.. :validated: 3.2.0

Правила настройки межсетевого экрана, необходимые для работы подсистем ALD Pro
-----------------------------------------------------------------------------------

Назначение
~~~~~~~~~~

Одним из способов обеспечения безопасности локальной сети организации является отделение от внешней сети. Для этой задачи используются межсетевые экраны. Данная инструкция содержит правила настройки межсетевых экранов, необходимых для работы подсистем **ALD Pro**.

Требования
~~~~~~~~~~

- Нужно разрешать — указывает, нужно ли разрешать сетевое взаимодействие, описываемое в рамках правила, для нормальной работы продукта. Значение «нет» устанавливается в одном из нижеперечисленных случаев.

    * Порт открывается одним из сопутствующих приложений системы, т.е. его функции не используются в продукте (например, Avahi). Учет таких правил помогает упростить проверку со стороны сотрудников информационной безопасности.
    * Порт используется для сетевого взаимодействия между компонентами, которые расположены в пределах одного хоста (например, PostgreSQL). Учет таких правил упрощает проверку и помогает лучше понять сетевое взаимодействие между компонентами системы.
    * Правило устарело и более не требуется (например, правила для GlusterFS). Удержание таких правил в таблице упрощает ретроспективный анализ правил, созданных ранее на сетевом оборудовании.

- В обе стороны — указывает, что источник и приемник должны взаимодействовать по указанному порту как в прямом, так и обратном направлении, что позволяет исключить дублирование правил, например, при взаимодействии контроллеров **ALD Pro** с контроллерами **AD DS**. Может принимать значения "да/нет".

- Источник — группа колонок, описывающих компонент системы, который выступает инициатором сетевого взаимодействия.

- Приемник — группа колонок, описывающих компонент системы, который выступает принимающей стороной, то есть открывает серверный порт и ждет входящего сетевого соединения от Источника.

- Подсистема — наименование собственного компонента продукта или компонента стороннего вендора, который используется в гибридных сценариях развертывания. Например, контроллер домена, контроллер доверенного домена **AD DS**, доменный компьютер, компьютер доверенного домена **AD DS**, сервер репозитория и т.д.

- Служба — наименование службы на принимающей стороне, которая непосредственно открывает порт и ожидает входящего сетевого соединения. Например, для контроллера домена это может быть 389 Directory Server (ns-slapd), KDC (krb5kdc), Bind9 (named-pkcs11), Apache (apache2), и т.д.

- IP-адрес — описание конкретного адреса или целого сегмента сети, в котором может находиться Источник или Приемник.

- Порт — номер сетевого порта, который прослушивает принимающая сторона.

- Протокол L3 — наименование протокола транспортного уровня, который используется в рамках соединения, например, TCP или UDP.

- Протокол L4 — протокол уровня приложений, используемый в рамках соединени. Например, HTTP, LDAP, Kerberos, DNS, DHCP, TFTP и т.п.

- Назначение трафика — описание функционального назначения трафика, какая информация передается между участниками сетевого взаимодействия и для чего. Информация помогает в принятии решения об открытии конкретных портов и отладки возникающих проблем.

