Разрешающие правила межсетевого экрана, необходимые для работы компонентов Termidesk
Перечень разрешающих правил межсетевого экрана, необходимых для работы компонентов Termidesk
На межсетевом экране, использующемся в организации, нужно задать следующие разрешающие правила для работы компонентов Termidesk.
В таблице приняты обозначения:
- «Узел-источник» - узел, являющийся инициатором сетевого соединения;
- «Узел-приемник» - узел, являющийся принимающей стороной сетевого соединения;
- «Протокол» - протокол транспортного уровня или уровня приложения, используемый в рамках соединения;
- «Порт приемника» - сетевой порт, прослушиваемый принимающей стороной.
Сетевой порт, открываемый узлом-источником для установления соединения, назначается динамически из диапазона 49152–65535, который определен настройками стека TCP/IP в ОС. В стеке TCP/IP ОС эти значения могут быть изменены.
Перечень правил межсетевого экрана
| Узел-источник | Узел-приемник | Протокол | Порт приемника | Описание |
|---|---|---|---|---|
| «Универсальный диспетчер» | localhost | TCP | 8000 | Работа веб-сервера «Универсального диспетчера» для обслуживания входящих подключений. Порт открывается на localhost |
| Контроллеры доменов аутентификации | TCP/UDP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| Сервер DNS | UDP | 53 | DNS | |
| Платформа виртуализации | TCP | 80, 443 | Для обслуживания запросов к платформе виртуализации | |
| ПК СВ Брест | TCP/UDP | 2633 | Для взаимодействия с ПК СВ Брест | |
| «Сеcсионный агент» | TCP | 31000 | Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент» | |
| СУБД | TCP | 5432 | Для обслуживания запросов к СУБД | |
| Сервер RabbitMQ | TCP | 5672, 5671 (TLS) | Для обслуживания запросов к RabbitMQ | |
| «Агент виртуального рабочего места» | TCP | 43900-44000 | Обслуживание удаленных вызовов процедур (RPC) | |
| «Шлюз» | TCP | 8102 | Для обслуживания запросов проверок состояния (health check) «Шлюза» | |
| «Менеджер рабочих мест» | TCP | 8100 | Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест» (termidesk-taskman) | |
| TCP | 8103, 8104 | Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест» (termidesk-celery-beat и termidesk-celery-worker) | ||
| «Агент виртуального рабочего места» | TCP | 43900-44000 | Обслуживание удаленных вызовов процедур (RPC) | |
| ВМ | TCP | 3389 | Для обслуживания подключений RDP к ВМ | |
| Рабочее место администратора | «Универсальный диспетчер» | TCP | 443 | Защищенное подключение к порталу Termidesk |
| «Удаленный помощник» (серверная часть) | TCP | 80, 443 | Защищенное подключение к серверной части «Удаленного помощника» | |
| «Менеджер рабочих мест» | localhost | TCP | 8100 | Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест». Порт открывается на localhost |
| СУБД | TCP | 5432 | Для обслуживания запросов к СУБД | |
| Сервер RabbitMQ | TCP | 5672, 5671 (TLS) | Для обслуживания запросов к RabbitMQ | |
| ПК СВ Брест | TCP/UDP | 2633 | Для взаимодействия с ПК СВ Брест | |
| «Шлюз» | TCP | 8102 | Для обслуживания запросов проверок состояния (health check) «Шлюза» | |
| «Универсальный диспетчер» | TCP | 443 | Для опроса состояния компонента «Универсальный диспетчер». Актуально как для «Агрегатора» (приемник - «Агрегатор администратора», «Агрегатор пользователя»), так и для фермы Termidesk (приемник - «Портал администратора», «Портала пользователя») | |
| «Агент виртуального рабочего места» | TCP | 43900-44000 | Обслуживание удаленных вызовов процедур (RPC) для функционала сброса сессии пользователя | |
| «Шлюз» | localhost | TCP | 5099 10000 | Для обслуживания входящих подключений к «Шлюзу». Порт открывается на localhost, при распределенной установке - на IP-адресе 0.0.0.0 |
| localhost | TCP | 8102 | Для обслуживания запросов проверок состояния (health check) «Шлюза». Порт открывается на localhost | |
| Гипервизор | TCP | 5634-6166 | Для обслуживания подключений SPICE к ВМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле | |
| Сервер DNS | UDP | 53 | DNS | |
| «Агент виртуального рабочего места» | TCP | 3389 | Для обслуживания подключений по протоколу RDP к ВМ (при подключении пользователя через «Шлюз») | |
| TCP | 43900-44000 | Для корректной работы технологии единого входа (SSO) при подключении через «Шлюз» | ||
