如何在win2k中禁止25和110port？

显示全部楼层 · 2005-10-30 17:05:33

我有2个机子都装了win2000server并做了安全配置，然后，我就用nmap对扫，扫描的结果，每个win2000server的机子都有3个port是打开的。只有25 、80、110ports是opened，说明一下80port我是故意要打开的。我是只想开放一个port80，可现在不管我怎么做就是不能禁止25110port，我曾在win2kserver中TCP/IP的ipfilter做过only open80但还是不行，一扫描还是会有25 110port opened。同时我也在机子上安装过一个blackice的firewall同时也做过禁止25 80port，可是还是不行。始终一扫描，25 110port就是打开的。
我测试的环境：
两个独立的机子都有一个ADSL（2M）各自上网，都用nmap对扫对方的动态IP（internet分配的IP）。系统都是windows2000server并打完全部的补丁，做了很多的安全配置。关闭了很多的 service。在各自的机子上没有安装任何其它的软件（除ADSL的驱动）
系统自带的outlook express。
请问我为了实现only 80,应该怎么做到禁止25 110port？或则是否我要把outlook express从win2kserver系统卸载或删除掉就可以禁止25 110port呢？如何要把outlook express从win2kserver系统卸载或删除那又该如何卸载和删除呢？如何不按上面的做，是要在firewall上做设置又怎么做呢？如何不在firewall上做设置，在系统本身做设置的话，那又该怎么做呢？
请指点！

千问 · 2005-10-30 17:05:33

試試更改 /winnt/system32/drivers/etc/services 這個檔,把25與110 port remark起來

千问 · 2005-10-30 17:05:33

阁下的意思是用记事本打开/winnt/system32/drivers/etc/services 這個檔，然后我把里面的25 110port删除了还是怎么说，我不大理解remark的意思,我对remark的理解是:重标记的意思。
请阁下赐教！

千问 · 2005-10-30 17:05:33

你在自己的机子上扫描的话，有的防火墙是不起作用的，比如天网防火墙，如果我自己扫自己的话，天网根本就没有任何反应。你要从其他的机子上扫描机子，这样你会发现被天网给拦截了，不过如果是诺顿的话就会好多了。

千问 · 2005-10-30 17:05:33

25是SMTP的服务端口，110是POP3的服务端口，你的服务器是邮件服务器？
禁用25，110端口，仅需停用这些服务即可，如net stop smtpsvc，则停用25端口。
若想仅对内部开放25,110端口，对外不开放，且不用防火墙，则用Ipsec去配置规则。

千问 · 2005-10-30 17:05:33

斑竹好，服务器不是邮件服务器，而是web服务器，所以我只想开放一个80port，。恩，你说的
能不能不用在命令提示符下输入：net stop smtpsvc这命令。而直接像在计算机管理中服务中一样禁止启动某种service，如：远程注册表那种我只按右键点stop再点disable的那种啊？还有在win2k中能不能删除outlook express啊？如果可以的话又怎么删除呢？

千问 · 2005-10-30 17:05:33

这位仁兄在安装过程中肯定是用了默认安装IIS服务，如果单WEB，请只选www服务

千问 · 2005-10-30 17:05:33

pengjie 你好，我在补充一下我系统上IIS5.0的设置情况。我在安装过程中我是这样安装的，只安装了下面几个组件因为我只想开80port：internet service manager、world wide web serverand common file。安装后我又做了下面的改动，删除了默认的web document 及%system%/intpub整个目录下的全部文档，带宽是强制性的1024KB/S
强制性CPU 10% 另建了一个web site 。logfile不在默认的路径。删除了很多默认的映射，只留下了3个映射：*.cer *.cdx *.asa。其它的暂时为默认设置。

千问 · 2005-10-30 17:05:33

怎么强制性CPU 10％？？

千问 · 2005-10-30 17:05:33

在你建立的web site propreties中有设置啊