Afalin,
всё верно. только для всякого я открыл оба направления для порта 2163
Отправлено 05 Октябрь 2018 - 16:16
Afalin,
всё верно. только для всякого я открыл оба направления для порта 2163
Отправлено 05 Октябрь 2018 - 16:26
расширил сейчас диапазон блокируемых портов: с 49151 по 65535 и больше агент не уходит в мобильный режим.
Отправлено 05 Октябрь 2018 - 16:43
Вангую тогда, что это не давало агенту забиндиться на :0, чтоб установить соединение с сервером.
Отправлено 05 Октябрь 2018 - 16:44
pid 1380 - агент. я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент. в iptables это разруливается так:
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. # Пропускать все уже инициированные соединения, а также дочерние от них $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Пропускать новые, а так же уже инициированные и их дочерние соединения $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешить форвардинг для уже инициированных и их дочерних соединений $IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
а как заставить пакетный фильтр делать это же?
Отправлено 05 Октябрь 2018 - 16:45
я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.
Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.
Отправлено 05 Октябрь 2018 - 16:49
я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.
ну общая мысль Вам понятна. а так как файрвол прикрыл все порты, то агент не может занять себе порт. отсюда и уход в мобильный режим
вот и нужно заставить файрвол так не делать, а отдавать порт
Сообщение было изменено man8531: 05 Октябрь 2018 - 16:52
Отправлено 05 Октябрь 2018 - 20:43
я так понимаю, что сервер инициирует открытие порта 1207 у машины, где стоит агент.Неправильно. Это клиент (любой) при соединении с сервером (любым) занимает какой-либо порт, который ему даст ОС.
ну общая мысль Вам понятна. а так как файрвол прикрыл все порты, то агент не может занять себе порт. отсюда и уход в мобильный режим
вот и нужно заставить файрвол так не делать, а отдавать порт
Какой порт отдавать? Вы же их все прикрыли. А порт для клиента выбирает сама винда из свободных в диапазоне 1024 по 65535.
Отправлено 05 Октябрь 2018 - 21:29
Сообщение было изменено man8531: 05 Октябрь 2018 - 21:31
Отправлено 05 Октябрь 2018 - 21:36
Отправлено 05 Октябрь 2018 - 22:59
Да, для TCP фаеру имеет смысл фильтровать только SYN.
И если, например, соединение установилось раньше, чем взлетел фаер, то в общем-то фаер ему уже не помеха.
Но лично я не скажу навскидку, что там происходит и что с этим делать.
Отправлено 06 Октябрь 2018 - 08:30
Да, для TCP фаеру имеет смысл фильтровать только SYN.
И если, например, соединение установилось раньше, чем взлетел фаер, то в общем-то фаер ему уже не помеха.
Но лично я не скажу навскидку, что там происходит и что с этим делать.
разобрался я с этим товарищем. прилагаю картинку правила, чтоб агент не изолировался от сети. для всякого и для tcp такое правило сделал.
Отправлено 06 Октябрь 2018 - 08:38
ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз. как это реализовано в агенте. иначе приходится всё нижнее запрещающее удалять и добавлять разрешающее, а потом снова запрещать. и ещё чтоб убрали баг с пропаданием правил!
Отправлено 06 Октябрь 2018 - 10:39
разобрался я с этим товарищем. прилагаю картинку правила, чтоб агент не изолировался от сети. для всякого и для tcp такое правило сделал.
UDP нужен у нас только для поиска сервеа/агента, так что он ну никак не мог повлиять на соединение по TCP.
Отправлено 06 Октябрь 2018 - 11:03
Отправлено 06 Октябрь 2018 - 11:31
и таки нет: для агента главное создавать правило для tcp на входящие пакеты от 2163 (по дефолту 2193) порта. всё остальное (UDP) закрыл и работает агент прекрасно
Отправлено 06 Октябрь 2018 - 20:18
Входящие? Что-то тут всё непонятно.
Отправлено 06 Октябрь 2018 - 23:09
отсутствие перемещения правил это баг.ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз. как это реализовано в агенте. иначе приходится всё нижнее запрещающее удалять и добавлять разрешающее, а потом снова запрещать. и ещё чтоб убрали баг с пропаданием правил!
Отправлено 07 Октябрь 2018 - 08:55
Входящие? Что-то тут всё непонятно.
чтобы долго не объяснять, прикладываю правила в виде xml
Отправлено 08 Октябрь 2018 - 09:34
ещё осталось попросить разрабов сделать возможность в веб-интерфейсе перемещать правила, в пакетном фильтре, вверх или вниз.
Угу, тикет про это висит уже давно.
Отправлено 08 Октябрь 2018 - 09:44
Входящие? Что-то тут всё непонятно.
чтобы долго не объяснять, прикладываю правила в виде xml
И вот без правила "agent_tcp" агент не может соединиться?
Если да, то либо настройки у нас кривые, либо логика пакетного фильтра (даже если достигается эффект именно блокировкой входящих пакетов).
Хотя логика и правда кривая, потому что при наличии явных настроек что-то неявно блокируется, причём только в одном направлении.
Русские форумы →
Dr.Web Enterprise Suite →
Как удаленно настроить firewall?Автор: thinkaboutsecurity , 27 сен 2022 firewall |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Как просмотреть логи настроек брэндмауера у агенты через web интерфейс?Автор: thinkaboutsecurity , 22 сен 2022 firewall, logs, agent |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Брандмауэр Dr.WebАвтор: bo0yaka , 20 апр 2022 Брандмауэр, firewall |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Firewall +2 NVMEАвтор: JunikOn9 , 01 янв 2022 NVME., Firewall |
|
|
||
Русские форумы →
Dr.Web для Android →
Общие вопросы →
Как-то получится сделать одновременную работу брендмауэра и программы меняющей DNS?Автор: Max_NV , 19 июн 2021 dns, семейные DNS, adguard и еще 4… |
|
|
0 пользователей, 0 гостей, 0 скрытых