Download PDF
Download page Разрешающие правила межсетевого экрана, необходимые для работы компонентов Termidesk.
Разрешающие правила межсетевого экрана, необходимые для работы компонентов Termidesk
Перечень разрешающих правил межсетевого экрана, необходимых для работы компонентов Termidesk
На межсетевом экране, использующемся в организации, нужно задать следующие разрешающие правила для работы компонентов Termidesk.
В таблице приняты обозначения:
- «Узел-источник» - узел, являющийся инициатором сетевого соединения;
- «Узел-приемник» - узел, являющийся принимающей стороной сетевого соединения;
- «Протокол» - протокол транспортного уровня или уровня приложения, используемый в рамках соединения;
- «Порт приемника» - сетевой порт, прослушиваемый принимающей стороной.
Сетевой порт, открываемый узлом-источником для установления соединения, назначается динамически из диапазона 49152–65535, который определен настройками стека TCP/IP в ОС. В стеке TCP/IP ОС эти значения могут быть изменены.
| Узел-источник | Узел-приемник | Протокол | Порт приемника | Описание |
|---|---|---|---|---|
| «Универсальный диспетчер» |
localhost
| TCP | 8000 | Работа веб-сервера «Универсального диспетчера» для обслуживания входящих подключений. Порт открывается на localhost |
| Контроллеры доменов аутентификации | TCP/UDP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| Сервер DNS | UDP | 53 | DNS | |
| Платформа виртуализации | TCP | 80, 443 | Для обслуживания запросов к платформе виртуализации | |
| ПК СВ Брест | TCP/UDP | 2633 | Для взаимодействия с ПК СВ Брест | |
| «Сеcсионный агент» | TCP | 31000 | Для обслуживания подключений к серверам терминалов, на которых установлен «Сессионный агент» | |
| СУБД | TCP | 5432 | Для обслуживания запросов к СУБД | |
| Сервер RabbitMQ | TCP | 5672, 5671 (TLS) | Для обслуживания запросов к RabbitMQ | |
| «Агент виртуального рабочего места» | TCP | 43900-44000 | Обслуживание удаленных вызовов процедур (RPC) | |
| «Шлюз» | TCP | 8102 | Для обслуживания запросов проверок состояния (health check) «Шлюза» | |
| «Менеджер рабочих мест» | TCP | 8100 | Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест» | |
| «Портал пользователя» (устанавливается совместно с «Универсальным диспетчером») | Платформа виртуализации | TCP | 5900-65535 | Для обслуживания подключений VNC к ВМ при подключении к ВРМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле |
| Рабочее место администратора | «Универсальный диспетчер» | TCP | 443 | Защищенное подключение к порталу Termidesk |
| «Удаленный помощник» (серверная часть) | TCP | 80, 443 | Защищенное подключение к серверной части «Удаленного помощника» | |
| «Менеджер рабочих мест» |
localhost
| TCP | 8100 | Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест». Порт открывается на localhost |
| СУБД | TCP | 5432 | Для обслуживания запросов к СУБД | |
| Сервер RabbitMQ | TCP | 5672, 5671 (TLS) | Для обслуживания запросов к RabbitMQ | |
| ПК СВ Брест | TCP/UDP | 2633 | Для взаимодействия с ПК СВ Брест | |
| «Шлюз» |
localhost
| TCP | 5099 | Для обслуживания входящих подключений к «Шлюзу». Порт открывается на |
localhost
| TCP | 8102 | Для обслуживания запросов проверок состояния (health check) «Шлюза». Порт открывается на | |
| Платформа виртуализации | TCP | 5900-65535 | Для обслуживания подключений SPICE к ВМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле | |
| Сервер DNS | UDP | 53 | DNS | |
| «Агент виртуального рабочего места» | TCP | 3389 | Для обслуживания подключений по протоколу RDP к ВМ (при подключении пользователя через «Шлюз») | |
| TCP | 43900-44000 | Для корректной работы технологии единого входа (SSO) при подключении через «Шлюз» | ||