.. raw:: latex

   \begin{landscape}
   \fontsize{6}{5}\selectfont

Список правил
~~~~~~~~~~~~~

.. list-table:: Правила настройки межсетевого экрана
   :widths: 2 6 5 17 21 6 43
   :header-rows: 1
   :class: longtable

   * - №
     - Нужно разрешать
     - В обе стороны
     - Источник:

       Подсистема и IP-адрес

     - Приемник:

       Подсистема, Служба, IP-адрес и Порт

     - Протоколы L3 и L4

     - Назначение трафика

   * - 1
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер доверенного домена AD DS

       DNS

       IP-адрес контроллера доверенного домена AD DS

       53

     - TCP/UDP

       DNS

     - Перенаправление DNS запросов для получения информации из доверенной зоны. Большинство запросов будет обрабатываться с использованием протокола UDP, а переключение на TCP происходит, если ответы сервера будут превышать 512 байт на одно сообщение. По этому же порту происходит динамическое обновление DNS-записей со стороны клиентов по протоколу GSS-TSIG

   * - 2
     - \+
     - \-
     - доменный компьютер

       IP-адрес контроллера домена

     - контроллер доверенного домена AD DS

       KDC

       IP-адрес контроллера доверенного домена AD DS

       88

     - TCP/UDP

       KRB5

     - Аутентификация по протоколу Kerberos V5 в доверительных отношениях. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP

   * - 3
     - \+
     - \-
     - доменный компьютер доверенного домена AD DS

       IP-адрес из локальной сети доверенного домена AD DS	

     - контроллер домена

       MIT KDC

       IP-адрес контроллера домена

       88

     - TCP/UDP

       KRB5	

     - Аутентификация по протоколу Kerberos V5 в доверительных отношениях. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP

   * - 4
     - \+
     - \-
     - компьютер доверенного домена AD DS

       IP-адрес из локальной сети доверенного домена AD DS	

     - контроллер домена

       389 Directory Server (ns-slapd)	

       IP-адрес контроллера домена

       3268

     - TCP

       LDAP

     - Обращение к глобальному каталогу ALD Pro из доверенного домена MS Active Directory для получения идентификационной информации, например, при выполнении поиска пользователей домена ALD Pro в оснастках Windows для добавления в списки доступа

   * - 5
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена	

     - контроллер доверенного домена AD DS

       AD DS

       IP-адрес контроллера доверенного домена AD DS

       3268

     - TCP

       LDAP

     - Обращение службы sssd, установленной на контроллере домена ALD Pro, к глобальному каталогу из доверенного домена MS Active Directory для получения идентификационной информации. Например, при выполнении операции id на компьютерах из домена ALD Pro для получения информации о пользователях доверенного домена MS AD

   * - 6
     - \-
     - \+
     - компьютер доверенного домена AD DS

       IP-адрес из локальной сети доверенного домена AD DS

     - контроллер домена

       389 Directory Server (ns-slapd), AD DS

       IP-адрес контроллера домена

       3269

     - TCP

       LDAPS

     - Обращение к службе глобального каталога по зашифрованному протоколу LDAPS со стороны специализированных приложений. В обычных сценариях работы используется протокол LDAP по порту 3268/TCP с переключением на шифрование с помощью операции StartTLS при необходимости

   * - 7
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер доверенного домена AD DS

       AD DS

       IP-адрес контроллера доверенного домена AD DS

       389

     - TCP

       LDAP (StartTLS)

     - Обращение к LDAP для синхронизации информации о пользователях

   * - 8
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер доверенного домена AD DS

       AD DS

       IP-адрес контроллера доверенного домена AD DS

       389

     - UDP

       LDAP

     - Автоматическое обнаружение доступных контроллеров и определение сайта, которому принадлежит клиент.

       Со стороны ALD Pro автоматическое обнаружение выполняют службы sssd и winbind

   * - 9
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена	

     - контроллер доверенного домена AD DS

       AD DS

       IP-адрес контроллера доверенного домена AD DS

       389

     - TCP

       LDAP, LDAP + StartTLS

     - Извлечение информации из доверенного домена

   * - 10
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена	

     - контроллер доверенного домена AD DS

       AD DS

       IP-адрес контроллера доверенного домена AD DS

       636

     - TCP

       LDAPS

     - Обращение к каталогу из доверенного домена по защищенному протоколу из скриптов автоматизации

   * - 11
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети	

     - контроллер домена

       Apache (apache2)

       IP-адрес контроллера домена

       443

     - TCP

       HTTPS

