Windows funkce portproxy Windows 2016

mart1

Windows funkce portproxy Windows 2016
« kdy: 26. 10. 2019, 20:38:51 »
Ahoj,

Řeším celkem triviální věc jenž se dá normálně v linux vyřešit za pár okamžiků. Tady se z nefunkčností pleskám už půl dne. A začínám mít pocit že to co šlo ještě v pravěku na XP používat je tady nějak "rozbité" nebo opravené těžko soudit.

Potřebuji skrz notebook (PC1)  W10 na kterém nemám žádná práva jen namapovaný SMB na  PC W2016 (PC2)  zde můžu ovlivnit Admina  potřebuji přistupovat na SMB na freenas (PC3)  PC1 na PC3 nevidí, je to jiná síť a není reálná žádná forma VPN / povolení portů atd...

Myslel jsem že na PC2 (vidí na něj PC1 a a PC3 ) udělám port proxy a celou tu SAMBU na PC2 budu provozovat jen popohozením portů na PC3 (freenas)
představa byla " netsh interface portproxy add v4tov4 listenport=445 listenaddress=w.x.y.z connectport=445 connectaddress=z.y.x.w protocol tcp  to stejné s portem 139. 

Bohužel to co u pravěkých XP a Win7 celkem spolehlivě fungovalo tak na Win2016 se tvrdošijně brání.

Nenapadá vás případně řešení nějaké jiné ?  Podotýkám že  firewallem nehnu a povolení jakéhokoliv jiného portu je ze strany admina naprosto nereálné. 

Ještě pro představu jak to je zapojené a jde opravdu o to aby se PC1 tvářilo že se připojuje přímo do SMB na PC3 na přímo
PC1  port 139 a 445 ----> PC2 port 139 a 445 -----> PC3

Děkuji za jakékoliv rady.


tecka

  • ***
  • 138
    • Zobrazit profil
    • E-mail
Re:Windows funkce portproxy Windows 2016
« Odpověď #1 kdy: 26. 10. 2019, 21:12:04 »
Máš na PC vypnuté SMB, aby ty porty byly volné? Neběhá ti jen SMB, nebo to neforwarduje vůbec?

tecka

  • ***
  • 138
    • Zobrazit profil
    • E-mail
Re:Windows funkce portproxy Windows 2016
« Odpověď #2 kdy: 26. 10. 2019, 21:12:35 »
Máš na PC vypnuté SMB, aby ty porty byly volné? Neběhá ti jen SMB, nebo to neforwarduje vůbec?
na PC2

mart1

Re:Windows funkce portproxy Windows 2016
« Odpověď #3 kdy: 26. 10. 2019, 23:12:52 »
Mělo by to být vypnuté. Dle tohoto postupu skrze ps

"https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server"

Teď ovšem koukám že port 445 na pc2 je  s pc1 telnet dostupný stále i bez nastaveného "portproxy" 139ka ne.

"Forward" portproxy na jiné porty nemám jak otestovat. Jiné porty krom 139 a 445 tam nejsou povolené firewallem po cestě. Ale, fungovalo to i předtím jediné co se měnilo bylo PC2 za o dekádu novější pixlu. Asi budu muset někde nasimulovat variantu co když bude smb dostupná i na pc2. Sice je to vypnuté , ale žil jsem v tom že to port rovnou popohodí dál a PC2 to dále neřeší.

Re:Windows funkce portproxy Windows 2016
« Odpověď #4 kdy: 26. 10. 2019, 23:52:11 »
Tím "podle postupu" myslíš tohle: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Pokud ano, tak to funguje jen do 2008R2/Win7, od 2012R2/Win8.1 dál se SMBv1 musí nainstalovat/odinstalovat jako feature. To by mělo/mohlo zlikvidovat port 139, ale jestli se z 2016 dá odstranit SMBv2/v3, to nevím.
To Disable-WindowsOptionalFeature v 2012R2 nic nedělá (tedy, nezruší protokol SMBv1).


mart1

Re:Windows funkce portproxy Windows 2016
« Odpověď #5 kdy: 27. 10. 2019, 00:07:44 »
Původně jsem myslel že se to rovná tomu že je to vypnuté. 

Naslouchání na portu 445 lze zlikvidovat takto, aby se služba lanmanserver po rebootu opět nepouštěla.

" $netBTParametersPath = "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters"
    IF(Test-Path -Path $netBTParametersPath) {
        Set-ItemProperty -Path $netBTParametersPath -Name "SMBDeviceEnabled" -Value 0
    }
    Set-Service lanmanserver -StartupType Disabled
    Stop-Service lanmanserver -Force "


ALe to bohužel nefunguje úplně stejně.

Simuluji to teď na Win10 a tam to funguje i když je ten port dostupný rsp. to PC2 v tomto případě v dělá Win10  kde je pro všechny uživatele sdílená složka. V momentě když udělám portproxy na QNAP (PC2 na PC3)  tak nemusím žádné sdílení ukončovat a rovnou je dostupné vše na PC3.

 

mart1

Re:Windows funkce portproxy Windows 2016
« Odpověď #6 kdy: 30. 10. 2019, 20:44:06 »
Vyřešeno :) ... problém v AD nějaké pravidla propadla i tam kam neměla. Vyhození  mimo doménu to okamžitě jde. Jinak takový poznatek při testu na W2019 mimo doménu není třeba vypínat dostupnost SMB na portu 445. V doméně ta nutnost je.  Třeba to někomu pomůže až bude řešit.