Справочный центр ALD Pro 3.2.1
Правила настройки межсетевого экрана, необходимые для работы подсистем ALD Pro¶
Назначение¶
Одним из способов обеспечения безопасности локальной сети организации является отделение от внешней сети. Для этой задачи используются межсетевые экраны. Данная инструкция содержит правила настройки межсетевых экранов, необходимых для работы подсистем ALD Pro.
Требования¶
Нужно разрешать — указывает, нужно ли разрешать сетевое взаимодействие, описываемое в рамках правила, для нормальной работы продукта. Значение «нет» устанавливается в одном из нижеперечисленных случаев.
Порт открывается одним из сопутствующих приложений системы, т.е. его функции не используются в продукте (например, Avahi). Учет таких правил помогает упростить проверку со стороны сотрудников информационной безопасности.
Порт используется для сетевого взаимодействия между компонентами, которые расположены в пределах одного хоста (например, PostgreSQL). Учет таких правил упрощает проверку и помогает лучше понять сетевое взаимодействие между компонентами системы.
Правило устарело и более не требуется (например, правила для GlusterFS). Удержание таких правил в таблице упрощает ретроспективный анализ правил, созданных ранее на сетевом оборудовании.
В обе стороны — указывает, что источник и приемник должны взаимодействовать по указанному порту как в прямом, так и обратном направлении, что позволяет исключить дублирование правил, например, при взаимодействии контроллеров ALD Pro с контроллерами AD DS. Может принимать значения «да/нет».
Источник — группа колонок, описывающих компонент системы, который выступает инициатором сетевого взаимодействия.
Приемник — группа колонок, описывающих компонент системы, который выступает принимающей стороной, то есть открывает серверный порт и ждет входящего сетевого соединения от Источника.
Подсистема — наименование собственного компонента продукта или компонента стороннего вендора, который используется в гибридных сценариях развертывания. Например, контроллер домена, контроллер доверенного домена AD DS, доменный компьютер, компьютер доверенного домена AD DS, сервер репозитория и т.д.
Служба — наименование службы на принимающей стороне, которая непосредственно открывает порт и ожидает входящего сетевого соединения. Например, для контроллера домена это может быть 389 Directory Server (ns-slapd), KDC (krb5kdc), Bind9 (named-pkcs11), Apache (apache2), и т.д.
IP-адрес — описание конкретного адреса или целого сегмента сети, в котором может находиться Источник или Приемник.
Порт — номер сетевого порта, который прослушивает принимающая сторона.
Протокол L3 — наименование протокола транспортного уровня, который используется в рамках соединения, например, TCP или UDP.
Протокол L4 — протокол уровня приложений, используемый в рамках соединени. Например, HTTP, LDAP, Kerberos, DNS, DHCP, TFTP и т.п.
Назначение трафика — описание функционального назначения трафика, какая информация передается между участниками сетевого взаимодействия и для чего. Информация помогает в принятии решения об открытии конкретных портов и отладки возникающих проблем.
