Порт 3268: Порты Active Directory | Настройка серверов windows и linux
Порты Active Directory | Настройка серверов windows и linux
Добрый день! Уважаемые читатели, подписчики и юные падаваны, познающие компьютерные хитрости. Хочу сегодня поделиться очень полезной и жизненной информацией, которую просто обязан знать любой системный администратор, особенно тот кто хочет устроиться на работу. В сегодняшней статье я хочу вам рассказать, по каким портам работает служба каталогов Active Directory. Данную информацию спрашивают практически на любом собеседовании на должность админа, сетевого инженера или представителя технической поддержки, так как это основа основ на большинстве современных предприятий, которую вы должны знать как отче наш.
По каким портам работает Active Directory
Если вы только знакомитесь с активным каталогом Active Directory, то я вам советую почитать, о ней подробнее по ссылке слева. Самый правильный метод получения списка портов и служб, это не гугление или яндексение, а на практике все проверить самому. Для таких вещей у вас под рукой должен быть сканер портов, в задачи которого входит просмотр открытых и активных портов, по которым слушает тот или иной сервис или сервер. Я вам ранее рассказывал подробно, про то, как проверить доступность портов на сервере, поэтому останавливаться на этом не буду, кому интересно переходите по ссылке и читайте.
Данное знание, окажется вам необходимым, когда вы будите настраивать доверительные отношения между лесами, когда вам будет необходимо сетевым инженерам сообщить, какие порты потребуется открыть на их сетевом оборудовании для корректной работы Active Directory.
Открываю свой порт-сканер и натравливаю его на свой свежеустановленный домен на Windows Server 2019 (/install-active-directory-windows-server-2019/). По результатам я вижу два контроллера домена dc01.root.pyatilistnik.org и dc02.root.pyatilistnik.org. Справа от них в соответствующем поле я вижу полный список портов, используемых Active Directory. Давайте подробнее остановимся на каждом из них.
Перед описанием я вам советую посмотреть и проверять порты по таблице список портов TCP и UDP на википедии, так как у номера порта может быть несколько значений, будет полезно для развития кругозора https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
- 53 порт — на нем работает DNS-сервер. Используется как TCP так и UDP, по UDP передаются зоны. Так же порт участвует в трастовых отношениях между доменами.
- 88 TCP и UDP порт — это краеугольная служба Kerberos, про ее алгоритм я подробно писал. Это протокол аутентификации.Используется в доверительных отношениях между лесами. Тип трафика Kerberos.
- 135 TCP и UDP — для операций взаимодействия контроллер-контроллер и контроллер-клиент, если сказать проще, то копирование. Тип трафика RPC или EPMAP
- 137 UDP — аутентификация пользователя и компьютера. Тип трафика NetLogon, разрешение имен NetBIOS.
- 138 TCP и UDP — DFS, групповая политика. Тип трафика DFSN, NetLogon, служба дейтаграмм NetBIOS
- 139 TCP и UDP — Аутентификация пользователя и компьютера, репликация. Тип трафика DFSN, служба сеансов NetBIOS, NetLogon.
- 389 порт — LDAP запросы от клиентов к контроллеру домена. Тип трафика LDAP
- 445 порт — MICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS. Типы трафика SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc.
- 464 порты UDP и TCP — через данный порт идет смена пароля пользователя. Тип трафика Kerberos (изменить / установить пароль)
- 593 порт — Тип трафика HTTP-RPC-EPMAP, может быть использован в DCOM и MS Exchange службах
- 636 TCP и UDP — LDAPS с шифрованием SSL или TLS. Тип трафика LDAP SSL
- 3268 — для доступа к Global Catalog от клиента к контроллеру, через LDAP. Тип трафика LDAP GC.
- 3269 — для доступа к Global Catalog от клиента к контроллеру, через LDAPS. Тип трафика LDAP GC SSL
- 5722 TCP — Репликация файлов. Тип трафика RPC, DFSR (SYSVOL).
- 9389 TCP — Веб-службы AD DS. Тип трафика SOAP
Так же вы можете обнаружить дополнительные порты которые можно встретить на контроллерах домена:
- 3389 — это порт подключения по RDP протоколу к контроллеру домена
- 67 TCP и 2535 UDP — эти порты относятся к DHCP службе, которую очень часто ставят вместе с Active Directory на одном контроллере домена.
- 123 UDP — NTP сервер в Active Directory
Уверен, что вы будите знать все сетевое взаимодействие в Active Directory и всегда сможете применить эту информацию, например при проблемах с репликацией и сможете быстро диагностировать есть ли проблема на сетевом уровне. С вами был Иван Семин, автор и создатель популярного блога про системное администрирования Pyatilistnik.org.
Порт управления у различных вендоров
Порт управления у различных вендоров
Всем привет сегодня хочу выложить общую статью, о портах управления разных вендоров, таких как IBM, HP, Dell, Supermicro. Напомню для чего они нужны и какие плюсы вы можете от них получить. Данная статья, является вводной в данную технологию и рассчитанная, на начинающих администраторов систем хранения данных, кто еще ни разу не сталкивался с физическими серверами, крупных производителей железа.
Порт управления IBM
Называется он IBM IMM, позволяет смотреть состояние здоровья сервера, показывает датчики по температурам, при желании можно использовать виртуальный KVM, но для этого нужно купить IBM Virtual Media Key. Есть возможность удаленно включать и выключать питание на сервере. Так же при желании можно настроить аутентификацию через Active Directory. На сайте есть ряд статей как настроить IMM порт.
Порт управления Supermicro
Называется IPMI порт, так же позволяет смотреть температуру, датчики, управлять питанием сервера, сразу имеет виртуальный KVM без необходимости чего либо докупать. Так же при желании можно настроить аутентификацию через Active Directory. На сайте так же представлена не одна статья как настроить IPMI, а так же его управление.
Порт управления HP
Данный порт носит название ILO, так же как и другие имеет веб интефейсное управление, показывает состояние сервера, позволяет управлять питанием, имеет виртуальный KVM, но за лицензию, есть возможность получить пробную на 60 дней, об этом подробнее тут (Как получить пробную лицензию HP для ILO порта). Так же при желании можно настроить аутентификацию через Active Directory. На сайте есть много статей о настройке и работе с ILO портом.
Порт управления Dell
Порт называется iDRAC. Так же как и другие вендоры имеет и веб морду, управление питанием, KVM, датчики по разным показателям. На сайте есть статьи о том как настроить iDRAC.
Порт управления Sun/Oracle
Многие сервера (к примеру SunFire v240) комплектуются одним или 2-мя портами MGMT/Serial. Называется оно A/LOM. Позволяет подключиться к серверу по telnet и управлять им. Так же доступна утилита scadm в составе OS Solaris для управления консолью A/LOM
Вот такой вот полезный зоопарк портов управления у различных производителей серверов.
Материал сайта pyatilistnik.org
Настройка брандмауэра для доменов AD и доверий — Windows Server
-
- Чтение занимает 5 мин
В этой статье
В этой статье описано, как настроить брандмауэр для Active Directory — домены и доверие.
Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер статьи базы знаний: 179442
Примечание
Не все порты, перечисленные в таблицах, являются обязательными во всех сценариях. Например, если брандмауэр разделяет участников и контроллеров домена, не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что ни один клиент не использует LDAP с SSL/TLS, вам не нужно открывать порты 636 и 3269.
Дополнительная информация
Примечание
Оба контроллера домена находятся в одном лесу, или два контроллера домена находятся в отдельном лесе. Кроме того, отношения доверия в лесу являются отношениями доверия Windows Server 2003 или более поздней версии.
| Порты клиента | Порт сервера | Служба |
|---|---|---|
| 1024 – 65535/TCP | 135/TCP | Сопоставитель конечных точек RPC |
| 1024 – 65535/TCP | 1024 – 65535/TCP | RPC для LSA, SAM, NetLogon (*) |
| 1024 – 65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024 – 65535/TCP | 636/TCP | LDAP SSL |
| 1024 – 65535/TCP | 3268/TCP | LDAP GC |
| 1024 – 65535/TCP | 3269/TCP | SSL GC LDAP |
| 53, 1024 – 65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024 – 65535/TCP/UDP | 88/TCP/UDP | Kerberos; |
| 1024 – 65535/TCP | 445/TCP | БИЗНЕСА |
| 1024 – 65535/TCP | 1024 – 65535/TCP | RPC FRS (*) |
Порты NETBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настроены отношения доверия с доменами, поддерживающие только связь на основе NETBIOS. В качестве примеров можно привести операционные системы Windows NT или сторонние контроллеры доменов, основанные на Samba.
Дополнительные сведения о том, как определить порты сервера RPC, которые используются службами RPC для LSA, приведены в следующих статьях:
Windows Server 2008 и более поздние версии
В Windows Server 2008 более поздних версиях Windows Server увеличился диапазон портов динамического клиента для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон портов RPC в брандмауэре. Это изменение было сделано в соответствии с рекомендациями по использованию номеров в Интернете (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена под управлением Windows Server 2003, серверных контроллеров домена под управлением Windows 2000 или устаревших клиентов, где диапазон динамических портов по умолчанию равен 1025 и 5000.
Дополнительные сведения об изменении диапазона динамических портов в Windows Server 2012 и Windows Server 2012 R2 приведены в следующих статьях:
| Порты клиента | Порт сервера | Служба |
|---|---|---|
| 49152-65535/UDP | 123/UDP | Раз |
| 49152-65535/TCP | 135/TCP | Сопоставитель конечных точек RPC |
| 49152-65535/TCP | 464/TCP/UDP | Изменение пароля Kerberos |
| 49152-65535/TCP | 49152 – 65535/TCP | RPC для LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | SSL GC LDAP |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | RPC FRS (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos; |
| 49152-65535/TCP/UDP | 445/TCP | SMB (* *) |
| 49152-65535/TCP | 49152 – 65535/TCP | СЛУЖБА DFSR RPC (*) |
Порты NETBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, когда настроены доверенные домены, поддерживающие только связь на основе NETBIOS. В качестве примеров можно привести операционные системы Windows NT или сторонние контроллеры доменов, основанные на Samba.
(*) Сведения о том, как определить порты сервера RPC, которые используются службами RPC для LSA, приведены в следующих статьях:
(**) Для операции доверия этот порт не является обязательным, он используется только для создания доверия.
Примечание
Внешние отношения 123/UDP необходимы только в том случае, если служба времени Windows настроена для синхронизации с сервером по внешнему доверию.
Active Directory
В Windows 2000 и Windows XP протокол ICMP должен быть разрешен через брандмауэр с клиентов на контроллеры домена, чтобы клиент групповой политики Active Directory мог работать правильно через брандмауэр. Протокол ICMP используется для определения того, является ли ссылка медленной или высокоскоростной.
В Windows Server 2008 и более поздних версиях служба поддержки сетевых расположений обеспечивает оценку пропускной способности на основе трафика с другими станциями в сети. Трафик для оценки не создается.
Для проверки того, что IP-адрес сервера разрешается службой DNS перед подключением, а также при его размещении с помощью DFS, перенаправителем Windows также используются ICMP-сообщения PING. Если вы хотите минимизировать трафик ICMP, вы можете использовать следующий образец правила брандмауэра:
<any> ICMP-адрес > DC IP-адрес = разрешить
В отличие от уровней протокола TCP и протокола UDP, у ICMP отсутствует номер порта. Это связано с тем, что ICMP напрямую размещается на уровне IP.
По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 используют одновременные порты на стороне клиента при запросе других DNS-серверов. Тем не менее, это поведение можно изменить с помощью определенного параметра реестра. Вы также можете установить отношение доверия через принудительный туннель туннельного протокола (точка-точка). Это ограничит количество портов, которые брандмауэр должен открыть. Для PPTP необходимо включить следующие порты.
| Порты клиента | Порт сервера | Протокол |
|---|---|---|
| 1024 – 65535/TCP | 1723/TCP | PPTP |
Кроме того, необходимо включить протокол IP 47 (GRE).
Примечание
При добавлении разрешений на доступ к ресурсу в доверяющем домене для пользователей в доверенном домене существуют некоторые различия в поведении Windows 2000 и Windows NT 4,0. Если компьютеру не удается отобразить список пользователей удаленного домена, учитывайте следующее поведение:
- Windows NT 4,0 пытается разрешить ввод имен вручную, обратившись к PDC для домена удаленного пользователя (UDP 138). В случае сбоя связи компьютер под управлением Windows NT 4,0 обращается к собственному контроллеру домена и запрашивает разрешение имени.
- Windows 2000 и Windows Server 2003 также пытаются связаться с контроллером домена удаленного пользователя для разрешения через UDP-138. Однако они не зависят от использования собственного основного контроллера домена. Убедитесь, что все серверы-участники под управлением Windows 2000 и рядовые серверы под управлением Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют подключение по протоколу UDP 138 к удаленному контроллеру домена.
Справочные материалы
Общие сведения о службах и требованиях к сетевым портам для Windows — это ценный ресурс, описывающий необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами, серверными программами и их компонентами в системе Microsoft Windows Server. Администраторы и специалисты службы технической поддержки могут использовать эту статью в качестве плана, чтобы определить, какие порты и протоколы Microsoft используются операционными системами и программами, которые необходимы для подключения к сети в сегментированной сети.
Не следует использовать сведения о портах в обзоре служб и требованиях к сетевым портам для настройки брандмауэра Windows в Windows. Сведения о настройке брандмауэра Windows можно найти в разделе Брандмауэр Windows в повышенной безопасности.
Прячем 1С за огнеупорную стену / Хабр
Многие системные администраторы, задумываясь о безопасности данных своей компании и, в частности, о безопасности базы данных 1С, пренебрегают простым, но эффективным решением – изолировать сервер от пользователей. В данной статье проанализированы угрозы безопасности, возникающие при размещении клиентской части 1С и серверов 1С в одном сегменте сети, и рассмотрен процесс перевода серверной части 1С в другой сегмент сети. Данная статья не содержит принципиально новых решений, но может служить справочным пособием, которое объединяет информацию из различных источников.