| «Клиент» | Сервер DNS | UDP | 53 | DNS |
| «Универсальный диспетчер» | TCP | 80, 443 | Для обслуживания подключений к «Универсальному диспетчеру» | |
| Платформа виртуализации | TCP | 5900-65535 | Для обслуживания подключений SPICE к ВМ при подключении к ВРМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле | |
| ВМ или сервер терминалов | TCP | 3389 | Для обслуживания подключений RDP к ВМ или серверу терминалов | |
| TCP | 43900-44000 | Для корректной работы технологии единого входа (SSO) при прямом подключении к ВРМ (не через «Шлюз») | ||
| Клиент Loudplay (устанавливается на узел с «Клиентом» Termidesk) | Сервер Loudplay | UDP | 6970, 6971 | Для обмена видеопотоком между клиентом Loudplay и Сервером Loudplay |
| UDP | 6972, 6973 | Для обмена аудиопотоком между клиентом Loudplay и Сервером Loudplay | ||
| UDP | 6974, 6975 | Для обмена между клиентом Loudplay и Сервером Loudplay при использовании двух виртуальных мониторов и двух vGPU | ||
| TCP | 8554 | Для обслуживания подключений к RTSP-серверу | ||
| UDP | 8555 | Для обмена сообщениями, связанными с клавиатурой и мышью, между клиентом Loudplay и Сервером Loudplay | ||
| TCP | 8556 | Для обмена RPC-сообщениями между клиентом Loudplay и Сервером Loudplay | ||
| TCP | 8557 | Для обмена между клиентом Loudplay и Сервером Loudplay | ||
| «Агент виртуального рабочего места» |
localhost
| TCP | 39188 | Для обслуживания входящих подключений к «Агенту виртуальных рабочих мест». Порт открывается на localhost |
| «Универсальный диспетчер» | TCP | 80, 443 | Для подключения к «Универсальному диспетчеру» и передачи информации о готовности ВМ | |
| Контроллеры доменов аутентификации | TCP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| TCP | 135 | RPC | ||
| TCP | 1024-65535 | SAM/NetLogon | ||
| TCP/UDP | 88 | Kerberos | ||
| TCP | 445 | SMB | ||
| Сервер DHCP | TCP | 67, 68 | DHCP | |
| Сервер Loudplay (устанавливается на узел с «Агентом виртуального рабочего места» Termidesk) | Сервер лицензирования Loudplay | TCP | 5555 | Для обслуживания API-запросов о лицензиях и их статусе |
| TCP | 5556 | Для обслуживания запросов к модулю лицензирования | ||
| «Агент узла виртуализации» | «Агент узла виртуализации» | TCP | 17082 | Для обслуживания входящих подключений к «Агенту узла виртуализации». Порт открывается на localhost |
| «Сервер терминалов Astra Linux» | Сервер DNS | UDP | 53 | DNS |
| Контроллеры доменов аутентификации | TCP/UDP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| «Оркестратор» | «Универсальный диспетчер» | TCP | 80, 443 | Для обслуживания подключений к «Универсальному диспетчеру» |
| Служба облачной идентификации (cloud identity service) | TCP | Не определен | Для подключения к службе облачной идентификации с целью валидации токена. Порт определяется архитектурой конкретной облачной платформы | |
| Агент облака (cloud agent) | «Оркестратор» | TCP | 80, 443 | Для обслуживания подключений между агентом облака (не компонент Termidesk) и «Оркестратором» |
| «Виртуальный модуль Termidesk» | «Виртуальный модуль Termidesk» | TCP/UDP | 2379, 2380 | Подключение ETCD для хранения и синхронизации конфигураций между узлами «Виртуального модуля Termidesk» |
| «Удаленный помощник» (клиентская часть) | «Удаленный помощник» (серверная часть) | TCP/UDP | 80, 443 | Для обслуживания подключений к серверной части «Удаленного помощника» |
| Сервер STUN | TCP | 19302 | Для обслуживания подключений к серверу STUN (stun://stun.l.google.com:19302) | |
| «Удаленный помощник» (серверная часть) | «Удаленный помощник» (клиентская часть) | TCP | 1024-65535 | Для обслуживания подключений к клиентской части «Удаленного помощника» |