Список правил¶
№ |
Нужно разрешать |
В обе стороны |
Источник: Подсистема и IP-адрес |
Приемник: Подсистема, Служба, IP-адрес и Порт |
Протоколы L3 и L4 |
Назначение трафика |
|---|---|---|---|---|---|---|
1 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS DNS IP-адрес контроллера доверенного домена AD DS 53 |
TCP/UDP DNS |
Перенаправление DNS запросов для получения информации из доверенной зоны. Большинство запросов будет обрабатываться с использованием протокола UDP, а переключение на TCP происходит, если ответы сервера будут превышать 512 байт на одно сообщение. По этому же порту происходит динамическое обновление DNS-записей со стороны клиентов по протоколу GSS-TSIG |
2 |
+ |
- |
доменный компьютер IP-адрес контроллера домена |
контроллер доверенного домена AD DS KDC IP-адрес контроллера доверенного домена AD DS 88 |
TCP/UDP KRB5 |
Аутентификация по протоколу Kerberos V5 в доверительных отношениях. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP |
3 |
+ |
- |
доменный компьютер доверенного домена AD DS IP-адрес из локальной сети доверенного домена AD DS |
контроллер домена MIT KDC IP-адрес контроллера домена 88 |
TCP/UDP KRB5 |
Аутентификация по протоколу Kerberos V5 в доверительных отношениях. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP |
4 |
+ |
- |
компьютер доверенного домена AD DS IP-адрес из локальной сети доверенного домена AD DS |
контроллер домена 389 Directory Server (ns-slapd) IP-адрес контроллера домена 3268 |
TCP LDAP |
Обращение к глобальному каталогу ALD Pro из доверенного домена MS Active Directory для получения идентификационной информации, например, при выполнении поиска пользователей домена ALD Pro в оснастках Windows для добавления в списки доступа |
5 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS AD DS IP-адрес контроллера доверенного домена AD DS 3268 |
TCP LDAP |
Обращение службы sssd, установленной на контроллере домена ALD Pro, к глобальному каталогу из доверенного домена MS Active Directory для получения идентификационной информации. Например, при выполнении операции id на компьютерах из домена ALD Pro для получения информации о пользователях доверенного домена MS AD |
6 |
- |
+ |
компьютер доверенного домена AD DS IP-адрес из локальной сети доверенного домена AD DS |
контроллер домена 389 Directory Server (ns-slapd), AD DS IP-адрес контроллера домена 3269 |
TCP LDAPS |
Обращение к службе глобального каталога по зашифрованному протоколу LDAPS со стороны специализированных приложений. В обычных сценариях работы используется протокол LDAP по порту 3268/TCP с переключением на шифрование с помощью операции StartTLS при необходимости |
7 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS AD DS IP-адрес контроллера доверенного домена AD DS 389 |
TCP LDAP (StartTLS) |
Обращение к LDAP для синхронизации информации о пользователях |
8 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS AD DS IP-адрес контроллера доверенного домена AD DS 389 |
UDP LDAP |
Автоматическое обнаружение доступных контроллеров и определение сайта, которому принадлежит клиент. Со стороны ALD Pro автоматическое обнаружение выполняют службы sssd и winbind |
9 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS AD DS IP-адрес контроллера доверенного домена AD DS 389 |
TCP LDAP, LDAP + StartTLS |
Извлечение информации из доверенного домена |
10 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер доверенного домена AD DS AD DS IP-адрес контроллера доверенного домена AD DS 636 |
TCP LDAPS |
Обращение к каталогу из доверенного домена по защищенному протоколу из скриптов автоматизации |
11 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Apache (apache2) IP-адрес контроллера домена 443 |
TCP HTTPS |
Администрирование домена через веб-портал, утилиту ipa, или прямые запросы к REST API |
12 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Apache (apache2) IP-адрес контроллера домена 443 |
TCP HTTPS |