Исходные данные
- 1С Предприятие 8 клиент-серверный вариант;
- сервер 1С Предприятия развернут на базе операционной системы Windows Server 2003;
- 1С Предприятие использует выделенный сервер MS SQL, развернутый на базе операционной системы Windows Server 2003;
- доступ пользователей к 1С осуществляется через терминальные сервера, развернутые на базе Windows Server 2003;
- все сервера находятся в сегменте одной сети, развернутой на базе домена Active Directory.
Угрозы безопасности
Для выявления угроз безопасности составим схему движения трафика в имеющейся сети.
Рисунок 1. Исходные потоки трафика
Замечания к иллюстрации
Что мы имеем:
- операционная система Windows Server 2003 обладает уязвимостями, не связанными с 1С и MS SQL, но атаки с использованием этих уязвимостей могут способствовать получению контроля над данными перечисленных приложений;
- пользователи могут передавать файлы из удаленного сеанса на компьютеры сети по протоколу SMB;
- различные вирусы, распространяющиеся по сети, также создают угрозы безопасности;
- так как пользователи находятся в одном сегменте сети с серверами, то особо умные могут пытаться соединиться с ними по портам MS SQL и 1C.
Задачи
- Минимизировать риски реализации уязвимостей операционной системы.
- Сделать невозможной передачу файлов по протоколу SMB с терминальных серверов на компьютеры пользователей.
- Исключить возможность доступа пользователей к серверам 1С и MS SQL.
- Минимизировать количество пользователей, которые могут передавать файлы на свои компьютеры по протоколу RDP.
Требования к реализации
Обеспечить простоту и удобство использования ресурсов 1С Предприятия.
Решение
Составим схему движения необходимых потоков трафика.
Рисунок 2. Необходимые потоки трафика
Как видно, для полноценного функционирования 1С нужно не так уж и много.
| Компьютер | Исходящие подключения | Входящие подключения |
| AD DC | Не требуются | Все компьютеры сети |
| Сервер 1С | Сервер БД 1С | Терминальные сервера |
| Сервер БД 1С | Не требуются | Сервер 1С |
| Терминальные сервера | Сервер 1С | Пользователи |
Из таблицы видно, что сеть можно разделить на три сегмента:
- «Сервер 1С» + «Сервер БД 1С»;
- «Терминальные сервера»;
- «Пользователи» + «AD DC».
Далее я буду использовать терминологию из «Information Technology Security Guideline. Network Security Zoning»:
Operation Zone (OZ) – стандартная среда для повседневных операций, в которой располагается большая часть пользовательских систем и серверов. Здесь может обрабатываться конфиденциальная информация, однако она не подходит для хранения больших массивов конфиденциальной информации или для критических приложений.
Restricted Zone (RZ) – обеспечивает контролируемую сетевую среду для критических сервисов или для больших массивов конфиденциальной информации.
Для выполнения задач 1-3 разделим сеть на несколько зон:
- RZ1C – в эту зону войдут «Сервер 1С» и «Сервер БД 1С».
- RZTS – в эту зону войдут терминальные сервера.
- OZ – в эту зону войдут контроллер домена «AD DC» и пользователи.
Прохождение трафика будем регулировать маршрутизатором, в который внесем необходимые правила.
Рисунок 3. Схема зонирования сети
Для решения задачи 4 выполним следующее:
- на каждом терминальном сервере создадим новое подключение в дополнение к стандартному, оно будет функционировать на порту 3390;
- разрешим подключаться на порт 3389 всем пользователям, а на порт 3390 только пользователям группы TerminalDisk;
- в свойствах подключений на терминальных серверах отключим клиентам возможность подключать локальные диски на порту 3389 и разрешим подключать локальные диски на порту 3390.
Таким образом мы сможем разрешать подключать локальные диски только конкретным пользователям.
Реализация
Маршрутизация
В качестве маршрутизатора в этой статье я буду использовать компьютер с тремя сетевыми картами с операционной системой семейства GNU/Linux. Программное обеспечение для маршрутизации – Iptables. Скрипт настройки Iptables приведен ниже.
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
OZ=192.168.0.0/24
RZTS=192.168.2.0/24
RZ1C=192.168.1.0/24
ADDC=192.168.0.1
# Удаляем все имеющиеся правила
iptables –F
iptables –X
iptables –-flush
# Устанавливаем политику по умолчанию
iptables –P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP
# Разрешаем пакеты с состоянием ESTABLISHED и RELATED по протоколам TCP и UDP
iptables –A FORWARD –p tcp –m state --state ESTABLISHED,RELATED –j ACCEPT
iptables –A FORWARD –p udp –m state --state ESTABLISHED,RELATED –j ACCEPT
# Разрешаем протокол RDP в направлении OZ->RZTS
iptables –A FORWARD --src $OZ --dst $RZTS –p tcp --dport 3389:3390 –j ACCEPT
# Разрешаем DNS-запросы в направлении RZTS->ADDC, RZ1C->ADDC
iptables -A FORWARD –-src $RZTS --dst $ADDC -p udp --dport 53 -j ACCEPT
iptables –A FORWARD --src $RZ1C –-dst $ADDC –p udp --dport 53 –j ACCEPT
# Открываем порты для Active Directory
iptables –A FORWARD --src $RZTS --dst $ADDC –p udp --dport 88 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p udp --dport 88 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 135 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 135 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 139 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 139 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 389 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 389 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p udp --dport 389 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p udp --dport 389 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 445 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 445 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $ADDC –p tcp --dport 1025 –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p tcp --dport 1025 –j ACCEPT
# Разрешаем порты 1С
iptables –A FORWARD --src $RZTS --dst $RZ1C –p tcp --dport 1541 –j ACCEPT
iptables –A FORWARD --src $RZTS --dst $RZ1C –p tcp --dport 1560:1591 –j ACCEPT
# Разрешаем пинг, чтобы все работало
iptables –A FORWARD --src $RZTS --dst $ADDC –p icmp –j ACCEPT
iptables –A FORWARD --src $RZ1C --dst $ADDC –p icmp –j ACCEPT
iptables –A FORWARD --src $OZ --dst $ADDC –p icmp –j ACCEPT
# REJECT все остальное
iptables –A FORWARD –j REJECT
# REJECT еще раз
iptables –A INPUT –j REJECT
Замечания к скрипту
Действие DROP просто «сбрасывает» пакет и iptables «забывает» о его существовании. «Сброшенные» пакеты прекращают свое движение полностью, т.е. они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые «мертвые» сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов (Iptables Tutorial).
В случае если ключи HASP установлены не на терминальном сервере и менеджер лицензий находится в другой сети, необходимо выполнить несколько действий.
- Разрешить прохождение через маршрутизатор пакетов UDP и TCP по порту 475 в двустороннем направлении Сервер_лицензий<->Клиент_1С.
iptables –A FORWARD --src СЕТЬ_КЛИЕНТА --dst МЕНЕДЖЕР_ЛИЦЕНЗИЙ –p udp --dport 475 –j ACCEPT
iptables –A FORWARD --src СЕТЬ_КЛИЕНТА --dst МЕНЕДЖЕР_ЛИЦЕНЗИЙ –p tcp --dport 475 –j ACCEPT
iptables –A FORWARD –-src МЕНЕДЖЕР_ЛИЦЕНЗИЙ --dst СЕТЬ_КЛИЕНТА –p udp --sport 475 –j ACCEPT
iptables –A FORWARD –-src МЕНЕДЖЕР_ЛИЦЕНЗИЙ --dst СЕТЬ_КЛИЕНТА –p tcp --sport 475 –j ACCEPT - Указать в файле nethasp.ini (должен располагаться в одной директории с исполняемым файлом программы) адрес сервера лицензий.
