Серверная часть, установка по сети и Firewall
#1
Geschrieben: 31 Juli 2012 - 15:45
Вопрос/задача. Есть сервер (контроллер домена), на котором установлен центр управления Dr.Web Enterprise Suit 6. Необходимо с помощью брандмауэра закрыть все исходящие порты таким образом, чтобы функционировала установка по сети.
Исходные данные:
- если закрыть совсем все порты - ясно, что установка по сети больше не работает (если открыть TCP порты для профиля "Домен" - установка работает. Значит, достаточно открыть только TCP сторону);
- пробовал открывать такие порты (согласно http://st.drweb.com/static/new-www/news/2011/drweb-rn-es-602-html-ru/drweb_enterprise_suite_releasenotes.htm):
TCP 2193, 2371;
TCP 23 (NetBIOS);
TCP 2372;
TCP 139, 445.
Не помогло.
Ошибка:
Ошибка установки Проверка доступности сетевых ресурсов на удаленной машине (2) Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?
#2
Geschrieben: 31 Juli 2012 - 15:53
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#3
Geschrieben: 31 Juli 2012 - 16:04
На контроллере домена необходимо закрыть все порты, кроме тех, которые необходимы для работы самого контроллера и Dr.Web. С портами для входящих соединений я разобрался, все работает. А вот когда закрываю все порты наружу, и пытаюсь открыть только те порты, что необходимы для работы установщика Dr.Web с сервера, так не выходит найти те (тот), из-за которого возникает ошибка установки.Не понял в контексте топика фразы "закрыть все исходящие порты".
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.
#4
Geschrieben: 31 Juli 2012 - 17:46
Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.Ошибка установки
Проверка доступности сетевых ресурсов на удаленной машине (2)
Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?
P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.
P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.
#5
Geschrieben: 01 August 2012 - 10:28
1) Дело в том, что на рабочих станциях уже всех стоит, и все работает. Вариант с развертыванием необходим только для того случая, если вдруг придется доставить или , что маловероятно, переустановить клиент.Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.
P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.
P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.
2) Ошибка возникает не от того, что Firewall закрыт на рабочей станции, а от того, что закрыт на сервере. Если разрешить на сервере все исходящие TCP соединения, проблем не возникает и все работает. Вот только не могу "запалить", какие порты он пытается использовать. Вероятно, что дело даже не в инсталляторе Dr.Web, а сервер пытается удаленно достучаться до рабочей станции по своим доменным приколам, а не может из-за Firewall.
3) Может конечно и не нужно закрывать, как я описал, но выдвинули требования, необходимо закрыть все и разрешить только то, что необходимо. Пытаюсь определить, какие необходимы для работы установщика Dr.Web
#6
Geschrieben: 02 August 2012 - 17:15
"Зависит от".Пытаюсь определить, какие необходимы для работы установщика Dr.Web
Всё, что необходимо для установки агента на windows - запустить drwinst.exe на целевой системе, указав имя ES-сервера и, при необходимости, публичный ключ.
Если файл находится на локальном диске - от ES-сервера не требуется ничего, кроме транспорта.
А вот если вы хотите инициировать установку с ES-сервера, то необходимо:
1. Скопировать drwinst.exe на целевой компьютер;
2. Запустить его там.
В этом случае ES-сервер должен функционировать как SMB-клиент, а значит - будет подключатья по TCP на 135-137 порты. Или/и на 445.
Таким образом, если вы хотите максимально ограничить трафик от ES-сервера, то возникает вопрос: инициация установки с ES-сервера - оно вам действительно надо?
Может обойдётесь развёртыванием через групповые политики или (ручным) запуском "из любого подходящего места"?
Bearbeitet von Василий А. Сидоров, 02 August 2012 - 17:16,
#7
Geschrieben: 28 August 2012 - 18:27
#8
Geschrieben: 28 August 2012 - 20:06
Во-первых, не доктор, а вы: по умолчанию настройки файервола - для рабочих станций.Dr.Web Enterprise Suite блокирует Active Derectory и у других станций не работает доступ и интернет, даже станции с сервером не пингуются, пока не отключишь файрвол на самом сервере, как можно это утрясти, не хотелось-бы чтобы сервер пахал с отключенным файрволом.
Во-вторых, учитывая сколько всего должно быть разрешено для сервера, осмысленность файервола - вообще под вопросом.
#9
Geschrieben: 28 August 2012 - 21:01
#10
Geschrieben: 30 August 2012 - 10:28
#11
Geschrieben: 31 August 2012 - 20:49
Более того, если вы почитаете документацию на ПО, то увидите там рекомендацию, настоятельную рекомендацию - не ставить фаерволл, гейт, мейл на сервера, тем более контроллеры домена.
а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.
#13
Geschrieben: 03 September 2012 - 08:35
а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.
Здесь http://download.geo.drweb.com/pub/drweb/esuite/doc/HTML/admin-manual/ru/2_3.htm
Ну и еще в паре-тройке др. разделов есть.
Also tagged with one or more of these keywords: firewall, брандмауэр, установка по сети
Русские форумы →
Dr.Web Enterprise Suite →
Установка DrWEB агент по сетиEröffnet von it3 - 05 Mr 2024 агент, установка по сети |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Подскажите Настройки Брандмауэра dr Web для работы с VPNEröffnet von Mad User - 23 Mai 2023 #l2tp #, Брандмауэр |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Как удаленно настроить firewall?Eröffnet von thinkaboutsecurity - 27 Sep 2022 firewall |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Как просмотреть логи настроек брэндмауера у агенты через web интерфейс?Eröffnet von thinkaboutsecurity - 22 Sep 2022 firewall, logs, agent |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Брандмауэр Dr.WebEröffnet von bo0yaka - 20 Apr 2022 Брандмауэр, firewall |
|
|
1 Benutzer lesen gerade dieses Thema
0 members, 1 guests, 0 anonymous users