forum.opsi.org

Leider finde ich in der Doku und auch im Forum keine Hinweise, welche Ports eine lokale Firewall am OPSI -Server freigeben muß.
Nach Beendigung des VNC-Servers und des DHCP-Servers (die ich beide nicht brauche) bleiben mir folgende Dienste klar:

* ssh (22)
* 4447
* 139
* 445

Wenn ich diese vier Ports dem LAN öffne und alles andere schließe, können dennoch bestimmte Funktionen nicht ausgeführet werden; zB. "Wake Selected Clients".
Weiters müsste wohl noch für tftp gesorgt werden, damit netboot funktioniert.

Was brauche ich noch? Was habe ich sonst noch übersehen?

Gruß, E.R.

Hi,

ssh (22)
* 4447
* 139
* 445

Hinzufügen :
tftp (69)
netbios (138)
dns (53)

hilft das ?

gruss
detlef oertel

OK, danke.
Zwecks Dokumentation für alle:

OPSI 3.3 auf debian etch benötigt folgende Ports:

• 22/tcp ssh # auch die Windows-Clients brauchen ssh, soferne partitionen gesichert werden sooen (netboot ntfs-write-image...)
  69/udp tftp
  137/udp samba
  138/tcp samba
  138/udp samba
  139/tcp samba
  139/udp samba
  445/tcp samba
  445/udp samba
  4447/tcp opsi

sowie, wenn DNS bzw. DHCP am OPSI-Server laufen:
* 53/tcp dns
* 53/udp dns
* Vorkehrungen für dhcp

WEITERS:
Bei "Wake Selected Clients" werden Pakete an 255.255.255.255 an die Ports 12287/udp und 67/udp gesandt, die (zumindest von meinem Firewallscript, fiaif) als MARTIAN qualifiziert und weggeworfen werden. Daher:

* iptables -I OUTPUT -s [OPSIServer_Interface_IP_Addr] -d 255.255.255.255 -p udp --dport 12287 -j ACCEPT
* iptables -I OUTPUT -s 0.0.0.0 -d 255.255.255.255 -p udp --dport 67 -j ACCEPT

Ich weiß nicht, wieso das so gehandhabt wird; es würde doch genügen, diese Pakete an die Broadcastadresse des betreffenden Subnetzes zu senden?

Jedenfalls funktioniert die Sache so bei uns.

Gruß, E.