Динамические порты постоянно меняются. Как настроить их в брандмауэре?

Question

Динамические порты постоянно меняются. Как настроить их в брандмауэре?

Я хотел бы заблокировать неиспользуемые порты на моем сервере, поэтому я отслеживаю порты с помощью CurrPorts и понимаю некоторые процессы, такие как lsass.exe иметь некоторые динамические порты, например 49158,49976,... Эти порты могут измениться после перезапуска службы.

Я изучил рекомендации по настройке правил брандмауэра, поэтому я хотел бы разрешить использование используемых портов и запретить использование других по коммутатору. ACL(Список контроля доступа), например:

switch (conf)> ip access-list расширенный брандмауэр
switch(conf-ipacc)> разрешить tcp любой (source-ip) любой (source-port) 192.168.5.10(server-ip) 53(server-local-port) приоритет 10
switch(conf-ipacc)> разрешить tcp любой любой 192.168.5.10 49158 приоритет 50
,
,
switch(conf-ipacc)>deny tcp any any 192.168.5.10 любой приоритет 1000

Вопрос:

Что я могу сделать для динамических портов, которые постоянно меняются?

ОС: Windows Server 2012
IP-адрес сервера: 192.168.5.10
Коммутатор: Cisco SG-300

0

firewall windows-server-2012 port access-control-list dynamic

Источник

Tom 25 дек '18 в 11:56

1 ответ

Решение

Другие вопросы по тегам firewall windows-server-2012 port access-control-list dynamic

Greg Askew 25 дек '18 в 14:16 2018-12-25 14:16 · Accepted Answer · 2018-12-25 14:16

Необходимо либо разрешить весь диапазон высоких портов (49152-65535), либо выполнить приведенную ниже процедуру, чтобы ограничить трафик RPC пользовательским диапазоном.

https://support.microsoft.com/en-us/help/154596/how-to-configure-rpc-dynamic-port-allocation-to-work-with-firewalls

В этом примере порты с 5000 по 6000 включительно были выбраны произвольно, чтобы проиллюстрировать, как можно настроить новый раздел реестра. Это не рекомендация о минимальном количестве портов, необходимых для какой-либо конкретной системы.

Добавьте ключ Интернета в папку: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Под ключом Интернета добавьте значения "Порты" (MULTI_SZ), "ПортыИнтернет-доступность" (REG_SZ) и "ИспользованиеИнтернет-порты" (REG_SZ).
Например, новый раздел реестра выглядит следующим образом: Порты: REG_MULTI_SZ: 5000-6000 ПортыИнтернет-ИнтернетДоступно: REG_SZ: Y ИспользоватьИнтернет-порты: REG_SZ: Y
Перезагрузите сервер. Все приложения, использующие динамическое распределение портов RPC, используют порты с 5000 по 6000 включительно.

Для Active Directory существует множество других портов, которые необходимо разрешить.

Если вам нужно только разрешить доступ к определенным, известным системам, IPSEC будет более безопасным вариантом.