web-dev-qa-db-ja.com

ファイルとプリンターの共有をインターネットに開く方法は?

1998年にNT3.51でファイルとプリンターの共有をインターネットに公開しようとしましたが、実際には機能しませんでした。

ファイルとプリンターの共有をインターネットで利用できるようにするためにポート転送する必要があるIPポートとプロトコルはありますか?

読み取り KB298804-インターネットファイアウォールはブラウジングとファイル共有を防ぐことができます 、2つのポート範囲があることを示しています:

  • Microsoftファイル共有SMB:ポート135-139(TCPおよびUDP)
  • 直接ホストSMB NetBIOSなしのトラフィック:ポート445(TCPおよびUPD)

これまでの試みを試してください

ルーターでこれらのポート範囲を開き、デスクトップマシンにNATを適用しましたが、外部からアクセスできません。

alt text

LAN上の他のマシンcan共有にアクセスします。

ルーターでのパケットキャプチャは、トラフィックがホームマシンに到達していることを示しています。私の作業マシンは(NetBIOSなしで)直接接続しようとしています。次に、pingを実行し、他のポートを必死に試し続けます。

IP/TCP   69.59.196.211:445 <== 216.8.139.6:59763  tcp 0
IP/ICMP  69.59.196.211     <== 216.8.139.6        ICMP echo request    
IP/ICMP  69.59.196.211     ==> 216.8.139.6        ICMP echo reply
IP/TCP   69.59.196.211:139 <== 216.8.139.6:59764  tcp 0
IP/TCP   69.59.196.211:445 <== 216.8.139.6:59763  tcp 0
IP/TCP   69.59.196.211:139 <== 216.8.139.6:59764  tcp 0
IP/TCP   69.59.196.211:445 <== 216.8.139.6:59763  tcp 0
IP/TCP   69.59.196.211:139 <== 216.8.139.6:59764  tcp 0

次に、Windowsファイアウォールを完全に無効にして、それが原因かどうかを確認しました。

alt text

そして、ファイアウォールを無効にすることは完全に機能しました。

では、Windowsファイアウォールのどの設定で、ローカルネットワークだけでなく、すべてのネットワークからのファイルとプリンターの共有が可能になりますか?

私はすべてのルールをリストしているページに出くわしました。ポート445トラフィックは、ローカルサブネットからのみ許可されます。 likeAnyに変更したいのですが、ルールは編集可能に見えません。

alt text

したがって、問題は、ローカルサブネットだけでなく、任意のリモートアドレスからのポート445トラフィックを許可する方法になります。


回答

ダイレクトホストSMBトラフィックを有効にして、任意のリモートホストからのトラフィックを許可できる場所を見つけました(デフォルトではローカルサブネットに制限されています):

alt text

重要なポイントは次のとおりです。

  • 着信ルール
  • ファイルとプリンターの共有(SMB-in)(プライベートプロファイル)
  • 範囲。 リモートアドレス:任意

「ファイルとプリンタの共有(SMB-in)」と呼ばれる複数のルールがあります。

  • ファイルとプリンターの共有(SMB-in)(プライベートプロファイル)
  • ファイルとプリンターの共有(SMB-in)(パブリックプロファイル)
  • ファイルとプリンターの共有(SMB-in)(ドメインプロファイル)

これらのプロファイルは、選択したネットワークの場所に対応しています。

  • ホーム==>プライベートプロファイル
  • 仕事==>プライベートプロフィール
  • パブリック==>パブリックプロファイル

ドメインに参加した場合、プロファイルはドメイン管理者を通じて構成されます

  • ドメイン==>ドメインプロファイル

自己学習者。自分のマシンのファイル共有をインターネットに公開したい人のためのガイドがここにあります(そうです)。

6
Ian Boyd

ここで私のマシンを見るだけで(残念ながらXP確かに同じではありません)、ファイアウォール設定の[例外]タブに移動し、[ファイルとプリンターの共有]エントリを編集すると、 「スコープの変更」オプション。これにより、次の3つのオプションが表示されます。

  • 任意のコンピューター(インターネット上のコンピューターを含む)
  • 私のネットワーク(サブネット)のみ
  • カスタムリスト

ファイルとプリンターの共有エントリを編集するときに、言及したポート範囲がすべてリストに存在し、それらのスコープがすべて[任意]に設定されていることを確認できますか?

更新:コントロールパネルのファイアウォールホームページの左側の列から[詳細設定]をクリックして[セキュリティが強化されたWindowsファイアウォール]に移動すると、問題のルールを見つけて、そこからスコープを編集します。

更新2:新しいスクリーンショットを見たばかりですが、他のタブからルールを変更することはできませんか?それらは両方とも潜在的に有用に聞こえます!

2
BenA

ポート135、139、および445をインターネットに開くことは、私が今まで見た中で最大のセキュリティの脆弱性です。 SMBサービスは非常に脆弱であり、ハッカーがすぐに侵入してマシン上でやりたいことを実行できるようにするエクスプロイトがいくつかあります。インターネットで共有するには、FTPまたはSSHを使用することをお勧めします。

5
Robert Murphy