Подключенгие NW-клиента. ВЫСОКАЯ ТЕОРИЯ.

[Музалёв Николай]

Уважаемые коллеги!

Прошу тех, кто использует файервол КОМОД, помочь с правилами для NW-клиента.

Дело в том, что недавно пришлось настраивать удалённого клиента для работы в нашей ЛВС. Доступ извне для него организован по VPN-тоннелю на базе прибора ZyWALL-300 (комплексное пограничное решение для среднего бизнеса) и программки VPN-клиента из комплекта этого прибора.

Клиент находится в агрессивной среде, его машина несёт важные данные, поэтому его файер изначально настроен очень жёстко, по принципу "всё запрещено, явно разрешены конкретными значениями только совершенно необходимые протоколы, порты, адреса" .

Поставил КОМОД в режим обучения, выяснил, что настраивать правила, помимо модулей NW-клиента, надо и для компоненты, которая в КОМОДЕ именуется SYSTEM.
(Как я понимаю, это многострадальный svchost вкупе с lsass, winlogon и прочими)

Открыл на эту компоненту все "наши": TCP/UDP 524, 427, 123, мультикаст SLP... Но этого оказалось недостаточно и подключений клиента не было.

Экспериментально удалось установить, что подключение NW-клиента к ЛВС устойчиво и быстро, только если прописано правило для SYSTEM
Разрешено__IP:входящий__адрес:любой__протокол:любой

Но заказчика это не устраивает, что справедливо в его положении... Пока приняли компромис:
Разрешено__IP:входящий__с-серверов-ЛВС__протокол:любой

Но заказчиком поставлена задача максимально конкретизировать порты-протоколы и т.о. ужесточить правило.

ВОПРОС: что конкретно надо указать в этом правиле? может быть, вместо абстрактного SYSTEM, надо указать конкретный модуль/модули и тогда станет проще?

В общем - помогите сделать заказчику красиво и безопасно!

Спасибо

[Павел Гарбар]

Вот тут все перечислено:
http://www.novell.com/support/kb/doc.php?id=3666976
Без мультикаста SLP можно обойтись, переведя его на Directory Agent.
NCP (TCP/UDP 524) именно нужен. Остальное - по мере необходимости. А она у всех разная.

В той таблице неверно расшифровали NFS - это который по портам 20, 111 и 2049. Это не NetWare,а Network File System.

[Dimerson]

Присоединяюсь к Павлу. В общем-то хватит NCP.
NMAS выключить в св-вах клиента, имена серверов которые мапятся в логин скрипте и того к которому будет первоначальный логин вписать в hosts, этим можно избавится от жосткой необходимости SLP.

А на предмет привязки процесс/порт в правилах локального firewall надо по месту.
Я смотрю что у меня на 524 порту:
spoolsv.exe (через nwspool.exe) - в общем NDPS и Ипринт не ставим на данный комп ...
winlogon.exe (через nwgina.dll)
Может еще что-то .....

А что было до логина ? Наверное SYSTEM будет таки нормально.

[Музалёв Николай]

В общем-то хватит NCP

Нет, коллеги, следование общепринятой теории не "проходит", потому как налицо жесткая и совершенно однозначная зависимость: есть разрешение для SYSTEM на входящие именно по протоколу IP с модификацией "любой" - подключение есть.
Нет такого разрешения - подключения нет...

Пока пробую шаманить по "алгоритму мартышки", не исключено, что получу ответ опытным путём...

К сожалению, и снифер не очень помогает, п.к. мере простой...

[Владимир Горяев]

попробуй дать разрешения и на вход пакеты по 524 порту от серверов с любым портом.

[Dimerson]

а если разрешить 2 правила (подразумевается что ответные пакеты разрешены по умолчанию)
1. с любого tcp и udp порта компьютера на 524 tcp и udp сервера
2. с любого tcp и udp порта сервера на 524 tcp и udp компа
для пользователя SYSTEM ?

[Владимир Горяев]

Dimerson, ты правильно понял мою мыслю