Самообслуживание пользователей через веб-портал |
13 |
+ |
- |
доменный компьютер IP адрес из локальной сети |
контроллер домена Apache (apache2) IP адрес контроллера домена 443 |
TCP HTTPS |
Через этот порт клиенты проксируют WSS-трафик, когда администратор запускает подключение к удаленному рабочему столу через noVNC-клиент, встроенный в портал управления. |
14 |
- |
- |
контроллер домена 127.0.0.1 |
контроллер домена Daphne (python3) 127.0.0.1 8008 |
TCP HTTPS |
Передача всплывающих уведомлений на портале управления. Веб-браузер подключается к веб-сокету по протоколу wss на порт 443 поверх HTTP, а далее запрос проксируется службе Daphne |
15 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Apache (apache2) IP-адрес контроллера домена 80 |
TCP HTTP |
Загрузка публичного корневого сертификата домена, может использоваться для настройки HTTPS, LDAPS http://адрес.контроллера/ipa/config/ca.crt |
16 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Bind9 (named-pkcs11) IP-адрес контроллера домена 53 |
TCP/UDP DNS, GSS-TSIG |
Запрос DNS-записей. Большинство запросов будет обрабатываться с использованием протокола UDP, а переключение на TCP происходит, если ответы сервера будут превышать 512 байт на одно сообщение. По этому же порту происходит динамическое обновление DNS-записей со стороны клиентов по протоколу GSS-TSIG |
17 |
- |
- |
контроллер домена Bind9 (named-pkcs11) 127.0.0.1 953 |
TCP DDNS |
Функция удаленного управления DNS сервером BIND через rndc не требуется, она необходима, например, при настройке динамического обновления DNS-записей с DHCP сервера. Порт слушается только на localhost |
|
18 |
- |
- |
доменный компьютер Fly-dm (fly-dm) 127.0.0.1 177 |
UDP XDMCP |
Функция удаленного входа в систему автономным дисплеем по протоколу XDMCP не используется. Порт слушается только на localhost |
|
19 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена MIT Kerberos (krb5kdc) IP-адрес контроллера домена 88 |
TCP/UDP KRB5 |
Аутентификация пользователей по протоколу Kerberos V5. При отправке сообщения в KDC библиотека попытается использовать TCP перед UDP, если размер сообщения превышает udp_preference_limit из настроек krb5.conf. По умолчанию на клиентах значение равно нулю, поэтому все запросы идут через TCP |
20 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена MIT Kerberos (krb5kdc) IP-адрес контроллера домена 464, 749 |
TCP/UDP KRB5 |
Задачи администрирования, например, создание UPN чрез kadmin, или смена пароля через kpasswd |
21 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Chrony (chronyd) IP-адрес контроллера домена 123 |
UDP NTP |
Синхронизация системного времени на доменных компьютерах с временем на контроллерах домена |
22 |
- |
- |
доменный компьютер Chrony (chronyd) 127.0.0.1 323 |
UDP - |
Функция удаленного управления службой chronyd не требуется |
|
23 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена 389 Directory Server (ns-slapd) IP-адрес контроллера домена 389 |
TCP LDAP |
Взаимодействие с LDAP-каталогом. Например, служба sssd получает так информацию об участии пользователя в группах, HBAC и SUDO правила. Служба sssd не использует LDAPS, но трафик шифруется с помощью SSL, т. к. в начале обмена данными всегда посылается StartTLS |
24 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
контроллер домена 389 Directory Server (ns-slapd) IP-адрес контроллера домена 389, 636 |
TCP LDAP + StartTLS, LDAPS |
Репликация данных каталога между контроллерами домена |
25 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена 389 Directory Server (ns-slapd) IP-адрес контроллера домена 636 |
TCP LDAPS |
Взаимодействие с LDAP-каталогом. Например, с помощью ldapsearch, ldapmodify и др. Утилиты из пакета OpenLDAP по умолчанию используют LDAPS |
26 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
доменный компьютер Flask (python3) IP-адрес из локальной сети 30000 |
TCP HTTP |