--------------------- nethasp.ini-------------------------------
[NH_COMMON]
NH_TCPIP = Enabled
...
[NH_TCPIP]
NH_SERVER_ADDR = 168.192.1.10 // ip-адрес компьютера, где расположен Менеджер лицензий.
NH_TCPIP_METHOD = TCP
NH_USE_BROADCAST = Disabled
---------------------------------------------------------------
Сопоставление локальных дисков клиента
Посредством визуальных мастеров мы не можем просто так добавить новый прослушиваемый порт на терминальном сервере: для этого необхо
| Protocol and Port | AD and AD DS Usage | Type of traffic | ||
|---|---|---|---|---|
| TCP and UDP 389 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP | ||
| TCP 636 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP SSL | ||
| TCP 3268 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC | ||
| TCP 3269 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC SSL | ||
| TCP and UDP 88 | User and Computer Authentication, Forest Level Trusts | Kerberos | ||
| TCP and UDP 53 | User and Computer Authentication, Name Resolution, Trusts | DNS | ||
| TCP and UDP 445 | Replication, User and Computer Authentication, Group Policy, Trusts | SMB,CIFS,SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc | ||
| TCP 25 | Replication | SMTP | ||
| TCP 135 | Replication | RPC, EPM | ||
| TCP Dynamic | Replication, User and Computer Authentication, Group Policy, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | ||
| TCP 5722 | File Replication | RPC, DFSR (SYSVOL) | ||
| UDP 123 | Windows Time, Trusts | Windows Time | ||
| TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password | ||
| UDP Dynamic | Group Policy | DCOM, RPC, EPM | ||
| UDP 138 | DFS, Group Policy | DFSN, NetLogon, NetBIOS Datagram Service | ||
| TCP 9389 | AD DS Web Services | SOAP | ||
| UDP 67 and UDP 2535 | DHCP
| DHCP, MADCAP | ||
| UDP 137 | User and Computer Authentication, | NetLogon, NetBIOS Name Resolution | ||
| TCP 139 | User and Computer Authentication, Replication | DFSN, NetBIOS Session Service, NetLogon |
АннотацияВ данной статье рассмотрены основные сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в серверных системах Microsoft Windows. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети. Содержащиеся в этой статье сведения о портах не следует применять при настройке брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в техническом справочнике параметров брандмауэра Windows (Windows Firewall Settings Technical Reference). Серверная система Windows располагает интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют большое количество сетевых портов и протоколов для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) служат для обеспечения безопасности сети, но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров. ОбзорНиже представлен краткий обзор содержания этой статьи.
Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых в статье терминов.
Данная статья не содержит сведений о том, какие службы зависят от других служб при осуществлении обмена данными в сети. Например, для назначения динамических TCP-портов многие службы Windows используют удаленный вызов процедур (RPC) или модель DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые в действительности предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure) (предоставляются службой IIS). Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Документацию по этой теме см. на веб-узлах Microsoft TechNet и MSDN (Microsoft Developer Network). Несмотря на то что один и тот же порт TCP или UDP часто используется многими службами, одновременно только одна служба или процесс может активно ожидать на этом порте. Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости (порты TCP/IP и UDP/IP с номерами выше 1024). Неофициально они называются произвольными RPC-портами. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют службу отображения конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, чтобы не полагаться на динамическое назначение, можно настроить определенный порт. Кроме того, для любой службы можно ограничить диапазон динамически назначаемых портов. Дополнительные сведения см. в разделе Ссылки этой статьи. Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе Информация в данной статье применима к. Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине в статье описаны порты, на которых ожидают службы, а не порты, используемые клиентскими программами для подключения к удаленной системе. Порты системных службВ данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов. Active Directory (локальный администратор безопасности)Служба Active Directory выполняется как процесс LSASS и содержит модули проверки подлинности и репликации для контроллеров домена под управлением Windows 2000 и Windows Server 2003. Контроллерам домена, клиентским компьютерам и серверам приложений требуется возможность подключения к службе Active Directory по определенным жестко запрограммированным портам (в дополнение к диапазону временных TCP-портов с номерами от 1024 до 65536), кроме случаев, когда для инкапсуляции трафика применяется протокол туннелирования. Примерный состав решения с инкапсуляцией трафика: шлюз виртуальной частной сети под защитой осуществляющего фильтрацию маршрутизатора, использующего протокол L2TP (Layer 2 Tunneling Protocol) с безопасностью IPSec. В этом случае необходимо разрешить протоколам ESP (IPSec Encapsulating Security Protocol) (IP-протокол 50), IPSec Network Address Translator Traversal NAT-T (UDP-порт 4500) и ISAKMP (IPSec Internet Security Association and Key Management Protocol) (UDP-порт 500) проходить через маршрутизатор, вместо того чтобы открывать все перечисленные ниже порты и протоколы. В завершение порт, использующийся для репликации Active Directory, можно жестко запрограммировать в соответствии с инструкциями в статье 224196 «Назначение порта для трафика репликации Active Directory». Примечание. Фильтрация пакетов трафика L2TP не нужна, поскольку протокол L2TP защищен протоколом IPSec ESP. Имя системной службы: LSASS
Служба шлюза уровня приложенияЭтот компонент службы общего доступа к подключению Интернета (ICS)/брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP (File Transfer Protocol) — это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Подключаемый модуль ALG FTP предназначен для поддержки активных сеансов по протоколу FTP через устройство преобразования сетевых адресов (NAT) путем перенаправления всего трафика, который проходит через устройство NAT на порт 21, на частный порт ожидания с номером в диапазоне от 3000 до 5000 на адаптере замыкания на себя. Модуль контролирует и обновляет трафик управляющего канала FTP, пересылает через устройство NAT сопоставление портов для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP. Имя системной службы: ALG
Служба состояния сеанса ASP.NETСлужба состояния сеанса ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на сервере средой ASP.NET. Имя системной службы: aspnet_state
Службы сертификацииСлужбы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации (СА), что дает ему возможность выпускать и управлять цифровыми сертификатами для программ и протоколов, например расширений S/MIME (Secure/Multipurpose Internet Mail Extensions), протокола SSL (Secure Sockets Layer), файловой системы EFS (Encrypting File System), системы безопасности IPSec, а также входа в систему с помощью смарт-карты. Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные TCP-порты с номерами больше 1024. Имя системной службы: CertSvc
Служба кластеровСлужба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных. Имя системной службы: ClusSvc
Обозреватель компьютеровСистемная служба обозревателя компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Служба используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким средствам ОС Windows более ранних версий, как «Сетевое окружение», команде net view и проводнику Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя. Имя системной службы: Browser
Служба DHCP-сервераСлужба DHCP-сервера использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры DHCP-клиентов, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько DHCP-серверов. Имя системной службы: DHCPServer
Распределенная файловая системаСлужба распределенной файловой системы (DFS) объединяет разноправные общие файловые ресурсы, которые распределены на серверах локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба необходима контроллерам домена Active Directory для объявления общей папки SYSVOL. Имя системной службы: Dfs
Сервер отслеживания изменившихся связейСлужба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене. Имя системной службы: TrkSvr
Координатор распределенных транзакцийСистемная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем. Имя системной службы: MSDTC
DNS-серверСлужба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. Серверы DNS необходимы для обнаружения устройств и служб, идентификация которых происходит по именам DNS, а также контроллеров домена в Active Directory. Имя системной службы: DNS
Журнал событийСистемная служба журнала событий регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты службы содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа «Просмотр событий». Сообщения, полученные от программ, других служб и операционной системы, регистрируются в файлах журналов событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью программы «Просмотр событий» из состава консоли управления ММС. Имя системной службы: Eventlog
Exchange Server и клиенты OutlookИспользуемые порты и протоколы зависят от версии установленного сервера Microsoft Exchange или клиента Exchange. Клиенты Outlook подключаются к серверам Exchange более ранних версий, чем Exchange 2003, напрямую через службу RPC. Вначале происходит обращение к службе отображения конечных точек RPC (ТСР-порт 135) для получения сведений о сопоставлении портов для необходимых конечных точек. Затем клиент Outlook пытается подключиться к серверу Exchange |
Настройка брандмауэра для домена AD и доверительных отношений — Windows Server
- 5 минут на чтение
В этой статье
В этой статье описывается, как настроить брандмауэр для доменов Active Directory и доверительных отношений.
Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер базы знаний: 179442
Примечание
Не все порты, перечисленные в таблицах, требуются во всех сценариях.Например, если брандмауэр разделяет участников и контроллеры домена, вам не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что никакие клиенты не используют LDAP с SSL / TLS, вам не нужно открывать порты 636 и 3269.
Дополнительная информация
Примечание
Оба контроллера домена находятся в одном лесу или оба контроллера домена находятся в отдельном лесу. Кроме того, доверительные отношения в лесу являются доверительными отношениями Windows Server 2003 или более поздних версий.
| Порт (а) клиента | Порт сервера | Сервис |
|---|---|---|
| 1024-65535 / TCP | 135 / TCP | Устройство сопоставления конечных точек RPC |
| 1024-65535 / TCP | 1024-65535 / TCP | RPC для LSA, SAM, NetLogon (*) |
| 1024-65535 / TCP / UDP | 389 / TCP / UDP | LDAP |
| 1024-65535 / TCP | 636 / TCP | LDAP SSL |
| 1024-65535 / TCP | 3268 / TCP | LDAP GC |
| 1024-65535 / TCP | 3269 / TCP | LDAP GC SSL |
| 53,1024-65535 / TCP / UDP | 53 / TCP / UDP | DNS |
| 1024-65535 / TCP / UDP | 88 / TCP / UDP | Kerberos |
| 1024-65535 / TCP | 445 / TCP | SMB |
| 1024-65535 / TCP | 1024-65535 / TCP | ФРС RPC (*) |
Порты NETBIOS, указанные в списке для Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают связь только на основе NETBIOS.Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.
Для получения дополнительных сведений об определении портов сервера RPC, используемых службами LSA RPC, см .:
Windows Server 2008 и более поздние версии
Windows Server 2008 более новые версии Windows Server увеличили динамический диапазон клиентских портов для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Следовательно, вы должны увеличить диапазон портов RPC в ваших брандмауэрах.Это изменение было внесено в соответствии с рекомендациями Управления по распределению номеров Интернета (IANA). Это отличается от домена смешанного режима, который состоит из контроллеров домена Windows Server 2003, контроллеров домена на базе Windows 2000 или устаревших клиентов, где диапазон динамических портов по умолчанию составляет от 1025 до 5000.
Дополнительные сведения об изменении диапазона динамических портов в Windows Server 2012 и Windows Server 2012 R2 см .:
| Порт (а) клиента | Порт сервера | Сервис |
|---|---|---|
| 49152-65535 / UDP | 123 / UDP | W32Time |
| 49152-65535 / TCP | 135 / TCP | Устройство сопоставления конечных точек RPC |
| 49152-65535 / TCP | 464 / TCP / UDP | Изменение пароля Kerberos |
| 49152-65535 / TCP | 49152-65535 / TCP | RPC для LSA, SAM, NetLogon (*) |
| 49152-65535 / TCP / UDP | 389 / TCP / UDP | LDAP |
| 49152-65535 / TCP | 636 / TCP | LDAP SSL |
| 49152-65535 / TCP | 3268 / TCP | LDAP GC |
| 49152-65535 / TCP | 3269 / TCP | LDAP GC SSL |
| 53, 49152-65535 / TCP / UDP | 53 / TCP / UDP | DNS |
| 49152-65535 / TCP | 49152-65535 / TCP | ФРС RPC (*) |
| 49152-65535 / TCP / UDP | 88 / TCP / UDP | Kerberos |
| 49152-65535 / TCP / UDP | 445 / TCP | МСБ (**) |
| 49152-65535 / TCP | 49152-65535 / TCP | DFSR RPC (*) |
Порты NETBIOS, перечисленные для Windows NT, также требуются для Windows 2000 и Server 2003, когда настроены доверительные отношения с доменами, которые поддерживают связь только на основе NETBIOS.Примерами являются операционные системы на базе Windows NT или сторонние контроллеры домена, основанные на Samba.
(*) Для получения информации о том, как определить порты сервера RPC, которые используются службами LSA RPC, см .:
(**) Для работы доверия этот порт не требуется, он используется только для создания доверия.
Примечание
Внешнее доверие 123 / UDP необходимо только в том случае, если вы вручную настроили службу времени Windows для синхронизации с сервером через внешнее доверие.
Active Directory
В Windows 2000 и Windows XP протокол управляющих сообщений Интернета (ICMP) должен быть разрешен через брандмауэр от клиентов к контроллерам домена, чтобы клиент групповой политики Active Directory мог правильно работать через брандмауэр. ICMP используется для определения того, является ли ссылка медленной или быстрой.
В Windows Server 2008 и более поздних версиях служба информации о сетевом расположении предоставляет оценку пропускной способности на основе трафика с другими станциями в сети.Для оценки нет трафика.
Windows Redirector также использует сообщения ICMP Ping для проверки того, что IP-адрес сервера разрешен службой DNS перед установкой соединения и при обнаружении сервера с помощью DFS. Если вы хотите минимизировать трафик ICMP, вы можете использовать следующий пример правила брандмауэра:
<любой> ICMP -> IP-адрес DC = разрешить
В отличие от уровня протокола TCP и уровня протокола UDP, ICMP не имеет номера порта.Это связано с тем, что ICMP размещается непосредственно на уровне IP.
