Разрешающие правила межсетевого экрана, необходимые для работы компонентов Termidesk

Перечень разрешающих правил межсетевого экрана, необходимых для работы компонентов Termidesk

На межсетевом экране, использующемся в организации, нужно задать следующие разрешающие правила для работы компонентов Termidesk.

В таблице приняты обозначения:

«Узел-источник» - узел, являющийся инициатором сетевого соединения;
«Узел-приемник» - узел, являющийся принимающей стороной сетевого соединения;
«Протокол» - протокол транспортного уровня или уровня приложения, используемый в рамках соединения;
«Порт приемника» - сетевой порт, прослушиваемый принимающей стороной.

Сетевой порт, открываемый узлом-источником для установления соединения, назначается динамически из диапазона 49152–65535, который определен настройками стека TCP/IP в ОС. В стеке TCP/IP ОС эти значения могут быть изменены.

Перечень правил межсетевого экрана

Узел-источник	Узел-приемник	Протокол	Порт приемника	Описание
«Универсальный диспетчер»	localhost	TCP	8000	Работа веб-сервера «Универсального диспетчера» для обслуживания входящих подключений. Порт открывается на localhost
	Контроллеры доменов аутентификации	TCP/UDP	389	LDAP
		TCP	3268	LDAP
		TCP	636, 3269	LDAPS
	Сервер DNS	UDP	53	DNS
	Платформа виртуализации	TCP	80, 443	Для обслуживания запросов к платформе виртуализации
	ПК СВ Брест	TCP/UDP	2633	Для взаимодействия с ПК СВ Брест
	«Сеcсионный агент»	TCP	31000	Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент»
	СУБД	TCP	5432	Для обслуживания запросов к СУБД
	Сервер RabbitMQ	TCP	5672, 5671 (TLS)	Для обслуживания запросов к RabbitMQ
	«Агент виртуального рабочего места»	TCP	43900-44000	Обслуживание удаленных вызовов процедур (RPC)
	ВМ	TCP	3389	Для обслуживания подключений RDP к ВМ
Рабочее место администратора	«Универсальный диспетчер»	TCP	443	Защищенное подключение к порталу Termidesk
Рабочее место администратора	«Удаленный помощник» (серверная часть)	TCP	80, 443	Защищенное подключение к серверной части «Удаленного помощника»
«Менеджер рабочих мест»	localhost	TCP	8103, 8104	Для обслуживания запросов проверок состояния (health check) «Менеджера рабочих мест». Порт открывается на localhost
	СУБД	TCP	5432	Для обслуживания запросов к СУБД
	Сервер RabbitMQ	TCP	5672, 5671 (TLS)	Для обслуживания запросов к RabbitMQ
	ПК СВ Брест	TCP/UDP	2633	Для взаимодействия с ПК СВ Брест
	«Шлюз»	TCP	8102	Для обслуживания запросов проверок состояния (health check) «Шлюза»
	«Универсальный диспетчер»	TCP	443	Для опроса состояния компонента «Универсальный диспетчер». Актуально как для «Агрегатора» (приемник - «Агрегатор администратора», «Агрегатор пользователя»), так и для фермы Termidesk (приемник - «Портал администратора», «Портала пользователя»)
	«Агент виртуального рабочего места»	TCP	43900-44000	Обслуживание удаленных вызовов процедур (RPC) для функционала сброса сессии пользователя
	Терминальный сервер	TCP	31000	Для получения состояния сессий, управления ими и периодического опроса состояния регистрации терминальных серверов, на которых установлен «Сессионный агент»
	Сервер электронной почты	TCP	25 (SMTP), 587 (SMTP Authentication), 465 (SMTPS)	Для отправки уведомлений «Универсального диспетчера» на сервер электронной почты
«Шлюз»	localhost	TCP	5099 10000	Для обслуживания входящих подключений к «Шлюзу». Порт открывается на localhost, при распределенной установке - на IP-адресе 0.0.0.0
	localhost	TCP	8102	Для обслуживания запросов проверок состояния (health check) «Шлюза». Порт открывается на localhost
	Гипервизор	TCP	5634-6166	Для обслуживания подключений SPICE к ВМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле
	Сервер DNS	UDP	53	DNS
	«Агент виртуального рабочего места»	TCP	3389	Для обслуживания подключений по протоколу RDP к ВМ (при подключении пользователя через «Шлюз»)
		TCP	43900-44000	Для корректной работы технологии единого входа (SSO) при подключении через «Шлюз»
		TCP	5900	Для обслуживания подключений по протоколу TERA к ВМ (при подключении пользователя через «Шлюз»)
	«Универсальный диспетчер»	TCP	80, 443	Защищенное подключение к порталу Termidesk
	Терминальный сервер	TCP	31000	Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент»
«Клиент»	Сервер DNS	UDP	53	DNS
	«Универсальный диспетчер»	TCP	80, 443	Для обслуживания подключений к «Универсальному диспетчеру»
	Платформа виртуализации	TCP	5634-6166	Для обслуживания подключений SPICE к ВМ при подключении к ВРМ. Фактический верхний предел диапазона портов определяется платформой виртуализации и зависит от количества ВМ на ее узле
	ВМ или терминальный сервер	TCP	3389	Для обслуживания подключений RDP к ВМ или терминальному серверу
		TCP	43900-44000	Для корректной работы технологии единого входа (SSO) при прямом подключении к ВРМ (не через «Шлюз»)
		TCP	31000	Для обслуживания подключений к терминальным серверам, на которых установлен «Сессионный агент»
Клиент Loudplay (устанавливается на узел с «Клиентом» Termidesk)	Сервер Loudplay	UDP	6970, 6971	Для обмена видеопотоком между клиентом Loudplay и Сервером Loudplay
		UDP	6972, 6973	Для обмена аудиопотоком между клиентом Loudplay и Сервером Loudplay
		UDP	6974, 6975	Для обмена между клиентом Loudplay и Сервером Loudplay при использовании двух виртуальных мониторов и двух vGPU
		TCP	8554	Для обслуживания подключений к RTSP-серверу
		UDP	8555	Для обмена сообщениями, связанными с клавиатурой и мышью, между клиентом Loudplay и Сервером Loudplay
		TCP	8556	Для обмена RPC-сообщениями между клиентом Loudplay и Сервером Loudplay
		TCP	8557	Для обмена между клиентом Loudplay и Сервером Loudplay
«Агент виртуального рабочего места»	localhost	TCP	39188	Для обслуживания входящих подключений к «Агенту виртуальных рабочих мест». Порт открывается на localhost
	«Универсальный диспетчер»	TCP	80, 443	Для подключения к «Универсальному диспетчеру» и передачи информации о готовности ВМ
	Контроллеры доменов аутентификации	TCP	389	LDAP
		TCP	3268	LDAP
		TCP	636, 3269	LDAPS
		TCP	135	RPC
		TCP	1024-65535	SAM/NetLogon
		TCP/UDP	88	Kerberos
		TCP	445	SMB
	Сервер DHCP	TCP	67, 68	DHCP
	Сервер DNS	UDP	53	DNS
Сервер Loudplay (устанавливается на узел с «Агентом виртуального рабочего места» Termidesk)	Сервер лицензирования Loudplay	TCP	5555	Для обслуживания API-запросов о лицензиях и их статусе
	Сервер лицензирования Loudplay	TCP	5556	Для обслуживания запросов к модулю лицензирования
«Агент узла виртуализации»	localhost	TCP	17082	Для обслуживания входящих подключений к «Агенту узла виртуализации». Порт открывается на localhost
«Сервер терминалов Astra Linux»	Сервер DNS	UDP	53	DNS
	Контроллеры доменов аутентификации	TCP/UDP	389	LDAP
		TCP	3268	LDAP
		TCP	636, 3269	LDAPS
	Сервер DHCP	TCP	67, 68	DHCP
«Оркестратор»	«Универсальный диспетчер»	TCP	80, 443	Для обслуживания подключений к «Универсальному диспетчеру»
«Оркестратор»	Служба облачной идентификации (cloud identity service)	TCP	Не определен	Для подключения к службе облачной идентификации с целью валидации токена. Порт определяется архитектурой конкретной облачной платформы
Агент облака (cloud agent)	«Оркестратор»	TCP	80, 443	Для обслуживания подключений между агентом облака (не является компонентом Termidesk) и «Оркестратором»
«Виртуальный модуль Termidesk»	«Виртуальный модуль Termidesk»	TCP/UDP	2379, 2380	Подключение ETCD для хранения и синхронизации конфигураций между узлами «Виртуального модуля Termidesk»
«Удаленный помощник» (клиентская часть)	«Удаленный помощник» (серверная часть)	TCP/UDP	80, 443	Для обслуживания подключений к серверной части «Удаленного помощника»
«Удаленный помощник» (клиентская часть)	Сервер STUN	TCP	19302	Для обслуживания подключений к серверу STUN (stun://stun.l.google.com:19302)
«Удаленный помощник» (серверная часть)	«Удаленный помощник» (клиентская часть)	TCP	1024-65535	Для обслуживания подключений к клиентской части «Удаленного помощника» WebRTC
	localhost	TCP	6379	Для обслуживания подключений к серверу REDIS. В текущей версии порт открывается на `localhost`
	localhost	TCP/UPD	11211	Для обслуживания подключений к серверу Memcached. Порт открывается на localhost