Обращение к REST API для получения информации о запущенных сессиях удаленного рабочего стола для подключения ассистента. Адрес интерфейса /aldpro/remote-mgr/sessions, в ответ приходит JSON со списком сессий. На хостах серверной группировки порт рекомендуется блокировать и оставлять только на рабочих станциях пользователей |
27 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
доменный компьютер VNC (x11vnc) через Websockify (python3) IP-адрес из локальной сети 6080-608N |
TCP HTTPS |
Удаленное управление рабочим столом по протоколу VNC. Подключение выполняется к Python приложению Websokify через SSL, которое пересылает данные на порт 5900-590N в x11vnc |
28 |
- |
- |
доменный компьютер VNC (x11vnc) 127.0.0.1 5900-590N |
TCP VNC |
Удаленное управление рабочим столом по протоколу VNC. Порт слушается только на localhost |
|
29 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba (smbd) IP-адрес контроллера домена 135 |
TCP RPC |
Работа EPMAP, сопоставление точек DCE RPC для работы LSA и SAMR в доверительных отношениях |
30 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba (smbd) IP-адрес контроллера домена 1024-1300 |
TCP RPC |
Работа EPMAP, динамически открываемые порты для конечных точек служб DCE RPC в доверительных отношениях |
31 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba NMB Daemon (nmbd) IP-адрес контроллера домена 137 |
UDP NBNS |
Работа NetBIOS Name Service в доверительных отношениях |
32 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba NMB Daemon (nmbd) IP-адрес контроллера домена 138 |
UDP NBNS |
Работа NetBIOS Datagram Service в доверительных отношениях |
33 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba NMB Daemon (smbd) IP-адрес контроллера домена 139 |
TCP NBT |
Работа NetBIOS Session service (Samba services: smbd, winbindd) для выполнения удаленных вызовов со стороны MS AD через SMB при интеграции с MS AD. Протокол SMB может работать поверх NetBIOS для совместимости |
34 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена AD DS |
контроллер домена Samba NMB Daemon (nmbd) IP-адрес контроллера домена 445 |
TCP SMB |
Выполнение удаленных вызовов со стороны MS AD, например, для преобразования SID в имена объектов. Работа DFS |
35 |
- |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена SaltStack (python3) IP-адрес контроллера домена 4505/4506 |
TCP ZMTP |
С версии 2.4.0 служба salt-master более не используется на сервере. Минион удерживает постоянное подключение к мастеру на порту 4505 для получения заданий по модели push/pull и подключается к нему время от времени на порт 4506 для информирования о результатах выполнения назначенных заданий. Через этот механизм происходит развертывание и менеджмент всех подсистем, работа групповых политик и заданий автоматизации |
36 |
- |
- |
контроллер домена SaltStack (python3) IP-адрес контроллера домена 8000 |
TCP HTTP/HTTPS |
Начиная с версии 2.0.0, функции REST API системы конфигурирования SaltStack продуктом не используются. В предыдущих версиях продукта интерфейс использовался бэкендом для передачи команд по localhost, поэтому для любых редакций продукта указанный порт рекомендуется блокировать |
|
37 |
- |
- |
доменный компьютер IP-адрес из локальной сети |
контроллер домена Flask (python3) IP-адрес контроллера домена 5001 |
TCP HTTP |
Начиная с версии 2.0.0 получение сертификатов выполняется через Salt-скрипты. В рамках процедуры конфигурирования подсистемы с доменного компьютера происходит обращение к REST API для выпуска сертификата, который далее передается на хост через шифрованный канал SaltStack |
38 |
- |
- |
доменный компьютер SSH (sshd) IP-адрес из локальной сети 22 |
TCP SSH |
Протокол SSH в работе системы не используется |
|
39 |
- |
- |
контроллер домена PostgreSQL (postgres) 127.0.0.1 5432 |
TCP PostgreSQL |
Функция удаленного доступа к СУБД PostgreSQL не требуется. Скрипты портала управления подключаются к СУБД только локально. Порт слушается только на localhost |