     - Администрирование домена через веб-портал, утилиту ipa, или прямые запросы к REST API

   * - 12
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети	

     - контроллер домена

       Apache (apache2)

       IP-адрес контроллера домена

       443

     - TCP

       HTTPS

     - Самообслуживание пользователей через веб-портал

   * - 13
     - \+
     - \-
     - доменный компьютер

       IP адрес из локальной сети

     - контроллер домена

       Apache (apache2)

       IP адрес контроллера домена

       443

     - TCP

       HTTPS

     - Через этот порт клиенты проксируют WSS-трафик, когда администратор запускает  подключение к удаленному рабочему столу через noVNC-клиент, встроенный в портал управления.

   * - 14
     - \-
     - \-
     - контроллер домена

       127.0.0.1

     - контроллер домена

       Daphne (python3)

       127.0.0.1

       8008

     - TCP

       HTTPS

     - Передача всплывающих уведомлений на портале управления. Веб-браузер подключается к веб-сокету по протоколу wss на порт 443 поверх HTTP, а далее запрос проксируется службе Daphne

   * - 15
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       Apache (apache2)

       IP-адрес контроллера домена

       80

     - TCP

       HTTP

     - Загрузка публичного корневого сертификата домена, может использоваться для настройки HTTPS, LDAPS http://адрес.контроллера/ipa/config/ca.crt

   * - 16
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       Bind9 (named-pkcs11)

       IP-адрес контроллера домена

       53

     - TCP/UDP

       DNS, GSS-TSIG

     - Запрос DNS-записей. Большинство запросов будет обрабатываться с использованием протокола UDP, а переключение на TCP происходит, если ответы сервера будут превышать 512 байт на одно сообщение. По этому же порту происходит динамическое обновление DNS-записей со стороны клиентов по протоколу GSS-TSIG

   * - 17
     - \-
     - \-
     - 

     - контроллер домена

       Bind9 (named-pkcs11)

       127.0.0.1

       953

     - TCP

       DDNS

     - Функция удаленного управления DNS сервером BIND через rndc не требуется, она необходима, например, при настройке динамического обновления DNS-записей с DHCP сервера. Порт слушается только на localhost

   * - 18
     - \-
     - \-
     - 

     - доменный компьютер

       Fly-dm (fly-dm)

       127.0.0.1

       177

     - UDP

       XDMCP

     - Функция удаленного входа в систему автономным дисплеем по протоколу XDMCP не используется. Порт слушается только на localhost

   * - 19
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       MIT Kerberos (krb5kdc)

       IP-адрес контроллера домена

       88

     - TCP/UDP

       KRB5

     - Аутентификация пользователей по протоколу Kerberos V5. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP

   * - 20
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       MIT Kerberos (krb5kdc)

       IP-адрес контроллера домена

       464, 749

     - TCP/UDP

       KRB5

     - Задачи администрирования, например, создание UPN чрез kadmin, или смена пароля через kpasswd

   * - 21
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       Chrony (chronyd)

       IP-адрес контроллера домена

       123

     - UDP

       NTP

     - Синхронизация системного времени на доменных компьютерах с временем на контроллерах домена

   * - 22
     - \-
     - \-
     - 

     - доменный компьютер

       Chrony (chronyd)

       127.0.0.1

       323

     - UDP

       \-

     - Функция удаленного управления службой chronyd не требуется

   * - 23
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       389 Directory Server (ns-slapd)

       IP-адрес контроллера домена

       389

     - TCP

       LDAP

     - Взаимодействие с LDAP-каталогом. Например, служба sssd получает так информацию об участии пользователя в группах, HBAC и SUDO правила. Служба sssd не использует LDAPS, но трафик шифруется с помощью SSL, т. к. в начале обмена данными всегда посылается StartTLS

   * - 24
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       389 Directory Server (ns-slapd)

       IP-адрес контроллера домена

       389, 636

     - TCP

       LDAP + StartTLS, LDAPS

     - Репликация данных каталога между контроллерами домена

   * - 25
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       389 Directory Server (ns-slapd)

       IP-адрес контроллера домена

       636

     - TCP

       LDAPS

     - Взаимодействие с LDAP-каталогом. Например, с помощью ldapsearch, ldapmodify и др. Утилиты из пакета OpenLDAP по умолчанию используют LDAPS

   * - 26
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - доменный компьютер

       Flask (python3)

       IP-адрес из локальной сети

       30000

     - TCP

       HTTP

