Данные рекомендации описывают ручную настройку Брандмауэра Windows на Сервере управления для предотвращения возникновения возможных проблем в канале связи между клиентами и Сервером управления, а также при администрировании через удаленную консоль управления. В частности, дополнительные настройки могут потребоваться для следующих типов трафика:
1. Отдельные пакеты нотификаций между Сервером управления и клиентом управления, служат для отслеживания присутствия клиента управления в сети и посылке ему сообщения о наличии на Сервере новых обновлений.
По умолчанию:
UPServer <==> UPClient
UDP 43010 <==> UDP 43011
Номера портов могут быть изменены администратором через конфигурационные файлы Сервера управления или клиента.
2. FTP-сессии для скачивания обновлений клиентом управления с Сервера управления. По умолчанию используется пассивный режим – дополнительный порт для скачивания данных открывается на стороне Сервера:
UPServer <==> UPClient
TCP 21 <==> any
TCP 44010-45010 <==> any
В активном режиме дополнительный порт открывается на стороне клиента. На Сервере управления, в свою очередь, необходимо открыть порт TCP 20 для исходящего трафика. Внимание: Использование активного режима FTP-сессии не рекомендовано.
3. Посылка сообщений аудита на клиенте управления под ОС Windows по умолчанию происходит на адрес 127.0.0.1 – протокол TCP, порт 514.
4. Удаленная консоль управления соединяется с Сервером управления по IP-адресу Сервера управления по протоколам: HTTPS на порт 35558, или HTTP на порт 35557.
5. Удаленный web-браузер может получать статистику с Сервера управления по IP-адресу Сервера управления по протоколу HTTPS на порт 8443.
Таким образом, в настройках брандмауэра требуется пописать правила, открывающие следующие порты:
• Для входящего трафика:
• UDP 43010 (удалённый порт 43011) – трафик уведомлений;
• TCP 21 (удалённый порт любой) – FTP-трафик для скачивания обновлений;
• TCP в диапазоне 44010-45010 (пассивный режим) - FTP-трафик для скачивания обновлений.
• HTTPS 35558 / HTTP 35557 – связь с удаленной консолью управления;
• HTTP 8443 – получение статистики посредством удаленного web-браузера.
• Для исходящего трафика:
• UDP 43011 (удалённый порт 43010) - трафик уведомлений;
• TCP 20 (удалённый порт любой) (активный режим) – только при выключении режима по умолчанию (пассивного).
Примечание 1 |
Также, для корректного получения протоколируемых событий от клиентов под ОС Windows на компьютере с установленным upagent должен быть открыт порт TCP 514 для 127.0.0.1. |
Примечание 2 |
Для корректной работы произведённых настроек требуется отметить диапазон используемых портов (44010-45010) для пассивного режима в настройках FileZilla Server. |
Если вместо Брандмауэра Windows используется другой персональный firewall, в нем следует вручную внести настройки, аналогичные описываемым в этом разделе.
Ниже рассмотрим пример настройки Брандмауэра Windows для ОС Windows Server 2016.