|
40 |
- |
- |
контроллер домена Redis (redis-server 12) 127.0.0.1 6379 |
TCP RESP |
Функция удаленного доступа Redis не требуется. Доступ к данным заданий Celery выполняется только локально. Порт слушается только на localhost |
|
41 |
- |
- |
доменный компьютер CUPS (cupsd) 127.0.0.1 631 |
TCP IPP |
Сервер печати CUPS входит в стандартные дистрибутивы Astra Linux и автоматически устанавливается и запускается при инсталляции ОС. Порт слушается только на localhost |
|
42 |
- |
- |
доменный компьютер Avahi (avahi-daemon) IP-адрес из локальной сети 5353, 40000-59999 |
UDP mDNS |
Функции преобразования имен хостов в IP-адреса через mDNS в доменной инфраструктуре не используются |
|
43 |
- |
- |
сервер общего доступа к файлам Bind9 (named) 127.0.0.1 53 |
TCP/UDP DNS |
Функции Samba по обработке DNS-запросов на сервере общего доступа к файлам не используются |
|
44 |
- |
- |
сервер общего доступа к файлам Bind9 (named) 127.0.0.1 953 |
TCP DDNS |
Функции Samba по обработке DNS-запросов на сервере общего доступа к файлам не используются. Порт слушается только на localhost |
|
45 |
- |
- |
сервер общего доступа к файлам Samba (smbd) IP-адрес сервера общего доступа к файлам 135 |
TCP RPC |
Функции EPMAP на сервере общего доступа к файлам не используются |
|
46 |
- |
- |
сервер общего доступа к файлам Samba (smbd) IP-адрес сервера общего доступа к файлам 1024-1300 |
TCP RPC |
Функции EPMAP на сервере общего доступа к файлам не используются |
|
47 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер общего доступа к файлам Samba NMB Daemon (nmbd) IP-адрес сервера общего доступа к файлам 137 |
UDP NBNS |
Работа NetBIOS network browsing (nmbd) |
48 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер общего доступа к файлам Samba NMB Daemon (nmbd) IP-адрес сервера общего доступа к файлам 138 |
UDP NBNS |
Работа NetBIOS name service (nmbd) |
49 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер общего доступа к файлам Samba NMB Daemon (nmbd) IP-адрес сервера общего доступа к файлам 139 |
TCP NBT |
Общий доступ к файлам |
50 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер общего доступа к файлам Samba NMB Daemon (nmbd) IP-адрес сервера общего доступа к файлам 445 |
TCP SMB |
Общий доступ к файлам без NetBIOS |
51 |
- |
- |
сервер общего доступа к файлам Samba (smbd) IP-адрес сервера общего доступа к файлам 80, 443 |
TCP HTTP, HTTPS |
Функции сервера Apache не используются, устанавливается как зависимость |
|
52 |
+ |
- |
доменный компьютер 0.0.0.0 |
сервер DHCP DHCP (dhcpd) 255.255.255.255 67 |
UDP DHCP |
Клиенты отправляют серверу широковещательные запросы для получения сетевых настроек (discover, request) |
53 |
+ |
- |
сервер DHCP IP-адрес DHCP-сервера |
доменный компьютер DHCP Client (dhclient) 255.255.255.255, IP-адрес доменного компьютера 68 |
UDP DHCP |
Сервер отправляет клиентам широковещательные ответы, Ack уходит на IP адрес хоста |
54 |
+ |
- |
компьютер локальной сети IP-адрес из локальной сети |
сервер PXE Dnsmasq (dnsmasq) IP-адрес сервера PXE 69 |
UDP TFTP |
Клиенты скачивают загрузчик с сервера PXE |
55 |
- |
- |
компьютер локальной сети IP-адрес из локальной сети |
сервер PXE vsFTP (vsftpd) IP-адрес сервера PXE 21 |
TCP FTP |
Устанавливается, как зависимость |
56 |
+ |
- |
компьютер локальной сети IP-адрес из локальной сети |
сервер PXE Apache (apache2) IP-адрес сервера PXE 80 |
TCP HTTP |
Клиенты получают установочные файлы с сервера PXE. Используется нешифрованный HTTP протокол |
57 |
- |
- |
компьютер локальной сети IP-адрес из локальной сети |
сервер PXE Apache (apache2) IP-адрес сервера PXE 443 |
TCP HTTPS |
Порт открывается Apache, но загрузка файлов с PXE сервера осуществляется по обычному HTTP |
58 |
- |
- |
сервер PXE Dnsmasq (dnsmasq) IP-адрес сервера PXE 53 |
TCP/UDP DNS |
Функции Dnsmasq по обработке DNS-запросов на сервере PXE не используются |
|
59 |
- |
- |
сервер PXE Redis (redis-server 12) 127.0.0.1 6379 |