По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 Server используют временные порты на стороне клиента, когда они запрашивают другие DNS-серверы. Однако это поведение может быть изменено определенным параметром реестра. Или вы можете установить доверие через обязательный туннель протокола туннелирования точка-точка (PPTP). Это ограничивает количество портов, которые должен открывать брандмауэр. Для PPTP должны быть включены следующие порты.
| Клиентские порты | Порт сервера | Протокол |
|---|---|---|
| 1024-65535 / TCP | 1723 / TCP | PPTP |
Кроме того, вам необходимо включить IP PROTOCOL 47 (GRE).
Примечание
Когда вы добавляете разрешения к ресурсу в доверяющем домене для пользователей в доверенном домене, есть некоторые различия между поведением Windows 2000 и Windows NT 4.0. Если компьютер не может отобразить список пользователей удаленного домена, рассмотрите следующее поведение:
- Windows NT 4.0 пытается разрешить имена, введенные вручную, путем обращения к PDC для домена удаленного пользователя (UDP 138). Если это соединение не удается, компьютер под управлением Windows NT 4.0 связывается со своим собственным PDC, а затем запрашивает разрешение имени.
- Windows 2000 и Windows Server 2003 также пытаются связаться с PDC удаленного пользователя для разрешения через UDP 138. Однако они не полагаются на использование своего собственного PDC. Убедитесь, что все рядовые серверы под управлением Windows 2000 и рядовые серверы под управлением Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют соединение UDP 138 с удаленным PDC.
Номер ссылки
Обзор служб и требования к сетевым портам для Windows — ценный ресурс, в котором описаны необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Microsoft, серверными программами и их подкомпонентами в системе Microsoft Windows Server.Администраторы и специалисты службы поддержки могут использовать эту статью в качестве плана действий, чтобы определить, какие порты и протоколы требуются операционным системам и программам Microsoft для сетевого подключения в сегментированной сети.
Не следует использовать информацию о порте в обзоре служб и требованиях к сетевому порту для Windows для настройки брандмауэра Windows. Для получения информации о том, как настроить брандмауэр Windows, см. Брандмауэр Windows в режиме повышенной безопасности.
Общие порты \ / сервисы и способы их использования · Total OSCP Guide
- Общее руководство по OSCP
Введение
Основы
Linux
Основы Linux
Bash-скрипты
Vim
Windows
Основы Windows
PowerShell
Сценарии PowerShell
CMD
Создание сценариев на Python
Основы Python
Полезные скрипты
Передача файлов
Передача файлов в Linux
Перенос файлов в Windows
Межсетевые экраны
Общие советы и рекомендации
Фаза разведки и сбора информации
Сбор пассивной информации
Определить IP-адреса и поддомены
Определить IP-адреса
Найти поддомены
Основы DNS
Поиск поддоменов
Атака передачи зоны DNS
Расширенный тип порта NAS и поддержка порта NAS
Содержание
Расширенный тип порта NAS и поддержка порта NAS
Содержание
Предварительные требования для расширенной поддержки NAS-Port-Type и NAS-Port
Информация о расширенном типе порта NAS и поддержке порта NAS
Расширенный тип порта NAS (атрибут RADIUS 61)
NAS-порт (атрибут RADIUS 5)
Связь между типом порта NAS (атрибут 61 RADIUS) и портом NAS (атрибут 5 RADIUS)
NAS-Port-ID (атрибут RADIUS 87)
Как настроить расширенный тип порта NAS и поддержку порта NAS
Включение расширенной поддержки атрибута типа порта NAS и атрибута порта NAS
Примеры
Переопределение глобальной конфигурации типа порта NAS
Примеры конфигурации
для расширенного типа порта NAS и поддержки порта NAS
Настройка глобальной поддержки для расширенного атрибута NAS-Port-Type: пример
Настройка настраиваемой строки формата и типа порта: пример
Дополнительные ссылки
Связанные документы
Стандарты
MIB
RFC
Техническая поддержка
Справочник команд
атрибут радиуса nas-port-type
радиус-сервер атрибут 61 расширенный
атрибут radius-server формат nas-port
Расширенный тип порта NAS и поддержка порта NAS
Первая публикация: 20 марта 2006 г.
Последнее обновление: 20 марта 2006 г.
Атрибуты
RADIUS используются для определения конкретных элементов аутентификации, авторизации и учета (AAA) в профиле пользователя.NAS-Port-Type (атрибут 61 RADIUS IETF) указывает тип физического порта, который сервер сетевого доступа (NAS) использует для аутентификации пользователя. NAS-Port-ID (атрибут 87 RADIUS IEFT) содержит текстовую строку, которая идентифицирует порт NAS, который аутентифицирует пользователя.
Расширенные возможности NAS-Port-Type и NAS-Port Support позволяют лучше определить, какой тип сервиса имеет место на определенных портах с типами, не поддерживаемыми RADIUS RFC. Идентификация трафика на основе типа сервиса дает вам гибкость в использовании собственного механизма кодирования для отслеживания пользователей или общих ресурсов, таких как интерфейсы Ethernet или ATM.
История функций
для расширенного типа порта NAS и поддержки порта NAS
Выпуск | Модификация |
12,3 (7) XI1 | Эта функция была введена для поддержки маршрутизатора Cisco серии 10000. |
12.2 (28) SB | Эта функция была интегрирована в Cisco IOS версии 12.2 (28) SB. |
Поиск информации о поддержке для платформ и образов программного обеспечения Cisco IOS
Используйте Cisco Feature Navigator, чтобы найти информацию о поддержке платформы и поддержке образов программного обеспечения Cisco IOS. Откройте навигатор функций Cisco по адресу http://www.cisco.com/go/fn. У вас должна быть учетная запись на Cisco.com. Если у вас нет учетной записи или вы забыли свое имя пользователя или пароль, нажмите Отмена в диалоговом окне входа в систему и следуйте появляющимся инструкциям.
Содержание
• Предварительные требования для поддержки расширенного типа порта NAS и порта NAS
• Информация о расширенном типе порта NAS и поддержке порта NAS
• Как настроить расширенный тип порта NAS и поддержку порта NAS
• Примеры конфигурации для расширенного типа порта NAS и поддержки порта NAS
• Дополнительные ссылки
•
Предварительные требования для расширенной поддержки NAS-Port-Type и NAS-Port
• Должен быть запущен образ Cisco IOS, содержащий компонент AAA.
• AAA должен быть включен и настроен для использования RADIUS.
Информация о расширенном типе порта NAS и поддержке порта NAS
Чтобы использовать расширенную поддержку NAS-Port-Type и NAS-Port Support, вы должны понимать:
• Расширенный тип порта NAS (атрибут RADIUS 61)
• Порт NAS (атрибут RADIUS 5)
• NAS-Port-ID (атрибут RADIUS 87)
Расширенный тип порта NAS (атрибут RADIUS 61)
До расширения атрибута 61 атрибут 61 позволял идентифицировать только виртуальные ресурсы или ресурсы Ethernet.Теперь, включив расширенный атрибут 61, вы также можете сделать следующее:
• Отслеживайте информацию о конкретном сервисном порте для широкополосных сред.
• Определение сеансов типа сервисного порта PPP через ATM (PPPoA), PPP через Ethernet (PPPoE) через Ethernet (PPPoEoE), PPPoE через ATM (PPPoEoA), PPPoE через VLAN (PPPoEoVLAN) и PPPoE через Q-in-Q (PPPoEoQinQ) ) с соответствующим значением RADIUS, что позволяет определять типы физических портов NAS на основе типов услуг.
