3.4.9. Сетевые порты для компонентов - Avanpost FAM/MFA+

Общие сведения

Ниже перечислены основные сетевые порты для настроек сетевой инфраструктуры.

Требования

Для корректной работы компонентов рекомендуется соблюдать открытие следующих портов для указанных компонентов:

КомпонентТип соединенияНаправлениеПорт
FAM LDAP ProxyИсходящееКонтроллер домена, FAM Server9007, 389\636
ВходящееВнешняя система, запрашивающая информацию LDAPОтдельный порт для входящих запросов с системы, от которой идет запрос к каталогу
FAM ServerИсходящееReverse Proxy и мобильные сервисы Настраивается в конфигурационных файлах
ВходящееRADIUS-приложения, FAM Linux Logon, прочие приложенияUDP 1812 (входящие подключения), 9007, 80 и 443 (nginx)
FAM Linux LogonИсходящееFAM Server9007 
FAM AgentИсходящееFAM Server80 (http), 443 (https), 9007
Avanpost AuthentificatorИсходящееFAM ServerЛюбые порты (см. собственные настройки), для публикации использует 443 (https)
Сервер PostgresВходящееFAM Server5432 

Настройка портов

В операционных системах Debian для управления брандмауэром применяется утилита iptables. Её упрощённым интерфейсом является UFW (Uncomplicated Firewall). Открытие доступа к серверу для приложения происходит путём его регистрации в UFW.

Перед установкой программы нужно обновить репозитории.

sudo apt update
sudo apt install ufw

Далее следует запустить UFW.

sudo ufw enable

Следующим шагом следует добавить в UFW правило, которое разрешает передачу данных по порту 80 (при помощи протокола HTTP).

sudo ufw allow 80

По аналогии можно также разрешить другой трафик, например, с использованием порта 443 (по протоколу HTTPS):

sudo ufw allow 443

Проверка

Проверить состояние портов можно с помощью сканера nmap. 
Установить пакет nmap:

sudo apt install nmap

Ниже на примере IP-адреса 11.11.11.11 показано, как проверить доступность портов. При собственной проверке следует заменить его на адрес своего сервера.

Доступность порта 25 TCP: 

nmap -p25 11.11.11.11

Доступность порта 5432 UDP: 

nmap -sU -p U:5432 11.11.11.11

Если порт открыт, то будет выдано сообщение.

Обсуждение