TCP RESP |
Функция удаленного доступа Redis не требуется. Порт слушается только на localhost |
|
60 |
- |
- |
сервер PXE PostgreSQL (postgres) 127.0.0.1 5432 |
TCP PostgreSQL |
Функция удаленного доступа к СУБД PostgreSQL не требуется. Скрипты подключается к СУБД только локально. Порт слушается только на localhost |
|
61 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
Любой IP-адрес глобальной сети 80, 443 |
TCP HTTP, HTTPS |
Доступ к публичным репозиториям для загрузки пакетов по протоколам HTTP и HTTPS |
62 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер репозитория Apache (apache2) IP-адрес сервера репозитория 80, 443 |
TCP HTTP, HTTPS |
Доступ к корпоративным репозиториям для загрузки пакетов по протоколам HTTP и HTTPS |
63 |
- |
- |
сервер репозитория IP-адрес сервера репозитория |
сервер репозитория PostgreSQL (postgres) IP-адрес сервера репозитория 5432 |
TCP PostgreSQL |
Ранее между серверами репозиториев выполнялась репликация СУБД средствами PostgreSQL, но с версии ALD Pro 2.4 ее уже нет, поэтому настраивать правило более не требуется. |
64 |
- |
- |
сервер репозитория Redis (redis-server 12) 127.0.0.1 6379 |
TCP RESP |
Функция удаленного доступа Redis не требуется. Порт слушается только на localhost |
|
65 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
сервер печати CUPS (cupsd) IP-адрес сервера печати 631 |
TCP HTTP, HTTPS |
Администрирование CUPS через веб-интерфейс: управление принтерами, заданиями печати, драйверами и т.п. |
66 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер печати CUPS (cupsd) IP-адрес сервера печати 631 |
TCP HTTP, HTTPS |
Самообслуживание пользователей через веб-интерфейс CUPS. При просмотре заданий доступен только их номер, название принтера и размер файла (название или содержимое недоступно ни пользователю, ни администратору) |
67 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер печати CUPS (cupsd) IP-адрес сервера печати 631 |
TCP IPP |
Взаимодействие клиента с сервером для получения списка доступных принтеров, отправки заданий на печать, получение статуса заданий |
68 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер печати IP-адрес сервера печати 80 |
TCP HTTP |
Обращение к REST API для загрузки драйверов *.ppd в каталог /usr/share/cups/model/ На уровне сети доступ нужно разрешить только для контроллеров домена |
69 |
+ |
- |
сервер мониторинга IP-адрес сервера мониторинга |
хост серверной группировки Zabbix (zabbix_agentd) IP-адрес серверной группировки 10050 |
TCP Zabbix/JSON |
Получение подсистемой мониторинга данных с хостов при пассивном режиме работы. Обращение происходит только к хостам серверной группировки |
70 |
+ |
- |
хост серверной группировки IP-адрес серверной группировки |
сервер мониторинга Zabbix (zabbix_server) IP-адрес сервера мониторинга 10051 |
TCP Zabbix/JSON |
Передача хостами данных в подсистему мониторинга в активном режиме работы. Обращение происходит только с хостов серверной группировки |
71 |
+ |
- |
контроллер домена IP-адрес контроллера домена |
сервер мониторинга Apache (apache2) IP-адрес сервера мониторинга 80, 443 |
TCP HTTP, HTTPS |
Администрирование Zabbix через веб-портал и прямые запросы к REST API |
72 |
- |
- |
сервер мониторинга SNMP (snmpd) IP-адрес сервера мониторинга 161 |
UDP SNMP |
Функция мониторинга через SNMP не используется. Порт слушается только на localhost |
|
73 |
- |
- |
доменный компьютер IP-адрес из локальной сети |
сервер журналирования Fluentd (ruby) IP-адрес сервера журналирования 24222 |
TCP/UDP Fluent |
Правило устарело, fluent заменен на syslog-ng.Агенты подключаются к серверу для передачи событий |
74 |
+ |
- |
доменный компьютер IP-адрес из локальной сети |
сервер журналирования Syslog-NG (syslog-ng) IP-адрес сервера журналирования 514 |
TCP Syslog-NG (syslog-ng) |
Агенты подключаются к серверу для передачи событий |
75 |
+ |
- |
доменный компьютер IP-адрес доменного компьютера |
