Данные рекомендации описывают ручную настройку Брандмауэра Windows на Сервере управления для предотвращения возникновения возможных проблем в канале связи между клиентами и Сервером управления, а также при администрировании через удаленную консоль управления. В частности, дополнительные настройки могут потребоваться для следующих типов трафика:

1.    Отдельные пакеты нотификаций между Сервером управления и клиентом управления, служат для отслеживания присутствия клиента управления в сети и посылке ему сообщения о наличии на Сервере новых обновлений.

По умолчанию:

UPServer    <==>  UPClient

UDP 43010 <==> UDP 43011

Номера портов могут быть изменены администратором через конфигурационные файлы Сервера управления или клиента.

2.    FTP-сессии для скачивания обновлений клиентом управления с Сервера управления. По умолчанию используется пассивный режим - дополнительный порт для скачивания данных открывается на стороне Сервера:

UPServer                <==>   UPClient

TCP 21                   <==>    any

TCP 44010-45010   <==>    any

В активном режиме дополнительный порт открывается на стороне клиента. На Сервере управления, в свою очередь, необходимо открыть порт TCP 20 для исходящего трафика.

Внимание: Использование активного режима FTP-сессии не рекомендовано.

Примечание 1

Для корректной работы произведённых настроек требуется задать диапазон используемых портов (44010-45010) для пассивного режима в настройках ПО FileZilla Server (см. Пример создания правила для Брандмауэра Windows Server 2016).

 

3.    Посылка сообщений аудита на клиенте управления под ОС Windows по умолчанию происходит на адрес 127.0.0.1 - протокол TCP, порт 514.

4.    Удаленная консоль управления соединяется с Сервером управления по IP-адресу Сервера управления по протоколам: HTTPS на порт 35558, или HTTP на порт 35557.

5.    Удаленный web-браузер может получать статистику с Сервера управления по IP-адресу Сервера управления по протоколу HTTPS на порт 8443.

Таким образом, в настройках брандмауэра требуется прописать правила, открывающие следующие порты:

•      Для входящего трафика:

•      UDP 43010 (удалённый порт 43011) - трафик уведомлений;

•      TCP 21 (удалённый порт любой) - FTP-трафик для скачивания обновлений;

•      TCP в диапазоне 44010-45010 (пассивный режим) - FTP-трафик для скачивания обновлений.

•      HTTPS 35558 / HTTP 35557 - связь с удаленной консолью управления;

•      HTTP 8443 - получение статистики посредством удаленного web-браузера.

•      Для исходящего трафика:

•      UDP 43011 (удалённый порт 43010) - трафик уведомлений;

•      TCP 20 (удалённый порт любой) (активный режим) - только при выключении режима по умолчанию (пассивного).

Примечание 2

Для корректного получения протоколируемых событий от клиентов под ОС Windows на компьютере с установленным Клиентом управления должен быть открыт порт TCP 514 для 127.0.0.1.

Если вместо Брандмауэра Windows используется другой персональный firewall, в нем следует вручную внести настройки, аналогичные описываемым в этом разделе.

Ниже рассмотрим пример настройки Брандмауэра Windows для ОС Windows Server 2016.