Преимущества использования расширенного атрибута NAS-Port-Type
Преимущества использования расширенного атрибута 61 включают:
• Создание собственной схемы кодирования для отслеживания пользователей на определенных физических портах. Например, поставщики услуг могут захотеть отслеживать клиентов, использующих общие ресурсы, такие как интерфейсы Ethernet или ATM, которые имеют виртуальные локальные сети (VLAN), стековые VLAN (Q-in-Q) или виртуальные каналы (VC), подключенные к определенным клиентам.
• Обеспечение дополнительной детализации для субинтерфейсов, таких как диапазоны VLAN, Q-in-Q, VC или VC, путем переопределения значения атрибута 61, отправляемого в любом сеансе, который находится на порту.Например, эта возможность обеспечивает дополнительный уровень детализации для поставщиков услуг при управлении их конечными пользователями и позволяет более подробно описывать различные способы использования клиентами.
Значение расширенного атрибута 61 может быть любым числом по вашему выбору. В частности, настройка собственного значения полезна, когда вам нужно различать типы портов NAS в зависимости от типа конечного клиента, использующего порт. Например, если вы хотите отслеживать мобильных клиентов за определенным частным виртуальным соединением (PVC), вы можете определить собственное значение атрибута 61 для мобильных клиентов.
Типы портов широкополосной службы, не соответствующие RFC, с соответствующими значениями, которые могут быть установлены с помощью расширенного атрибута 61, показаны в таблице 1.
Тип порта обслуживания | РАДИУС Значение |
|---|---|
PPPoA | 30 |
PPPoEoA | 31 |
PPPoEoE | 32 |
PPPoEoVLAN | 33 |
PPPoEoQinQ | 34 |
Порт NAS (атрибут RADIUS 5)
NAS-Port (атрибут 5 RADIUS) указывает номер физического порта NAS, который аутентифицирует пользователя.Логический порт может быть представлен идентификатором виртуального пути (VPI) и идентификатором виртуального канала (VCI) для интерфейса ATM или идентификатором VLAN или Q-in-Q ID для интерфейса Ethernet.
Каждая платформа и служба могут иметь различную информацию о портах, которая имеет отношение к их среде; поэтому не существует уникального способа заполнить этот атрибут. Существует четыре не настраиваемых формата для конкретных услуг (a, b, c и d) и один настраиваемый формат (e), который можно настроить в соответствии с потребностями клиента и платформы.
Ранее формат e позволял настраивать только один глобальный формат для всех типов вызовов на устройстве, что имело ограничения для устройств, содержащих несколько служб. Благодаря расширенной поддержке атрибута 5 теперь вы можете настроить строку e настраиваемого формата для любого типа службы на основе значения атрибута 61. При создании запроса доступа или учета RADIUS процедура кодирования будет применять строку e определенного формата, определенную для сеанс значения атрибута 61.
Примечание Установка конкретной строки формата e для значения атрибута 61 переопределяет строку e глобального формата по умолчанию.
Взаимосвязь между типом порта NAS (атрибут 61 RADIUS) и портом NAS (атрибут 5 RADIUS)
Команда radius-server attribute nas-port format была расширена для поддержки строки e настраиваемого формата с ключевым словом type nas-port-type и параметром.Ключевое слово type позволяет указать строки формата для представления типов физических портов для любого из расширенных значений NAS-Port-Type.
Связь между расширенным атрибутом 61 и поддержкой расширенного атрибута 5 заключается в том, что строка формата e, выбранная процедурой кодирования, будет зависеть от значения атрибута 61 для сеанса. Если вы используете расширенные значения атрибута 61 (значения 30-34) и хотите дополнительно настроить тип порта NAS, настройте другую строку формата.
Например, вы можете указать строку «SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC» для типа 30 (все порты PPPoA), а также вы можете указать строку «SSSSAPPPVVVVVVVVVVVVVVVVVVVVVVVVV» для типа 33 (все порты PPPoAoVLAN). В этом случае вы можете отслеживать информацию, относящуюся к VPI / VCI, для пользователя PPPoA и информацию, относящуюся к VLAN, для пользователя PPPoEoVLAN.
Примечание Если вы включите расширенный атрибут 61, формат e с типом 5 (виртуальный) или типом 15 (Ethernet) не будет работать, так как эти типы требуют установки дополнительного значения (расширенный атрибут 61 значения 30-34 ).
NAS-Port-ID (атрибут RADIUS 87)
NAS-Port-ID (атрибут 87 RADIUS) содержит идентификатор текстовой строки символов порта NAS, который аутентифицирует пользователя. Эта текстовая строка обычно соответствует описанию интерфейса в конфигурации CLI. Этот атрибут ранее был доступен в Cisco Vendor Specific Attribute (VSA) Cisco-NAS-Port и теперь отправляется по умолчанию в атрибуте IETF 87.
Как настроить расширенный тип порта NAS и поддержку порта NAS
В этом разделе содержатся следующие процедуры, которые позволяют настроить расширенный атрибут NAS-Port-Type и атрибут NAS-Port:
• Включение поддержки расширенного атрибута NAS-Port-Type и атрибута NAS-Port
• Отмена глобальной конфигурации типа порта NAS
Включение расширенного атрибута типа порта NAS и поддержки атрибута порта NAS
Используйте следующую задачу для настройки расширенного атрибута NAS-Port-Type и поддержки атрибута NAS-Port.
КРАТКИЕ ДЕЙСТВИЯ
1. включить
2. настроить терминал
3. атрибут radius-server 61 расширенный
4. атрибут radius-server в формате nas-port в формате [ строка ]
5. атрибут radius-server формат nas-порта формат [ строка ] [ тип nas-port-type ]
ПОДРОБНЕЕ
Команда или действие | Цель | |
|---|---|---|
Шаг 1 | включить Пример: Маршрутизатор> включить | Включает привилегированный режим EXEC. • Введите пароль, если будет предложено. |
Шаг 2 | настроить терминал Пример: Маршрутизатор # настроить терминал | Переход в режим глобальной конфигурации. |
Шаг 3 | radius-server атрибут 61 расширенный Пример: Router (config) # radius-server attribute 61 расширенный | Разрешает расширенные значения атрибута 61, не соответствующие RFC. • Определяет типы портов широкополосных услуг, такие как PPPoA, PPPoEoA, PPPoEoE, PPPoEoVLAN и PPPoEoQinQ. • Отправляет соответствующее значение в запись AAA. |
Шаг 4 | radius-server атрибут nas-port format format [ string ] Пример: Router (config) # radius-server attribute nas-port format e SSSSAPPPUUUUUUUUUUUUUUUUUUUUUUU | Конфигурирует строку e формата сеанса глобального атрибута 61, которая используется в качестве формата сеанса по умолчанию. На этом шаге не настраивается конкретное значение типа порта службы. • Формат аргумент указывает конкретный формат порта NAS. • Строка аргумент представляет весь определенный тип порта . Символы, поддерживаемые форматом e, показаны в команде формата nas-port атрибута radius-server. Примечание Если глобальный формат не задан, по умолчанию используется формат a. Примечание Формат e требует, чтобы вы явно указали использование 32-битного атрибута 5.Использование определяется заданным символом анализатора для каждого интересующего поля порта NAS для данного битового поля. |
Шаг 5 | radius-server атрибут nas-port формат формат [ строка ] [ тип nas-port-type ] Пример: Router (config) # radius-server attribute nas-port format e SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC type 30 | Настраивает определенный тип порта службы для поддержки расширенного атрибута 61 и На этом шаге выполняется настройка значения типа определенного порта службы. • Формат аргумент указывает конкретный формат порта NAS. • Строка аргумент представляет весь определенный тип порта . Символы, поддерживаемые для формата e, показаны в команде radius-server attribute nas-port format command. • Ключевое слово type позволяет указывать различные строки формата для представления различных типов физических портов. • Аргумент nas-port-type может быть установлен в одно из расширенных значений атрибута 61. Примечание Формат e требует, чтобы вы явно определяли использование 32-битного атрибута 5. Использование определяется заданным символом анализатора для каждого интересующего поля порта NAS для данного битового поля. |
Примеры
В следующем примере показана текущая конфигурация вывода команды RADIUS, в которой вы включили расширенный атрибут 61. Вы можете использовать символы-разделители для отображения только соответствующих частей конфигурации.