сервер мониторинга Apache (apache2) IP-адрес сервера мониторинга 3000 |
TCP HTTPS |
Просмотр панелей мониторинга Grafana из портала управления, прямой вход в веб-интрерфейс Grafana |
76 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 4369 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Служба обнаружения одноранговых узлов, используемая узлами RabbitMQ и инструментами CLI |
77 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 5672, 5671 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты AMQP 1.0 |
78 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 5552, 5551 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты протокола RabbitMQ Stream |
79 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 6000 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Потоковая репликация |
80 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 25672 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Связь между узлами и инструментами CLI (порт сервера распространения Erlang), выделяется из динамического диапазона (по умолчанию ограничен одним портом, вычисляемым как порт AMQP + 20000) |
81 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 35672-35682 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Инструменты CLI (клиентские порты распределения Erlang) для связи с узлами, выделяется из динамического диапазона (рассчитывается как порт распределения сервера + 10000 через порт распределения сервера + 10010) |
82 |
- |
- |
контроллер домена IP-адрес доменного компьютера |
контроллер домена RabbitMQ IP-адрес контроллера домена 15672, 15671 |
TCP AMQP |
С версии 2.2.0 не требуется, узлы RabbitMQ более не объединяются в кластер, обращение к RabbitMQ выполняется только локально. Клиенты HTTP API, пользовательский интерфейс управления и Rabbitmqadmin (когда включен плагин управления) |
83 |
+ |
- |
сервер репозитория (мастер) IP-адрес сервера репозитория (мастер) |
сервер репозитория (реплика) OpenSSH server (sshd) IP-адрес сервера репозитория (реплика) 22 |
TCP SSH |
Служба lsyncd подключается к репликам по протоколу ssh и использует утилиту rsync для копирования файлов и папок |
84 |
+ |
+ |
контроллер доверенного домена AD DS IP-адрес контроллера домена |
контроллер домена 389 Directory Server IP-адрес контроллера домена 636 |
TCP LDAPS |
Доступ к БД LDAP MS AD для службы синхронизации. |
85 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер домена 389 Directory Server IP-адрес контроллера домена 636 |
TCP LDAPS |
Доступ к БД LDAP ALD Pro через портал управления. Доступ к БД LDAP ALD Pro для службы синхронизации. Доступ к БД LDAP ALD Pro для сервера ALD Pro. |
86 |
- |
- |
контроллер домена PostgreSQL (postgres) 127.0.0.1 5432 |
TCP PostgreSQL |
Доступ к БД PostgreSQL через портал управления. Доступ к БД PostgreSQL для службы синхронизации. |
|
87 |
+ |
+ |
контроллер домена IP-адрес контроллера домена |
контроллер домена Apache (apache2) IP-адрес контроллера домена 443 |
TCP HTTPS |
Подключение через портал управления к серверу ALD Pro. Подключение службы синхронизации к серверу ALD Pro. |
88 |
- |
- |
контроллер домена IP-адрес контроллера домена |
контроллер домена Gluster IP-адрес контроллера домена 24007 |
TCP/UDP - |
С версии 2.2.0 служба Gluster более не используется. Служба Gluster |
89 |
- |
- |
контроллер домена IP-адрес контроллера домена |
контроллер домена Gluster IP-адрес контроллера домена 24008 |
TCP/UDP - |
С версии 2.2.0 служба Gluster более не используется. Менеджмент |
90 |
- |
- |
контроллер домена IP-адрес контроллера домена |
контроллер домена Gluster IP-адрес контроллера домена 49152-50152 |
TCP/UDP - |
С версии 2.2.0 служба Gluster более не используется. На каждый volume, в продукте указан конкретно 50 000 |
91 |
- |
- |
контроллер домена IP-адрес контроллера домена |
контроллер домена Gluster IP-адрес контроллера домена 111 |
TCP/UDP - |
С версии 2.2.0 служба Gluster более не используется. portmapper |