Bonjour,
 
En analysant le trafic sur un réseau de test chez moi (des serveurs windows 2000, des clients XP, un arbre active directory comportant un domaine et deux sous domaines, 2 vlans avec les clients sur un vlan séparé des serveurs, un routeur cisco) j'ai remarqué qu'à quelques très rares occasions, un paquet tcp allait d'un port > 1024 sur un serveur vers le port 139 d'un client XP, alors le trajet habituel est l'inverse. Quelqu'un peut-il m'expliquer à quoi cela correspond et si je peux le filtrer sur mon routeur sans planter mon réseau?
Merci.
 
a+

rajoute une ACL sur le routeur cisco.

Oui, en effet, c'est probablement ce qu'on va faire. Mais la politique ici d'isoler autant que possible les vlans et donc d'ouvrir le moins possible (ce n'est pas moi qui définis la politique de sécurité et je n'ai pas le contrôle absolu des ACL...). Ouvrir le 139 vers les serveurs, ça c'est OK mais le 139 vers les clients, ça me paraît louche (et ça paraît encore plus louche à ceux qui gèrent le routeur), et pour pouvoir le justifier, il faut que je puisse dire si c'est vraiment nécessaire et si oui, à quoi ça correspond.
Merci.

Si le port 139 est ouvert, c'est sans doute dû à l'utilisation de la commande ip helper-address

heu...finalement, j'ai un doute, je ne crois pas que le port 139 soit ouvert par cette command (les 137 et 138 oui)

Ouaip, en effet, c'est par défaut les 137 et 138. Je ne sais même pas si on utilise les ip helper-addresses ici :-/ D'ailleurs, je ne connaissais même pas cette fonction, mais je dois bien avouer que je ne suis pas un guru cisco ;-) Par contre, j'aime bien la description sur cette page : http://www.routergod.com/trinity/  :-)
Je vais me renseigner pour savoir si ça peut venir de là...
Merci pour ton aide, kill9 :-)

super lol le lien