Назад | Перейти на главную страницу

Динамические порты постоянно меняются, как их настроить в брандмауэре?

Я хочу заблокировать неиспользуемые порты на своем сервере, поэтому я отслеживаю порты с помощью CurrPorts и я понимаю некоторые процессы, такие как lsass.exe есть динамические порты, например 49158,49976, ... Эти порты могут измениться после перезапуска службы.

Я изучил Рекомендации по настройке правил брандмауэра поэтому я хотел бы разрешить используемые порты и запретить другим переключателем ACL(Список контроля доступа), например:

переключатель (conf)> ip access-list extended Firewall
переключатель (conf-ipacc)> разрешить tcp any (source-ip) any (source-port) 192.168.5.10 (server-ip) 53 (server-local-port) приоритет 10
переключатель (conf-ipacc)> разрешить tcp любой любой 192.168.5.10 49158 приоритет 50
.
.
switch (conf-ipacc)> deny tcp any any 192.168.5.10 any priority 1000

Вопрос:

Что я могу сделать для динамических портов, которые постоянно меняются?

ОС: Windows Server 2012
IP-адрес сервера: 192.168.5.10
Коммутатор: Cisco SG-300

Вам необходимо либо разрешить весь диапазон высокопроизводительных портов (49152-65535), либо выполнить приведенную ниже процедуру, чтобы ограничить трафик RPC до настраиваемого диапазона.

https://support.microsoft.com/en-us/help/154596/how-to-configure-rpc-dynamic-port-allocation-to-work-with-firewalls

В этом примере порты с 5000 по 6000 включительно были выбраны произвольно, чтобы помочь проиллюстрировать, как можно настроить новый раздел реестра. Это не рекомендация относительно минимального количества портов, необходимого для какой-либо конкретной системы.

  1. Добавьте Интернет-ключ в: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc

  2. Под ключом Интернета добавьте значения «Порты» (MULTI_SZ), «PortsInternetAvailable» (REG_SZ) и «UseInternetPorts» (REG_SZ).

    Например, новый раздел реестра выглядит следующим образом: Ports: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y

  3. Перезагрузите сервер. Все приложения, использующие динамическое распределение портов RPC, используют порты с 5000 по 6000 включительно.

Для Active Directory необходимо разрешить множество других портов.

Если вам нужно разрешить доступ только к определенным известным системам, IPSEC будет более безопасным вариантом.