule
    Source: Internal (192.168.8.9:138)
    Destination: Local Host (192.168.8.255:138)
    Protocol: NetBios Datagram


    Есть идея зарубить широковещалку наружу с этого сервера средствами IPSec.
    Родными фильтрами (по сетевому подключению) такого сделать не представляется возможным.

    Были изучены материалы:
    http://technet.microsoft.com/en-us/library/bb490922.aspx
    http://support.microsoft.com/kb/813878/en-us
    http://support.microsoft.com/kb/813878
    http://www.windowsfaq.ru/content/view/141/57/

    Результата не дало никакого.

    Кстати есть повод пожаловаться на документацию от MS - куча несовпадений между различными документами по данному вопросу даже примерно от одной даты. Примеры, приведенные в статьях - не работают: в ipseccmd нет указываемых параметров (хотя ipseccmd скачен последний), netstat пишет насчет политик IPSec как просто Skipped (и просит использовать вместо этого netsh), в руководствах по применению ipseccmd часто путают с secpol (который имеет совсем другой синтаксис) и т.д.
    Отдельно стоит упомянуть недоразумение с поставкой самого ipseccmd - ТОЛЬКО в Support Tools к Windows XP... Типа для сервера он не нужен, а если нужен - извольте купить и воркстейшн, ибо по лицензионным соглашениям соотв. саппорт тулз можно только на него поставить...


    Ай да, кстати... С консольной командой решил связаться из принципа: пригодится для построения сценариев. Все же IPSec довольно удобная штука.

Все ответы

  • А вы точно определили, что именно ваше ПО дает широковещательный трафик? И каким образом определили? Вопрос такой потому что Protocol: NetBios Datagram это системный протокол. Скорее всего достаточно остановить службу "Computer Browser" и широковещательный трафик с/на порт 138 исчезнет.

    Модератор
  • Определили точно, тестили на виртуальной машине в песочнице и потом таки раскололи разрабов - те признались что есть такая проблема.
    Суть ПО такова: на том сервере крутятся 1С 7.7 базы одного из наших подразделений. Пользователи работают в терминалах. При запуске в каждом сеансе необходимо запустить еще один экземпляр "сервера защиты". Работает их там пара десятков человек = > широковещалка оттуда валит беспрерывно (на мониторах сети характерный зубцеобразный график похожий на кардиограму). При выходе всех пользователей из терминалов он исчезает, при уменьшении кол-ва пользователей в терминале он становится меньше, с меньшей амплитудой всплесков.

    Служба браузинга тут ни при чем совершенно.

    Вчера таки побороли, но не через командную строку, а через mmc.


    Но хотелось все же увидеть, как такое можно сделать через ipseccmd или netsh ipsec
  •  Allan Stark написано:
    Определили точно, тестили на виртуальной машине в песочнице и потом таки раскололи разрабов - те признались что есть такая проблема.
    Суть ПО такова: на том сервере крутятся 1С 7.7 базы одного из наших подразделений. Пользователи работают в терминалах. При запуске в каждом сеансе необходимо запустить еще один экземпляр "сервера защиты". Работает их там пара десятков человек = > широковещалка оттуда валит беспрерывно (на мониторах сети характерный зубцеобразный график похожий на кардиограму). При выходе всех пользователей из терминалов он исчезает, при уменьшении кол-ва пользователей в терминале он становится меньше, с меньшей амплитудой всплесков.

    Служба браузинга тут ни при чем совершенно.

    Вчера таки побороли, но не через командную строку, а через mmc.


    Но хотелось все же увидеть, как такое можно сделать через ipseccmd или netsh ipsec

     

    Если нужен экспорт то

     

    Code Snippet

    netsh ipsec static exportpolicy c:\temp\ipsec_policy.ipsec

     

     

     

    Импорт

     

     

    Code Snippet
    netsh ipsec static importpolicy c:\temp\ipsec_policy.ipsec

     

     

  • С импортом/экспортом понятно, но так оно создает просто дамп настроек.

    Мне нужна команда для ipsec или netsh ipsec с необходимыми параметрами.
    Причина - использование в скриптах либо для Server 2008 в консольном режиме.
  •  Allan Stark написано:
    С импортом/экспортом понятно, но так оно создает просто дамп настроек.

    Мне нужна команда для ipsec или netsh ipsec с необходимыми параметрами.
    Причина - использование в скриптах либо для Server 2008 в консольном режиме.

     

    "необходимы параметры" и дамп - это не одно и тоже ?

  • Нет, не одно и то же.
    Дамп - это двоичный RAW файл с настройками политик и правил.

    Параметры для командной строки для ipseccmd - это параметры вида:

    ipseccmd [\\ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}]
  •  Allan Stark написано:
    Нет, не одно и то же.
    Дамп - это двоичный RAW файл с настройками политик и правил.

    Параметры для командной строки для ipseccmd - это параметры вида:

    ipseccmd [\\ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}]

     

    а может ipsec policy для сервера через GPO сделать а не скриптами ?

  •  Allan Stark написано:
    С импортом/экспортом понятно, но так оно создает просто дамп настроек.

    Мне нужна команда для ipsec или netsh ipsec с необходимыми параметрами.
    Причина - использование в скриптах либо для Server 2008 в консольном режиме.

     

    Скрипт можно получить командой  netsh ipsec static dump

    Модератор