Серверная часть, установка по сети и Firewall
#1
Отправлено 31 Июль 2012 - 15:45
Вопрос/задача. Есть сервер (контроллер домена), на котором установлен центр управления Dr.Web Enterprise Suit 6. Необходимо с помощью брандмауэра закрыть все исходящие порты таким образом, чтобы функционировала установка по сети.
Исходные данные:
- если закрыть совсем все порты - ясно, что установка по сети больше не работает (если открыть TCP порты для профиля "Домен" - установка работает. Значит, достаточно открыть только TCP сторону);
- пробовал открывать такие порты (согласно http://st.drweb.com/static/new-www/news/2011/drweb-rn-es-602-html-ru/drweb_enterprise_suite_releasenotes.htm):
TCP 2193, 2371;
TCP 23 (NetBIOS);
TCP 2372;
TCP 139, 445.
Не помогло.
Ошибка:
Ошибка установки Проверка доступности сетевых ресурсов на удаленной машине (2) Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?
#2
Отправлено 31 Июль 2012 - 15:53
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#3
Отправлено 31 Июль 2012 - 16:04
На контроллере домена необходимо закрыть все порты, кроме тех, которые необходимы для работы самого контроллера и Dr.Web. С портами для входящих соединений я разобрался, все работает. А вот когда закрываю все порты наружу, и пытаюсь открыть только те порты, что необходимы для работы установщика Dr.Web с сервера, так не выходит найти те (тот), из-за которого возникает ошибка установки.Не понял в контексте топика фразы "закрыть все исходящие порты".
Агент обращается к серверу с ЛЮБОГО порта на порты 2193, 2371.
Соответственно сервер должен отвечать с этих портов на тот порт, с которого обращался агент.
#4
Отправлено 31 Июль 2012 - 17:46
Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.Ошибка установки
Проверка доступности сетевых ресурсов на удаленной машине (2)
Произошла ошибка операции на сокете, т.к. конечный хост выключен. (10064)
- пробовал с пом. WireShark определить, по каким портам обращается сервер к рабочей станции, прописал все встречающиеся... Ничего. Ошибка всегда эта.
Есть мысли?
P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.
P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.
#5
Отправлено 01 Август 2012 - 10:28
1) Дело в том, что на рабочих станциях уже всех стоит, и все работает. Вариант с развертыванием необходим только для того случая, если вдруг придется доставить или , что маловероятно, переустановить клиент.Или освоить развёртывание через доменную политику или настроить запуск задания на установку с клиента.
P.S. У вас сервер "долбится" на рабочую станцию, а она закрыта файерволом.
P.P.S. Моё имхо - если разрешён доступ к "сети MS", то файервол начинает смотреться, как мощная бронированная дверь в штакетнике.
2) Ошибка возникает не от того, что Firewall закрыт на рабочей станции, а от того, что закрыт на сервере. Если разрешить на сервере все исходящие TCP соединения, проблем не возникает и все работает. Вот только не могу "запалить", какие порты он пытается использовать. Вероятно, что дело даже не в инсталляторе Dr.Web, а сервер пытается удаленно достучаться до рабочей станции по своим доменным приколам, а не может из-за Firewall.
3) Может конечно и не нужно закрывать, как я описал, но выдвинули требования, необходимо закрыть все и разрешить только то, что необходимо. Пытаюсь определить, какие необходимы для работы установщика Dr.Web
#6
Отправлено 02 Август 2012 - 17:15
"Зависит от".Пытаюсь определить, какие необходимы для работы установщика Dr.Web
Всё, что необходимо для установки агента на windows - запустить drwinst.exe на целевой системе, указав имя ES-сервера и, при необходимости, публичный ключ.
Если файл находится на локальном диске - от ES-сервера не требуется ничего, кроме транспорта.
А вот если вы хотите инициировать установку с ES-сервера, то необходимо:
1. Скопировать drwinst.exe на целевой компьютер;
2. Запустить его там.
В этом случае ES-сервер должен функционировать как SMB-клиент, а значит - будет подключатья по TCP на 135-137 порты. Или/и на 445.
Таким образом, если вы хотите максимально ограничить трафик от ES-сервера, то возникает вопрос: инициация установки с ES-сервера - оно вам действительно надо?
Может обойдётесь развёртыванием через групповые политики или (ручным) запуском "из любого подходящего места"?
Сообщение было изменено Василий А. Сидоров: 02 Август 2012 - 17:16
#7
Отправлено 28 Август 2012 - 18:27
#8
Отправлено 28 Август 2012 - 20:06
Во-первых, не доктор, а вы: по умолчанию настройки файервола - для рабочих станций.Dr.Web Enterprise Suite блокирует Active Derectory и у других станций не работает доступ и интернет, даже станции с сервером не пингуются, пока не отключишь файрвол на самом сервере, как можно это утрясти, не хотелось-бы чтобы сервер пахал с отключенным файрволом.
Во-вторых, учитывая сколько всего должно быть разрешено для сервера, осмысленность файервола - вообще под вопросом.
#9
Отправлено 28 Август 2012 - 21:01
#10
Отправлено 30 Август 2012 - 10:28
#11
Отправлено 31 Август 2012 - 20:49
Более того, если вы почитаете документацию на ПО, то увидите там рекомендацию, настоятельную рекомендацию - не ставить фаерволл, гейт, мейл на сервера, тем более контроллеры домена.
а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.
#13
Отправлено 03 Сентябрь 2012 - 08:35
а можете дать ссылку, или подсказать где это можно прочитать, заранее спасибо.
Здесь http://download.geo.drweb.com/pub/drweb/esuite/doc/HTML/admin-manual/ru/2_3.htm
Ну и еще в паре-тройке др. разделов есть.
Also tagged with one or more of these keywords: firewall, брандмауэр, установка по сети
|
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Удалил dr.web security space и пропал интернетАвтор: vthpeke , 17 июн 2024 Dr.web, Интернет, Троян и еще 1… |
|
|
|
Русские форумы →
Dr.Web Enterprise Suite →
Установка DrWEB агент по сетиАвтор: it3 , 05 мар 2024 агент, установка по сети |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Подскажите Настройки Брандмауэра dr Web для работы с VPNАвтор: Mad User , 23 май 2023 #l2tp #, Брандмауэр |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Как удаленно настроить firewall?Автор: thinkaboutsecurity , 27 сен 2022 firewall |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Как просмотреть логи настроек брэндмауера у агенты через web интерфейс?Автор: thinkaboutsecurity , 22 сен 2022 firewall, logs, agent |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых