nabezo wiki

  http://www3.ocn.ne.jp/~koshino/winport.html

137番ポートがWindowsネットワークの通信プロトコルである「NetBIOS over TCP/IP(NBT)」の名前解決という機能で使われているからだ。名前解決は二つの方法で行なわれている。 一つの方法は、同一セグメント内に存在するパソコン同士がブロードキャストによって名前解決をする方法である。パソコンは起動時に、自分と同じNetBIOS名を使っているパソコンがほかにないかを、セグメント内に存在するすべてのパソコンに対して問い合わせる。それを受信した各パソコンは、もし自分が同じNetBIOS名を使っていたら、その旨を知らせるパケットを送る。これらの通信が137番ポートで行なわれる。 もう一つは、WINS(Windows Internet Name Service)による名前解決である。WINSサーバと呼ばれるパソコンが、IPアドレスとNetBIOS名の対応表を持っている。WINSクライアントは、システム起動時に自分のNetBIOS名とIPアドレスをWINSサーバに送信する。他のパソコンと通信するときは、WINSサーバに対してNetBIOS名を送り、IPアドレスを問い合わせる。ここでも137番ポートが使われる。 以上のように、ＮＢＴを使っていればユーザは気づかないうちに、パソコン自身が自分の詳しい情報を周囲にばらまいているのである。

138番ポートは、NetBIOSのブラウジングという機能を提供している。これは、ネットワークに接続するパソコンの一覧を表示する機能である。例えばWindows98では「ネットワークコンピュータ」から「ネットワーク全体」を選ぶと、ネットワークに接続しているパソコンが一覧表示される。 ブラウジングでは、マスタ・ブラウザと呼ばれるパソコンがネットワークに接続しているパソコンの一覧表であるブラウズ・リストを管理している。各パソコンは、起動時またはネットワーク接続時に、自分のNetBIOS名を138番ポートでブロードキャストする。これを受け取ったマスタ・ブラウザは、そのパソコンをブラウザ・リストに追加する。一覧表示したいときは、一覧表示要求をブロードキャストする。要求を受け取ったマスタ・ブラウザはブラウズ・リストを送る。パソコンをシャットダウンする際には、その旨をマスタ・ブラウザに通知し、リストから削除させる。これらの情報のやり取りに138番ポートが使われている。

NBT（NetBIOS over TCP/IP）のNETBIOS Name Serviceコマンド（UDPのポート137番） では、UDPのブロードキャスト通信を利用している。 NetBIOSでは、通信相手を探すためにこの NETBIOS Name Serviceコマンドを ブロードキャスト送信しているが、最終的にこれが、 UDPのブロードキャスト通信としてネットワーク上に送信されている。 ブロードキャストなので、送信先IPアドレスは 「192.168.0.255（192.168.0.0/24におけるブロードキャスト・アドレス）」 、送信先 MACアドレスは「FF-FF-FF-FF-FF-FF

（MACアドレスにおけるブロードキャスト・アドレス）」となっている。

用途 プロトコル／ポート ファイル共有 UDP 137 (netbios名前解決)

           UDP 138 (netbiosﾌﾞﾗｳｼﾞﾝｸﾞ)
           TCP 139 (ﾌｧｲﾙ/ﾌﾟﾘﾝﾀ共有)	
           TCP 445

リモート管理共有 TCP 135

               TCP 445（ファイル共有と同じ）

↑

  http://support.microsoft.com/kb/154596/ja

上記作業で任意のポート範囲とタイプを指定後 135、および設定したポートのTCP/UDPを許可

RPC に関する以下のパラメータは、レジストリ エディタを使用して変更することができます。以下に説明する RPC ポートに関連する値はすべて、レジストリ内の次のキーにあります。

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type

Ports (REG_MULTI_SZ)

インターネットから使用できるすべてのポートを含む IP ポートの範囲、またはインターネットから使用できないすべてのポートを含む IP ポートの範囲を指定します。 単一のポート (“5984” など) またはポートの範囲 (“5000 ～ 5100” など) を文字列で指定します。 指定した文字列の表す数字が 0 ～ 65535 の範囲にない場合、または解釈できない文字列がある場合、RPC ランタイムにより、構成全体が無効なものとして処理されます。

PortsInternetAvailable? (REG_SZ) : Y または N (大文字小文字は区別されません)

Y の場合、Ports キーで指定したポートは、そのコンピュータ上でインターネットから使用できるすべてのポートを示します。 N の場合、Ports キーで指定したポートは、インターネットから使用できないすべてのポートを示します。

UseInternetPorts? (REG_SZ) : Y または N (大文字小文字は区別されません)

システムのデフォルトのポリシーを指定します。 Y の場合、デフォルト値を使用するプロセスには、事前の定義に従って、インターネットから使用できるポートのセットからポートが割り当てられます。 N の場合、デフォルト値を使用するプロセスには、イントラネット専用ポートのセットからポートが割り当てられます。

以下に例を示します。

1:以下のキーに Internet キーを追加します。

 HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

2:Internet キーの下に、Ports 値 (REG_MULTI_SZ)、PortsInternetAvailable 値 (REG_SZ)、および UseInternetPorts 値 (REG_SZ) を追加します。

 次の例で、ポート 5000 ～ 5100 は、新しいレジストリ キーがどのように設定されるかを示すために任意に選択されています。
 たとえば、新しいレジストリ キーは次のように表示されます。
 Ports (REG_MULTI_SZ) : 5000-5100
 PortsInternetAvailable (REG_SZ) : Y
 UseInternetPorts (REG_SZ) : Y

3:サーバーを再起動すると、RPC の動的ポート割り当てを使用するすべてのアプリケーションが、5000 ～ 5100 の範囲のポートを使用するようになります。

ほとんどの環境では、これらの RPC ポートに依存して相互に通信するシステム サービスが複数あるため、少なくとも 100 のポートを開く必要があります。 

開くポートの範囲には、5000 番より上のポートを指定します。5000 番より下のポート番号は、他のアプリケーションによって既に使用されている場合があり、DCOM アプリケーションとの競合を引き起こす可能性があります。また、これらの RPC ポートに依存して相互に通信するシステム サービスが複数あるため、少なくとも 100 のポートを開く必要があることが経験上わかっています。 ↑

“Windows ファイアウォール”

- 1.[グループポリシー]（gpedit.msc）より、[ローカル コンピュータ ポリシー]-[コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windows ファイアウォール]を順に展開。

- 2.WORKGROUP環境の場合は[標準プロファイル]、ドメイン環境の場合は[ドメインプロファイル]を選択。

- 3.[Windows ファイアウォール: リモート管理の例外を許可する]を右クリックし、[プロパティ]を選択。

- 4.[有効]を選択し、[OK]ボタンをクリック。 ↑

“セキュリティが強化された Windows ファイアウォール”

1.[管理ツール]-[セキュリティが強化された Windows ファイアウォール]-[受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。

Windows Management Instrumentation (DCOM 受信) Windows Management Instrumentation (WMI 受信)

2.操作の[接続を許可する]を選択して、[OK]ボタンをクリック

ファイアーウォールは例ですが、この方法では制御できないでしょうか? かなり時間が経過していますが、一助になれば幸いです。