Перечень разрешающих правил межсетевого экрана, необходимых для работы компонентов Termidesk

На межсетевом экране, использующемся в организации,  нужно задать следующие разрешающие правила для работы компонентов Termidesk.

В таблице приняты обозначения:

  • «Узел-источник» - узел, являющийся инициатором сетевого соединения;
  • «Узел-приемник» - узел, являющийся принимающей стороной сетевого соединения;
  • «Протокол» - протокол транспортного уровня или уровня приложения, используемый в рамках соединения;
  • «Порт приемника» - сетевой порт, прослушиваемый принимающей стороной.

Сетевой порт, открываемый узлом-источником для установления соединения, назначается динамически из диапазона 49152–65535, который определен настройками стека TCP/IP в ОС. В стеке TCP/IP ОС эти значения могут быть изменены.

Перечень правил межсетевого экрана

Узел-источникУзел-приемникПротоколПорт приемникаОписание
«Универсальный диспетчер»
localhost TCP8000Работа веб-сервера «Универсального диспетчера» для обслуживания входящих подключений. Порт открывается на localhost
Контроллеры доменов аутентификацииTCP/UDP389LDAP
TCP3268LDAP
TCP636, 3269LDAPS
Сервер DNSUDP53DNS
Платформа виртуализацииTCP80, 443Для обслуживания запросов к платформе виртуализации
ПК СВ БрестTCP/UDP2633Для взаимодействия с ПК СВ Брест
«Сеcсионный агент»TCP31000Для обслуживания подключений к серверам терминалов, на которых установлен «Сессионный агент»
СУБДTCP5432Для обслуживания запросов к СУБД
Сервер RabbitMQTCP5672, 5671 (TLS)Для обслуживания запросов к RabbitMQ
«Агент виртуального рабочего места»TCP43900-44000Обслуживание удаленных вызовов процедур (RPC)
«Шлюз»TCP8102Для обслуживания запросов проверок состояния (health check) «Шлюза»
«Менеджер рабочих мест»TCP8100Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест»
«Портал пользователя» (устанавливается совместно с «Универсальным диспетчером»)Платформа виртуализацииTCP5634-6166

Для обслуживания подключений VNC к ВМ при подключении к ВРМ.

Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле

Рабочее место администратора
«Универсальный диспетчер»TCP443Защищенное подключение к порталу Termidesk 
«Удаленный помощник» (серверная часть)TCP80, 443Защищенное подключение к серверной части «Удаленного помощника»
«Менеджер рабочих мест»
localhost TCP8100Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест». Порт открывается на localhost
СУБДTCP5432Для обслуживания запросов к СУБД
Сервер RabbitMQTCP5672, 5671 (TLS)Для обслуживания запросов к RabbitMQ
ПК СВ БрестTCP/UDP2633Для взаимодействия с ПК СВ Брест
«Шлюз»
localhost TCP

5099

10000

Для обслуживания входящих подключений к «Шлюзу». Порт открывается на localhost, при распределенной установке - на IP-адресе «0.0.0.0»

localhost TCP8102

Для обслуживания запросов проверок состояния (health check) «Шлюза». Порт открывается на localhost

ГипервизорTCP5634-6166

Для обслуживания подключений SPICE к ВМ.

Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле

Сервер DNSUDP53DNS
«Агент виртуального рабочего места»

TCP3389Для обслуживания подключений по протоколу RDP к ВМ (при подключении пользователя через «Шлюз»)
TCP43900-44000Для корректной работы технологии единого входа (SSO) при подключении через «Шлюз»
TCP5900Для обслуживания подключений по протоколу TERA к ВМ (при подключении пользователя через «Шлюз»)
«Универсальный диспетчер»TCP80, 443Защищенное подключение к порталу Termidesk 
«Клиент»
Сервер DNSUDP53DNS
«Универсальный диспетчер»TCP80, 443Для обслуживания подключений к «Универсальному диспетчеру»
Платформа виртуализацииTCP5634-6166

Для обслуживания подключений SPICE к ВМ при подключении к ВРМ.

Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле

ВМ или сервер терминалов
TCP3389Для обслуживания подключений RDP к ВМ или серверу терминалов
TCP43900-44000Для корректной работы технологии единого входа (SSO) при прямом подключении  к ВРМ (не через «Шлюз»)
Клиент Loudplay (устанавливается на узел с «Клиентом» Termidesk)
Сервер Loudplay
UDP6970, 6971Для обмена видеопотоком между клиентом Loudplay и Сервером Loudplay
UDP6972, 6973Для обмена аудиопотоком между клиентом Loudplay и Сервером Loudplay
UDP6974, 6975Для обмена между клиентом Loudplay и Сервером Loudplay при использовании двух виртуальных мониторов и двух vGPU
TCP8554Для обслуживания подключений к RTSP-серверу
UDP8555Для обмена сообщениями, связанными с клавиатурой и мышью, между клиентом Loudplay и Сервером Loudplay
TCP8556Для обмена RPC-сообщениями между клиентом Loudplay и Сервером Loudplay
TCP8557Для обмена между клиентом Loudplay и Сервером Loudplay
«Агент виртуального рабочего места»






localhost TCP39188Для обслуживания входящих подключений к «Агенту виртуальных рабочих мест». Порт открывается на localhost
«Универсальный диспетчер»TCP80, 443Для подключения к «Универсальному диспетчеру» и передачи информации о готовности ВМ
Контроллеры доменов аутентификации




TCP389LDAP
TCP3268LDAP
TCP636, 3269LDAPS
TCP135RPC
TCP1024-65535SAM/NetLogon
TCP/UDP88Kerberos
TCP445SMB
Сервер DHCPTCP67, 68DHCP
Сервер DNSUDP53DNS
Сервер Loudplay (устанавливается на узел с «Агентом виртуального рабочего места» Termidesk)
Сервер лицензирования Loudplay

TCP5555Для обслуживания API-запросов о лицензиях и их статусе
TCP5556Для обслуживания запросов к модулю лицензирования
«Агент узла виртуализации»localhostTCP17082Для обслуживания входящих подключений к «Агенту узла виртуализации». Порт открывается на localhost
«Сервер терминалов Astra Linux» 

Сервер DNSUDP53DNS
Контроллеры доменов аутентификацииTCP/UDP389LDAP
TCP3268LDAP
TCP636, 3269LDAPS
Сервер DHCPTCP67, 68DHCP
«Оркестратор»
«Универсальный диспетчер»TCP80, 443Для обслуживания подключений к «Универсальному диспетчеру»
Служба облачной идентификации (cloud identity service)TCPНе определен

Для подключения к службе облачной идентификации с целью валидации токена.

Порт определяется архитектурой конкретной облачной платформы

Агент облака (cloud agent)«Оркестратор»TCP80, 443Для обслуживания подключений между агентом облака (не компонент Termidesk) и «Оркестратором»
«Виртуальный модуль Termidesk»«Виртуальный модуль Termidesk»TCP/UDP2379, 2380Подключение ETCD для хранения и синхронизации конфигураций между узлами «Виртуального модуля Termidesk»
«Удаленный помощник» (клиентская часть)
«Удаленный помощник» (серверная часть)TCP/UDP80, 443Для обслуживания подключений к серверной части «Удаленного помощника»
Сервер STUNTCP19302Для обслуживания подключений к серверу STUN (stun://stun.l.google.com:19302)
«Удаленный помощник» (серверная часть)


«Удаленный помощник» (клиентская часть)TCP1024-65535Для обслуживания подключений к клиентской части «Удаленного помощника» WebRTC
localhostTCP6379Для обслуживания подключений к серверу REDIS. В текущей версии порт открывается на localhost
TCP/UPD11211Для обслуживания подключений к серверу Memcached. Порт открывается на localhost