Маршрутизатор № show running-config | включить радиус
aaa authentication ppp default group radius
aaa авторизация сеть радиус группы по умолчанию
aaa учетная сеть по умолчанию start-stop group radius
радиус-сервер атрибут 61 расширен
атрибут radius-server формат nas-port e SSSSAPPPUUUUUUUUUUUUUUUUUUUUUUU
атрибут radius-server формат nas-порта e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC тип 30
атрибут radius-server формат nas-порта e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC тип 31
атрибут radius-server формат nas-порта e SSSSAAAAPPPPVVVVVVVVVVVVVVVVVVVV тип 32
атрибут radius-server формат nas-порта e SSSSAPPPVVVVVVVVVVVVVVVVVVVVVVVV тип 33
Страница не найдена
Документы
Моя библиотека
раз
- Моя библиотека
«»
×
×
Настройки файлов cookie
Верхняя 1000 портов TCP и UDP (по умолчанию Nmap)
Несколько быстрых заметок о том, что nmap сканирует по умолчанию, команды ниже дадут вам отсканированные диапазоны, а также есть некоторые списки, подходящие для копирования / вставки.
- Верхние 1000 портов TCP: nmap -sT —top-ports 1000 -v -oG —
- Верхние 1000 портов UDP: nmap -sU —top-ports 1000 -v -oG —
- Порты отсортированы по частоте: sort -r -k3 / usr / share / nmap / nmap-services
Разделенные запятыми диапазоны
TCP
1,3-4,6-7,9,13,17,19-26,30,32-33,37,42-43,49,53,70,79-85,88-90,99- 100,106,109-111,113,119,125,135,139,143-144,146,161,163,179,199,211-212,222,254-256,259,264,280,301,306,311,340,366,389,406-407,416-417,425,427,443-445,458,464-465,481,497,500,512-515,524,541,543-545,548,554-555,563,587,593,616-617,625,631,636,646,648,666-668,683,687,691,700,705,711,714,720,722,726,749,765,777,783,787,800-801,808,843,873,880,888,898,900-903,911-912,981,987,990,992-993,995,999-1002,1007,1009-1011,1021-1100,1102, 1104-1108,1110-1114,1117,1119,1121-1124,1126,1130-1132,1137-1138,1141,1145,1147-1149,1151-1152,1154,1163-1166,1169,1174-1175, 1183,1185-1187,1192,1198-1199,1201,1213,1216-1218,1233-1234,1236,1244,1247-1248,1259,1271-1272,1277,1287,1296,1300-1301,1309- 1311,1322,1328,1334,1352,1417,1433-1434,1443,1455,1461,1494,1500-1501,1503,1521,1524,1533,1556,1580,1583,1594,1600,1641,1658, 1666,1687-1688,1700,1717-1721,1723,1755,1761,1782-1783,1801,1805,1812,1839-1840,1862-1864,1875,1900,1914,1935,1947, 1971-1972,1974,1984,1998-2010,2013,2020-2022,2030,2033-2035,2038,2040-2043,2045-2049,2065,2068,2099-2100,2103,2105-2107,2111, 2119,2121,2126,2135,2144,2160-2161,2170,2179,2190-2191,2196,2200,2222,2251,2260,2288,2301,2323,2366,2381-2383,2393-2394,2399, 2401,2492,2500,2522,2525,2557,2601-2602,2604-2605,2607-2608,2638,2701-2702,2710,2717-2718,2725,2800,2809,2811,2869,2875,2909- 2910,2920,2967-2968,2998,3000-3001,3003,3005-3007,3011,3013,3017,3030-3031,3052,3071,3077,3128,3168,3211,3221,3260-3261,3268- 3269,3283,3300-3301,3306,3322-3325,3333,3351,3367,3369-3372,3389-3390,3404,3476,3493,3517,3527,3546,3551,3580,3659,3689-3690, 3703,3737,3766,3784,3800-3801,3809,3814,3826-3828,3851,3869,3871,3878,3880,3889,3905,3914,3918,3920,3945,3971,3986,3995,3998, 4000-4006,4045,4111,4125-4126,4129,4224,4242,4279,4321,4343,4443-4446,4449,4550,4567,4662,4848,4899-4900,4998,5000-5004,5009, 5030,5033,5050-5051,5054,5060-5061,5080,5087,5100-5102,5120,5190,5200,5214,5221-5222,5225-5226,5269,5280,5298,5357,5405,5414, 5431-5432,5440,5500,5510,5544,5550,5555,5560,5566,5631,5633,5666,5678-5679,5718,5730,5800-5802,5810-5811,5815,5822,5825,5850, 5859,5862,5877,5900-5904,5906-5907,5910-5911,5915,5922,5925,5950,5952,5959-5963,5987-5989,5998-6007,6009,6025,6059,6100-6101, 6106,6112,6123,6129,6156,6346,6389,6502,6510,6543,6547,6565-6567,6580,6646,6666-6669,6689,6692,6699,6779,6788-6789,6792,6839, 6881,6901,6969,7000-7002,7004,7007,7019,7025,7070,7100,7103,7106,7200-7201,7402,7435,7443,7496,7512,7625,7627,7676,7741,7777- 7778,7800,7911,7920-7921,7937-7938,7999-8002,8007-8011,8021-8022,8031,8042,8045,8080-8090,8093,8099-8100,8180-8181,8192-8194, 8200,8222,8254,8290-8292,8300,8333,8383,8400,8402,8443,8500,8600,8649,8651-8652,8654,8701,8800,8873,8888,8899,8994,9000-9003, 9009-9011,9040,9050,9071,9080-9081,9090-9091,9099-9103,9110-9111,9200,9207,9220,9290,9415,9418,9485,9500,9502-9503,9535,9575, 9593-9595,9618,9666,9876-9878,9898,9900,9917,9929,9943-9944,9968,9998-10004,10009-10010,10012,10024 .