     - Обращение к REST API для получения информации о запущенных сессиях удаленного рабочего стола для подключения ассистента. Адрес интерфейса /aldpro/remote-mgr/sessions, в ответ приходит JSON со списком сессий. На хостах серверной группировки порт рекомендуется блокировать и оставлять только на рабочих станциях пользователей

   * - 27
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - доменный компьютер

       VNC (x11vnc) через Websockify (python3)

       IP-адрес из локальной сети

       6080-608N

     - TCP

       HTTPS

     - Удаленное управление рабочим столом по протоколу VNC. Подключение выполняется к Python приложению Websokify через SSL, которое пересылает данные на порт 5900-590N в x11vnc

   * - 28
     - \-
     - \-
     - 

     - доменный компьютер

       VNC (x11vnc)

       127.0.0.1

       5900-590N

     - TCP

       VNC

     - Удаленное управление рабочим столом по протоколу VNC. Порт слушается только на localhost

   * - 29
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba (smbd)

       IP-адрес контроллера домена

       135

     - TCP

       RPC

     - Работа EPMAP, сопоставление точек DCE RPC для работы LSA и SAMR в доверительных отношениях

   * - 30
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba (smbd)

       IP-адрес контроллера домена

       1024-1300

     - TCP

       RPC

     - Работа EPMAP, динамически открываемые порты для конечных точек служб DCE RPC в доверительных отношениях

   * - 31
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba NMB Daemon (nmbd)

       IP-адрес контроллера домена

       137

     - UDP

       NBNS

     - Работа NetBIOS Name Service в доверительных отношениях

   * - 32
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba NMB Daemon (nmbd)

       IP-адрес контроллера домена

       138

     - UDP

       NBNS

     - Работа NetBIOS Datagram Service в доверительных отношениях

   * - 33
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba NMB Daemon (smbd)

       IP-адрес контроллера домена

       139

     - TCP

       NBT

     - Работа NetBIOS Session service (Samba services: smbd, winbindd) для выполнения удаленных вызовов со стороны MS AD через SMB при интеграции с MS AD. Протокол SMB может работать поверх NetBIOS для совместимости

   * - 34
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена AD DS

     - контроллер домена

       Samba NMB Daemon (nmbd)

       IP-адрес контроллера домена

       445

     - TCP

       SMB

     - Выполнение удаленных вызовов со стороны MS AD, например, для преобразования SID в имена объектов. Работа DFS

   * - 35
     - \-
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       SaltStack (python3)

       IP-адрес контроллера домена

       4505/4506

     - TCP

       ZMTP

     - С версии 2.4.0 служба salt-master более не используется на сервере. Минион удерживает постоянное подключение к мастеру на порту 4505 для получения заданий по модели push/pull и подключается к нему время от времени на порт 4506 для информирования о результатах выполнения назначенных заданий. Через этот механизм происходит развертывание и менеджмент всех подсистем, работа групповых политик и заданий автоматизации

   * - 36
     - \-
     - \-
     - 

     - контроллер домена

       SaltStack (python3)

       IP-адрес контроллера домена

       8000

     - TCP

       HTTP/HTTPS

     - Начиная с версии 2.0.0, функции REST API системы конфигурирования SaltStack продуктом не используются. В предыдущих версиях продукта интерфейс использовался бэкендом для передачи команд по localhost, поэтому для любых редакций продукта указанный порт рекомендуется блокировать

   * - 37
     - \-
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - контроллер домена

       Flask (python3)

       IP-адрес контроллера домена

       5001

     - TCP

       HTTP

     - Начиная с версии 2.0.0 получение сертификатов выполняется через Salt-скрипты.

       В рамках процедуры конфигурирования подсистемы с доменного компьютера происходит обращение к REST API для выпуска сертификата, который далее передается на хост через шифрованный канал SaltStack

   * - 38
     - \-
     - \-
     - 

     - доменный компьютер

       SSH (sshd)

       IP-адрес из локальной сети

       22

     - TCP

       SSH

     - Протокол SSH в работе системы не используется

   * - 39
     - \-
     - \-
     - 

     - контроллер домена

       PostgreSQL (postgres)

       127.0.0.1

       5432

     - TCP

       PostgreSQL

     - Функция удаленного доступа к СУБД PostgreSQL не требуется. Скрипты портала управления подключаются к СУБД только локально. Порт слушается только на localhost

   * - 40
     - \-
     - \-
     - 

     - контроллер домена

       Redis (redis-server 12)

       127.0.0.1

       6379

     - TCP

       RESP

     - Функция удаленного доступа Redis не требуется. Доступ к данным заданий Celery выполняется только локально. Порт слушается только на localhost

