Перейти к содержимому


Фото
- - - - -

Серверная часть, установка по сети и Firewall

firewall брандмауэр установка по сети

  • Please log in to reply
12 ответов в этой теме

#1 Chaki_Black

Chaki_Black

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 31 Июль 2012 - 15:45

Добрый день!
Вопрос/задача. Есть сервер (контроллер домена), на котором установлен центр управления Dr.Web Enterprise Suit 6. Необходимо с помощью брандмауэра закрыть все исходящие порты таким образом, чтобы функционировала установка по сети.
Исходные данные:
- если закрыть совсем все порты - ясно, что установка по сети больше не работает (если открыть TCP порты для профиля "Домен" - установка работает. Значит, достаточно открыть только TCP сторону);
- пробовал открывать такие порты (согласно http://st.drweb.com/static/new-www/news/2011/drweb-rn-es-602-html-ru/drweb_enterprise_suite_releasenotes.htm):
TCP 2193, 2371;
TCP 23 (NetBIOS);
TCP 2372;
TCP 139, 445.
Не помогло.
Ошибка:

Ошибка установки Проверка доступности сетевых ресурсов на удаленной машине (2) Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?

#2 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 31 Июль 2012 - 15:53

Не понял в контексте топика фразы "закрыть все исходящие порты". O_o
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#3 Chaki_Black

Chaki_Black

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 31 Июль 2012 - 16:04

Не понял в контексте топика фразы "закрыть все исходящие порты".
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.

На контроллере домена необходимо закрыть все порты, кроме тех, которые необходимы для работы самого контроллера и Dr.Web. С портами для входящих соединений я разобрался, все работает. А вот когда закрываю все порты наружу, и пытаюсь открыть только те порты, что необходимы для работы установщика Dr.Web с сервера, так не выходит найти те (тот), из-за которого возникает ошибка установки.

#4 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 31 Июль 2012 - 17:46

Ошибка установки
Проверка доступности сетевых ресурсов на удаленной машине (2)
Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?

Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.

P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.

P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.

#5 Chaki_Black

Chaki_Black

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Август 2012 - 10:28

Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.
P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.
P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.

1) Дело в том, что на рабочих станциях уже всех стоит, и все работает. Вариант с развертыванием необходим только для того случая, если вдруг придется доставить или , что маловероятно, переустановить клиент.
2) Ошибка возникает не от того, что Firewall закрыт на рабочей станции, а от того, что закрыт на сервере. Если разрешить на сервере все исходящие TCP соединения, проблем не возникает и все работает. Вот только не могу "запалить", какие порты он пытается использовать. Вероятно, что дело даже не в инсталляторе Dr.Web, а сервер пытается удаленно достучаться до рабочей станции по своим доменным приколам, а не может из-за Firewall.
3) Может конечно и не нужно закрывать, как я описал, но выдвинули требования, необходимо закрыть все и разрешить только то, что необходимо. Пытаюсь определить, какие необходимы для работы установщика Dr.Web

#6 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 02 Август 2012 - 17:15

Пытаюсь определить, какие необходимы для работы установщика Dr.Web

"Зависит от".
Всё, что необходимо для установки агента на windows - запустить drwinst.exe на целевой системе, указав имя ES-сервера и, при необходимости, публичный ключ.
Если файл находится на локальном диске - от ES-сервера не требуется ничего, кроме транспорта.
А вот если вы хотите инициировать установку с ES-сервера, то необходимо:
1. Скопировать drwinst.exe на целевой компьютер;
2. Запустить его там.
В этом случае ES-сервер должен функционировать как SMB-клиент, а значит - будет подключатья по TCP на 135-137 порты. Или/и на 445.
Таким образом, если вы хотите максимально ограничить трафик от ES-сервера, то возникает вопрос: инициация установки с ES-сервера - оно вам действительно надо?
Может обойдётесь развёртыванием через групповые политики или (ручным) запуском "из любого подходящего места"?

Сообщение было изменено Василий А. Сидоров: 02 Август 2012 - 17:16


#7 Cooler_TJ

Cooler_TJ

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 28 Август 2012 - 18:27

Доброе время суток! вот такая проблема, установили Dr.Web Enterprise Suite на сервер Windows Server 2003 R2 Enterprise Edition, все настройки выполнили, но при включения сервера, Dr.Web Enterprise Suite блокирует Active Derectory и у других станций не работает доступ и интернет, даже станции с сервером не пингуются, пока не отключишь файрвол на самом сервере, как можно это утрясти, не хотелось-бы чтобы сервер пахал с отключенным файрволом.

#8 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 28 Август 2012 - 20:06

Dr.Web Enterprise Suite блокирует Active Derectory и у других станций не работает доступ и интернет, даже станции с сервером не пингуются, пока не отключишь файрвол на самом сервере, как можно это утрясти, не хотелось-бы чтобы сервер пахал с отключенным файрволом.

Во-первых, не доктор, а вы: по умолчанию настройки файервола - для рабочих станций.
Во-вторых, учитывая сколько всего должно быть разрешено для сервера, осмысленность файервола - вообще под вопросом.

#9 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 28 Август 2012 - 21:01

В третьих, осмысленность стороннего персонального файрвола на Win также под вопросом

#10 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 30 Август 2012 - 10:28

Более того, если вы почитаете документацию на ПО, то увидите там рекомендацию, настоятельную рекомендацию - не ставить фаерволл, гейт, мейл на сервера, тем более контроллеры домена.
(exit 0)

#11 Cooler_TJ

Cooler_TJ

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 31 Август 2012 - 20:49

Foxes

Более того, если вы почитаете документацию на ПО, то увидите там рекомендацию, настоятельную рекомендацию - не ставить фаерволл, гейт, мейл на сервера, тем более контроллеры домена.


а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.

#12 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 31 Август 2012 - 21:41

http://download.drweb.com/doc
Почтовый сервер Eserv тоже работает с Dr.Web

#13 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 03 Сентябрь 2012 - 08:35

а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.


Здесь http://download.geo.drweb.com/pub/drweb/esuite/doc/HTML/admin-manual/ru/2_3.htm
Ну и еще в паре-тройке др. разделов есть.
(exit 0)



Also tagged with one or more of these keywords: firewall, брандмауэр, установка по сети

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых