Сервер Mavericks OS X - Диспетчер профилей - Нужно ли отображать порты диспетчера профилей на маршрутизаторе для полной функциональности?
Я заметил, что сервер спрашивает, хочу ли я, чтобы порты Profile Manager были доступны. Я проверил настройки, которые он добавляет к маршрутизатору, и отображает tcp-порты 80, 443 и 1640 для сервера.
Порт 80 - это просто веб-сервер apache, поэтому он добавляет его, чтобы вы могли получить доступ к веб-интерфейсу. Порт 443 снова является веб-сервером ssl apache по той же причине, что и выше.
А как насчет порта 1640?
По правде говоря, я не хочу, чтобы менеджер профилей был доступен извне (через веб-интерфейс), но я хочу, чтобы он работал нормально. Должен ли я оставить там этот tcp 1620 или я могу безопасно удалить их все, и Profile Manager продолжит работу?
PS. Также нашел этот документ на сайте поддержки Apple http://support.apple.com/kb/HT5302 Кажется, это добавляет больше портов в микс, порты, которые нигде не отображаются в автоматической конфигурации.
2195, 2196 Используется диспетчером профилей для отправки push-уведомлений
5223 Используется для поддержания постоянного подключения к APN и получения push-уведомлений
80/443 Обеспечивает доступ к веб-интерфейсу для администратора Profile Manager.
1640 Доступ для регистрации в Центре сертификации
Порты 2195, 2196 и 5223 не нужно отображать, потому что они используются для исходящий подключения к серверам push-уведомлений Apple. Если вы не выполняете фильтрацию исходящего трафика, вам не нужно ничего делать с этим. Если вы выполняете фильтрацию исходящего трафика, убедитесь, что на этих портах разрешены подключения к сетевому блоку Apple 17.0.0.0/8.
Порт 1640 используется для протокола регистрации защищенной конфигурации (SCEP). Я не тестировал, но думаю, что это нужно только сопоставить, если вы хотите зарегистрировать новые устройства, когда они не в локальной сети. Если вы выполняете все регистрации изнутри брандмауэра, я думаю, вы можете отменить сопоставление этого.
Порты 80 и 443 используются для веб-интерфейсов («Profile Manager» для администраторов и «User Portal» для пользователей), и для устройств для загрузки профилей. Push-уведомления используются для сообщения устройствам о новых / обновленных профилях, но не для отправки фактических профилей; для этого устройства связываются с сервером через порт 443 (при условии, что у вас настроен SSL), чтобы загрузить сам профиль. Если вы оставите их неотмеченными, ваши устройства не будут получать новые / обновленные профили, пока они не будут подключены к частной сети.
Чистый результат: на самом деле вы необходимость для сопоставления любых портов, но если вы этого не сделаете, ваши клиентские устройства будут иметь ограниченные возможности, когда они находятся вне частной сети.
Кстати, те же ограничения применяются, если вы используете локальное или частное имя хоста для своего сервера (например, server.local или server.private) - в этих случаях клиенты не смогут разрешить адрес сервера извне частной сети. , и поэтому не сможет регистрировать или загружать новые профили.