   * - 41
     - \-
     - \-
     - 

     - доменный компьютер

       CUPS (cupsd)

       127.0.0.1

       631

     - TCP

       IPP

     - Сервер печати CUPS входит в стандартные дистрибутивы Astra Linux и автоматически устанавливается и запускается при инсталляции ОС. Порт слушается только на localhost

   * - 42
     - \-
     - \-
     - 

     - доменный компьютер

       Avahi (avahi-daemon)

       IP-адрес из локальной сети

       5353, 40000-59999

     - UDP

       mDNS

     - Функции преобразования имен хостов в IP-адреса через mDNS в доменной инфраструктуре не используются

   * - 43
     - \-
     - \-
     - 

     - сервер общего доступа к файлам

       Bind9 (named)

       127.0.0.1

       53

     - TCP/UDP

       DNS

     - Функции Samba по обработке DNS-запросов на сервере общего доступа к файлам не используются

   * - 44
     - \-
     - \-
     - 

     - сервер общего доступа к файлам

       Bind9 (named)

       127.0.0.1

       953

     - TCP

       DDNS

     - Функции Samba по обработке DNS-запросов на сервере общего доступа к файлам не используются. Порт слушается только на localhost

   * - 45
     - \-
     - \-
     - 

     - сервер общего доступа к файлам

       Samba (smbd)

       IP-адрес сервера общего доступа к файлам

       135

     - TCP

       RPC

     - Функции EPMAP на сервере общего доступа к файлам не используются

   * - 46
     - \-
     - \-
     - 

     - сервер общего доступа к файлам

       Samba (smbd)

       IP-адрес сервера общего доступа к файлам

       1024-1300

     - TCP

       RPC

     - Функции EPMAP на сервере общего доступа к файлам не используются

   * - 47
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер общего доступа к файлам

       Samba NMB Daemon (nmbd)

       IP-адрес сервера общего доступа к файлам

       137

     - UDP

       NBNS

     - Работа NetBIOS network browsing (nmbd)

   * - 48
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер общего доступа к файлам

       Samba NMB Daemon (nmbd)

       IP-адрес сервера общего доступа к файлам

       138

     - UDP

       NBNS

     - Работа NetBIOS name service (nmbd)

   * - 49
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер общего доступа к файлам

       Samba NMB Daemon (nmbd)

       IP-адрес сервера общего доступа к файлам

       139

     - TCP

       NBT

     - Общий доступ к файлам

   * - 50
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер общего доступа к файлам

       Samba NMB Daemon (nmbd)

       IP-адрес сервера общего доступа к файлам

       445

     - TCP

       SMB

     - Общий доступ к файлам без NetBIOS

   * - 51
     - \-
     - \-
     - 

     - сервер общего доступа к файлам

       Samba (smbd)

       IP-адрес сервера общего доступа к файлам

       80, 443

     - TCP

       HTTP, HTTPS

     - Функции сервера Apache не используются, устанавливается как зависимость

   * - 52
     - \+
     - \-
     - доменный компьютер

       0.0.0.0

     - сервер DHCP

       DHCP (dhcpd)

       255.255.255.255

       67

     - UDP

       DHCP

     - Клиенты отправляют серверу широковещательные запросы для получения сетевых настроек (discover, request)

   * - 53
     - \+
     - \-
     - сервер DHCP

       IP-адрес DHCP-сервера

     - доменный компьютер

       DHCP Client (dhclient)

       255.255.255.255, IP-адрес доменного компьютера

       68

     - UDP

       DHCP

     - Сервер отправляет клиентам широковещательные ответы, Ack уходит на IP адрес хоста

   * - 54
     - \+
     - \-
     - компьютер локальной сети

       IP-адрес из локальной сети

     - сервер PXE

       Dnsmasq (dnsmasq)

       IP-адрес сервера PXE

       69

     - UDP

       TFTP

     - Клиенты скачивают загрузчик с сервера PXE

   * - 55
     - \-
     - \-
     - компьютер локальной сети

       IP-адрес из локальной сети

     - сервер PXE

       vsFTP (vsftpd)

       IP-адрес сервера PXE

       21

     - TCP

       FTP

     - Устанавливается, как зависимость

   * - 56
     - \+
     - \-
     - компьютер локальной сети

       IP-адрес из локальной сети

     - сервер PXE

       Apache (apache2)

       IP-адрес сервера PXE

       80

     - TCP

       HTTP

     - Клиенты получают установочные файлы с сервера PXE. Используется нешифрованный HTTP протокол

   * - 57
     - \-
     - \-
     - компьютер локальной сети

       IP-адрес из локальной сети

     - сервер PXE

       Apache (apache2)

       IP-адрес сервера PXE

       443

     - TCP

       HTTPS

     - Порт открывается Apache, но загрузка файлов с PXE сервера осуществляется по обычному HTTP

   * - 58
     - \-
     - \-
     - 

     - сервер PXE

       Dnsmasq (dnsmasq)

       IP-адрес сервера PXE

       53

     - TCP/UDP

       DNS

     - Функции Dnsmasq по обработке DNS-запросов на сервере PXE не используются