| TCP | 5900 | Для обслуживания подключений по протоколу TERA к ВМ (при подключении пользователя через «Шлюз») | ||
| «Универсальный диспетчер» | TCP | 80, 443 | Защищенное подключение к порталу Termidesk | |
| Терминальный сервер | TCP | 31000 | Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент» | |
| «Клиент» | Сервер DNS | UDP | 53 | DNS |
| «Универсальный диспетчер» | TCP | 80, 443 | Для обслуживания подключений к «Универсальному диспетчеру» | |
| Платформа виртуализации | TCP | 5634-6166 | Для обслуживания подключений SPICE к ВМ при подключении к ВРМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле | |
| ВМ или терминальный сервер | TCP | 3389 | Для обслуживания подключений RDP к ВМ или терминальному серверу | |
| TCP | 43900-44000 | Для корректной работы технологии единого входа (SSO) при прямом подключении к ВРМ (не через «Шлюз») | ||
| TCP | 31000 | Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент» | ||
| Клиент Loudplay (устанавливается на узел с «Клиентом» Termidesk) | Сервер Loudplay | UDP | 6970, 6971 | Для обмена видеопотоком между клиентом Loudplay и Сервером Loudplay |
| UDP | 6972, 6973 | Для обмена аудиопотоком между клиентом Loudplay и Сервером Loudplay | ||
| UDP | 6974, 6975 | Для обмена между клиентом Loudplay и Сервером Loudplay при использовании двух виртуальных мониторов и двух vGPU | ||
| TCP | 8554 | Для обслуживания подключений к RTSP-серверу | ||
| UDP | 8555 | Для обмена сообщениями, связанными с клавиатурой и мышью, между клиентом Loudplay и Сервером Loudplay | ||
| TCP | 8556 | Для обмена RPC-сообщениями между клиентом Loudplay и Сервером Loudplay | ||
| TCP | 8557 | Для обмена между клиентом Loudplay и Сервером Loudplay | ||
| «Агент виртуального рабочего места» | localhost | TCP | 39188 | Для обслуживания входящих подключений к «Агенту виртуальных рабочих мест». Порт открывается на localhost |
| «Универсальный диспетчер» | TCP | 80, 443 | Для подключения к «Универсальному диспетчеру» и передачи информации о готовности ВМ | |
| Контроллеры доменов аутентификации | TCP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| TCP | 135 | RPC | ||
| TCP | 1024-65535 | SAM/NetLogon | ||
| TCP/UDP | 88 | Kerberos | ||
| TCP | 445 | SMB | ||
| Сервер DHCP | TCP | 67, 68 | DHCP | |
| Сервер DNS | UDP | 53 | DNS | |
| Сервер Loudplay (устанавливается на узел с «Агентом виртуального рабочего места» Termidesk) | Сервер лицензирования Loudplay | TCP | 5555 | Для обслуживания API-запросов о лицензиях и их статусе |
| TCP | 5556 | Для обслуживания запросов к модулю лицензирования | ||
| «Агент узла виртуализации» | localhost | TCP | 17082 | Для обслуживания входящих подключений к «Агенту узла виртуализации». Порт открывается на localhost |
| «Сервер терминалов Astra Linux» | Сервер DNS | UDP | 53 | DNS |
| Контроллеры доменов аутентификации | TCP/UDP | 389 | LDAP | |
| TCP | 3268 | LDAP | ||
| TCP | 636, 3269 | LDAPS | ||
| Сервер DHCP | TCP | 67, 68 | DHCP | |
| «Оркестратор» | «Универсальный диспетчер» | TCP | 80, 443 | Для обслуживания подключений к «Универсальному диспетчеру» |
| Служба облачной идентификации (cloud identity service) | TCP | Не определен | Для подключения к службе облачной идентификации с целью валидации токена. Порт определяется архитектурой конкретной облачной платформы | |
| Агент облака (cloud agent) | «Оркестратор» | TCP | 80, 443 | Для обслуживания подключений между агентом облака (не является компонентом Termidesk) и «Оркестратором» |
| «Виртуальный модуль Termidesk» | «Виртуальный модуль Termidesk» | TCP/UDP | 2379, 2380 | Подключение ETCD для хранения и синхронизации конфигураций между узлами «Виртуального модуля Termidesk» |
| «Удаленный помощник» (клиентская часть) | «Удаленный помощник» (серверная часть) | TCP/UDP | 80, 443 | Для обслуживания подключений к серверной части «Удаленного помощника» |
| Сервер STUN | TCP | 19302 | Для обслуживания подключений к серверу STUN (stun://stun.l.google.com:19302) | |
| «Удаленный помощник» (серверная часть) | «Удаленный помощник» (клиентская часть) | TCP | 1024-65535 | Для обслуживания подключений к клиентской части «Удаленного помощника» WebRTC |
| localhost | TCP | 6379 | Для обслуживания подключений к серверу REDIS. В текущей версии порт открывается на localhost | |
| TCP/UPD | 11211 | Для обслуживания подключений к серверу Memcached. Порт открывается на localhost |