SMBファイルサーバを収容するProxmoxノードのファイアウォールログに、SMBではなくhttp(80/tcp)やhttps(443/tcp)アクセスを試行するWindows PCが検知されました。これは何らかの理由でSMB接続が確立できなかった場合に、他の手段を試みるのだとか。
ログに挙がる80・443/tcpアクセス
Proxmox VEノードのファイアウォールログ眺めていると、収納しているLinuxベースのSMBファイルサーバ(TrueNAS SCALE)に対する、 80/tcp や 443/tcp ポートへのアクセス拒否が挙がっていました。
図1.PVE Firewall Log
このサーバがこのIPアドレスで提供するのはSMBのみで、WebDAVの類は一切なし。さらに、TrueNAS SCALE管理用インターフェイスのIPアドレスとも異なり、Windows PCクライアントは誰も管理用IPアドレスを知りません。
Network Provider Orderの振る舞い
調べてみると、同じような疑問をフォーラムに投げかけている方のスレッドを見つけました。
曰く、Windowsはリモートホストへアクセスする際、複数のプロトコルを試行し、その試行順がNetwork Provider Orderなのだそう。
Network Provider Orderはコントロールパネルを次の遷移で進むか、直接、 ncpa.cpl を実行すると開くネットワークアダプタ一覧ウィンドウから確認します。
|
1 |
Control Panel >> Netowrk & Internet >> Network Connections |
ただ、最近のWindowsではメニューバーが見当たらないので、そのような場合はAltキーを押すと現れるメニューバーかプルダウンメニューから、 Advanced >> Advanced Settings でようやくProvider Orderを確認することができます。
図2.Network Provider Order
項目や順序はWindowsのバージョンや設定、環境によって異なりますが、上図下方のMicrosoft Windows NetworkがSMB、最下段のWeb Client NetwokがWebDAVです。
Windowsクライアントはこの順序に沿って接続を試行するので、上述のWebDAV試行が発生したということは、その上位のSMB接続が何らかの理由により不調に終わったことを意味するようです(パスワード忘れた?などなど)。
不正アクセスというより、トラブルの兆しといったところでしょうか。