   * - 59
     - \-
     - \-
     - 

     - сервер PXE

       Redis (redis-server 12)

       127.0.0.1

       6379

     - TCP

       RESP

     - Функция удаленного доступа Redis не требуется. Порт слушается только на localhost

   * - 60
     - \-
     - \-
     - 

     - сервер PXE

       PostgreSQL (postgres)

       127.0.0.1

       5432

     - TCP

       PostgreSQL

     - Функция удаленного доступа к СУБД PostgreSQL не требуется. Скрипты подключается к СУБД только локально. Порт слушается только на localhost

   * - 61
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - Любой IP-адрес глобальной сети

       80, 443

     - TCP

       HTTP, HTTPS

     - Доступ к публичным репозиториям для загрузки пакетов по протоколам HTTP и HTTPS

   * - 62
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер репозитория

       Apache (apache2)

       IP-адрес сервера репозитория

       80, 443

     - TCP

       HTTP, HTTPS

     - Доступ к корпоративным репозиториям для загрузки пакетов по протоколам HTTP и HTTPS

   * - 63
     - \-
     - \-
     - сервер репозитория

       IP-адрес сервера репозитория

     - сервер репозитория

       PostgreSQL (postgres)

       IP-адрес сервера репозитория

       5432

     - TCP

       PostgreSQL

     - Ранее между серверами репозиториев выполнялась репликация СУБД средствами PostgreSQL, но с версии ALD Pro 2.4 ее уже нет, поэтому настраивать правило более не требуется.

   * - 64
     - \-
     - \-
     - 

     - сервер репозитория

       Redis (redis-server 12)

       127.0.0.1

       6379

     - TCP

       RESP

     - Функция удаленного доступа Redis не требуется. Порт слушается только на localhost

   * - 65
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - сервер печати

       CUPS (cupsd)

       IP-адрес сервера печати

       631

     - TCP

       HTTP, HTTPS

     - Администрирование CUPS через веб-интерфейс: управление принтерами, заданиями печати, драйверами и т.п.

   * - 66
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер печати

       CUPS (cupsd)

       IP-адрес сервера печати

       631

     - TCP

       HTTP, HTTPS

     - Самообслуживание пользователей через веб-интерфейс CUPS. При просмотре заданий доступен только их номер, название принтера и размер файла (название или содержимое недоступно ни пользователю, ни администратору)

   * - 67
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер печати

       CUPS (cupsd)

       IP-адрес сервера печати

       631

     - TCP

       IPP

     - Взаимодействие клиента с сервером для получения списка доступных принтеров, отправки заданий на печать, получение статуса заданий

   * - 68
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер печати

       IP-адрес сервера печати

       80

     - TCP

       HTTP

     - Обращение к REST API для загрузки драйверов \*.ppd в каталог */usr/share/cups/model/* На уровне сети доступ нужно разрешить только для контроллеров домена

   * - 69
     - \+
     - \-
     - сервер мониторинга

       IP-адрес сервера мониторинга

     - хост серверной группировки

       Zabbix (zabbix_agentd)

       IP-адрес серверной группировки

       10050

     - TCP

       Zabbix/JSON

     - Получение подсистемой мониторинга данных с хостов при пассивном режиме работы. Обращение происходит только к хостам серверной группировки

   * - 70
     - \+
     - \-
     - хост серверной группировки

       IP-адрес серверной группировки

     - сервер мониторинга

       Zabbix (zabbix_server)

       IP-адрес сервера мониторинга

       10051

     - TCP

       Zabbix/JSON

     - Передача хостами данных в подсистему мониторинга в активном режиме работы. Обращение происходит только с хостов серверной группировки

   * - 71
     - \+
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - сервер мониторинга

       Apache (apache2)

       IP-адрес сервера мониторинга

       80, 443

     - TCP

       HTTP, HTTPS

     - Администрирование Zabbix через веб-портал и прямые запросы к REST API

   * - 72
     - \-
     - \-
     - 

     - сервер мониторинга

       SNMP (snmpd)

       IP-адрес сервера мониторинга

       161

     - UDP

       SNMP

     - Функция мониторинга через SNMP не используется. Порт слушается только на localhost

   * - 73
     - \-
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер журналирования

       Fluentd (ruby)

       IP-адрес сервера журналирования

       24222

     - TCP/UDP

       Fluent

     - Правило устарело, fluent заменен на syslog-ng.Агенты подключаются к серверу для передачи событий

   * - 74
     - \+
     - \-
     - доменный компьютер

       IP-адрес из локальной сети

     - сервер журналирования

       Syslog-NG (syslog-ng)

       IP-адрес сервера журналирования

       514

     - TCP

