Leider finde ich in der Doku und auch im Forum keine Hinweise, welche Ports eine lokale Firewall am OPSI -Server freigeben muß.
Nach Beendigung des VNC-Servers und des DHCP-Servers (die ich beide nicht brauche) bleiben mir folgende Dienste klar:
* ssh (22)
* 4447
* 139
* 445
Wenn ich diese vier Ports dem LAN öffne und alles andere schließe, können dennoch bestimmte Funktionen nicht ausgeführet werden; zB. "Wake Selected Clients".
Weiters müsste wohl noch für tftp gesorgt werden, damit netboot funktioniert.
Was brauche ich noch? Was habe ich sonst noch übersehen?
Gruß, E.R.
Firewall: benötigte Ports?
Re: Firewall: benötigte Ports?
Hi,
tftp (69)
netbios (138)
dns (53)
hilft das ?
gruss
detlef oertel
Hinzufügen :ssh (22)
* 4447
* 139
* 445
tftp (69)
netbios (138)
dns (53)
hilft das ?
gruss
detlef oertel
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: Firewall: benötigte Ports?
OK, danke.
Zwecks Dokumentation für alle:
OPSI 3.3 auf debian etch benötigt folgende Ports:
* 53/tcp dns
* 53/udp dns
* Vorkehrungen für dhcp
WEITERS:
Bei "Wake Selected Clients" werden Pakete an 255.255.255.255 an die Ports 12287/udp und 67/udp gesandt, die (zumindest von meinem Firewallscript, fiaif) als MARTIAN qualifiziert und weggeworfen werden. Daher:
* iptables -I OUTPUT -s [OPSIServer_Interface_IP_Addr] -d 255.255.255.255 -p udp --dport 12287 -j ACCEPT
* iptables -I OUTPUT -s 0.0.0.0 -d 255.255.255.255 -p udp --dport 67 -j ACCEPT
Ich weiß nicht, wieso das so gehandhabt wird; es würde doch genügen, diese Pakete an die Broadcastadresse des betreffenden Subnetzes zu senden?
Jedenfalls funktioniert die Sache so bei uns.
Gruß, E.
Zwecks Dokumentation für alle:
OPSI 3.3 auf debian etch benötigt folgende Ports:
- 22/tcp ssh # auch die Windows-Clients brauchen ssh, soferne partitionen gesichert werden sooen (netboot ntfs-write-image...)
69/udp tftp
137/udp samba
138/tcp samba
138/udp samba
139/tcp samba
139/udp samba
445/tcp samba
445/udp samba
4447/tcp opsi
* 53/tcp dns
* 53/udp dns
* Vorkehrungen für dhcp
WEITERS:
Bei "Wake Selected Clients" werden Pakete an 255.255.255.255 an die Ports 12287/udp und 67/udp gesandt, die (zumindest von meinem Firewallscript, fiaif) als MARTIAN qualifiziert und weggeworfen werden. Daher:
* iptables -I OUTPUT -s [OPSIServer_Interface_IP_Addr] -d 255.255.255.255 -p udp --dport 12287 -j ACCEPT
* iptables -I OUTPUT -s 0.0.0.0 -d 255.255.255.255 -p udp --dport 67 -j ACCEPT
Ich weiß nicht, wieso das so gehandhabt wird; es würde doch genügen, diese Pakete an die Broadcastadresse des betreffenden Subnetzes zu senden?
Jedenfalls funktioniert die Sache so bei uns.
Gruß, E.