       Syslog-NG (syslog-ng)

     - Агенты подключаются к серверу для передачи событий

   * - 75
     - \+
     - \-
     - доменный компьютер

       IP-адрес доменного компьютера

     - сервер мониторинга

       Apache (apache2)

       IP-адрес сервера мониторинга

       3000

     - TCP

       HTTPS

     - Просмотр панелей мониторинга Grafana из портала управления, прямой вход в веб-интрерфейс Grafana

   * - 76
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       4369

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Служба обнаружения одноранговых узлов, используемая узлами RabbitMQ и инструментами CLI

   * - 77
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       5672, 5671

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты AMQP 1.0

   * - 78
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       5552, 5551

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты протокола RabbitMQ Stream

   * - 79
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       6000

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Потоковая репликация

   * - 80
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       25672

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Связь между узлами и инструментами CLI (порт сервера распространения Erlang), выделяется из динамического диапазона (по умолчанию ограничен одним портом, вычисляемым как порт AMQP + 20000)

   * - 81
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       35672-35682

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Инструменты CLI (клиентские порты распределения Erlang) для связи с узлами, выделяется из динамического диапазона (рассчитывается как порт распределения сервера + 10000 через порт распределения сервера + 10010)

   * - 82
     - \-
     - \-
     - контроллер домена

       IP-адрес доменного компьютера

     - контроллер домена

       RabbitMQ

       IP-адрес контроллера домена

       15672, 15671

     - TCP

       AMQP

     - С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты HTTP API, пользовательский интерфейс управления и Rabbitmqadmin (когда включен плагин управления)

   * - 83
     - \+
     - \-
     - сервер репозитория (мастер)

       IP-адрес сервера репозитория (мастер)

     - сервер репозитория (реплика)

       OpenSSH server (sshd)

       IP-адрес сервера репозитория (реплика)

       22

     - TCP

       SSH

     - Служба lsyncd подключается к репликам по протоколу ssh и использует утилиту rsync для копирования файлов и папок

   * - 84
     - \+
     - \+
     - контроллер доверенного домена AD DS

       IP-адрес контроллера домена

     - контроллер домена

       389 Directory Server

       IP-адрес контроллера домена

       636

     - TCP

       LDAPS

     - Доступ к БД LDAP MS AD для службы синхронизации.

   * - 85
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       389 Directory Server

       IP-адрес контроллера домена

       636

     - TCP

       LDAPS

     - Доступ к БД LDAP ALD Pro через портал управления.

       Доступ к БД LDAP ALD Pro для службы синхронизации.

       Доступ к БД LDAP ALD Pro для сервера ALD Pro.

   * - 86
     - \-
     - \-
     - 
     - контроллер домена

       PostgreSQL (postgres)

       127.0.0.1

       5432

     - TCP

       PostgreSQL

     - Доступ к БД PostgreSQL через портал управления.

       Доступ к БД PostgreSQL для службы синхронизации.

   * - 87
     - \+
     - \+
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       Apache (apache2)

       IP-адрес контроллера домена

       443

     - TCP

       HTTPS

     - Подключение через портал управления к серверу ALD Pro.

       Подключение службы синхронизации к серверу ALD Pro.

   * - 88
     - \-
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       Gluster

       IP-адрес контроллера домена

       24007

     - TCP/UDP

       \-

     - С версии 2.2.0 служба Gluster более не используется.

       Служба Gluster

   * - 89
     - \-
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       Gluster

       IP-адрес контроллера домена

       24008

     - TCP/UDP

       \-

     - С версии 2.2.0 служба Gluster более не используется.

       Менеджмент

   * - 90
     - \-
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       Gluster

       IP-адрес контроллера домена

       49152-50152

     - TCP/UDP

       \-

     - С версии 2.2.0 служба Gluster более не используется.

       На каждый volume, в продукте указан конкретно 50 000

   * - 91
     - \-
     - \-
     - контроллер домена

       IP-адрес контроллера домена

     - контроллер домена

       Gluster

       IP-адрес контроллера домена

       111

     - TCP/UDP

       \-

     - С версии 2.2.0 служба Gluster более не используется.

       portmapper

.. raw:: latex

   \end{landscape}
   \fontsize{12}{5}\selectfont