Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Настройки межсетевого экрана UniFi AP для Windows Server 2012 [R2], UniFi Network
 
#1
08.11.2014 20:57:00
Просто небольшое замечание для пользователей Windows. У меня не получалось запустить обнаружение устройств в Windows. Я открыл все порты в брандмауэре, но это не помогло. Короче говоря, пришлось открыть UDP-порт 10001, чтобы обнаружение устройств заработало. В документации об этом не было ни слова, я нашёл этот порт с помощью сниффера, когда брандмауэр был отключён. Вот команды PowerShell для открытия всех нужных портов в брандмауэре Windows. Было бы здорово, если бы это включили в процесс установки.

New-NetFirewallRule -Name UniFi-Mgmt-In -DisplayName "UniFi-Mgmt (TCP-In 8081)" -Description "Разрешить входящий трафик управления UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8081 -Direction Inbound  
New-NetFirewallRule -Name UniFi-Mgmt-Out -DisplayName "UniFi-Mgmt (TCP-Out 8081)" -Description "Разрешить исходящий трафик управления UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8081 -Direction Outbound  
New-NetFirewallRule -Name UniFi-DvcInfrm-In -DisplayName "UniFi-DvcInfrm (TCP-In 8080)" -Description "Разрешить входящий трафик информирования устройств UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8080 -Direction Inbound  
New-NetFirewallRule -Name UniFi-DvcInfrm-Out -DisplayName "UniFi-DvcInfrm (TCP-Out 8080)" -Description "Разрешить исходящий трафик информирования устройств UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8080 -Direction Outbound  
New-NetFirewallRule -Name UniFi-Ctrlr-In -DisplayName "UniFi-Ctrlr (TCP-In 8443)" -Description "Разрешить входящий трафик контроллера UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8443 -Direction Inbound  
New-NetFirewallRule -Name UniFi-Ctrlr-Out -DisplayName "UniFi-Ctrlr (TCP-Out 8443)" -Description "Разрешить исходящий трафик контроллера UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8443 -Direction Outbound  
New-NetFirewallRule -Name UniFi-PrtlRdr-In -DisplayName "UniFi-PrtlRdr (TCP-In 8880)" -Description "Разрешить входящий трафик перенаправления портала UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8880 -Direction Inbound  
New-NetFirewallRule -Name UniFi-PrtlRdr-Out -DisplayName "UniFi-PrtlRdr (TCP-Out 8880)" -Description "Разрешить исходящий трафик перенаправления портала UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8880 -Direction Outbound  
New-NetFirewallRule -Name UniFi-PrtlRdrSsl-In -DisplayName "UniFi-PrtlRdrSsl (TCP-In 8843)" -Description "Разрешить входящий SSL-трафик перенаправления портала UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8843 -Direction Inbound  
New-NetFirewallRule -Name UniFi-PrtlRdrSsl-Out -DisplayName "UniFi-PrtlRdrSsl (TCP-Out 8843)" -Description "Разрешить исходящий SSL-трафик перенаправления портала UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 8843 -Direction Outbound  
New-NetFirewallRule -Name UniFi-DB-In -DisplayName "UniFi-DB (TCP-In 27117)" -Description "Разрешить входящий трафик базы данных UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 27117 -Direction Inbound  
New-NetFirewallRule -Name UniFi-DB-Out -DisplayName "UniFi-DB (TCP-Out 27117)" -Description "Разрешить исходящий трафик базы данных UniFi" -Group UniFi -Enabled True -Protocol TCP -LocalPort 27117 -Direction Outbound  
New-NetFirewallRule -Name UniFi-DvcDisc-In -DisplayName "UniFi-DvcDisc (UDP-In 10001)" -Description "Разрешить входящий трафик обнаружения устройств UniFi" -Group UniFi -Enabled True -Protocol UDP -LocalPort 10001 -Direction Inbound  
New-NetFirewallRule -Name UniFi-DvcDisc-Out -DisplayName "UniFi-DvcDisc (UDP-Out 10001)" -Description "Разрешить исходящий трафик обнаружения устройств UniFi" -Group UniFi -Enabled True -Protocol UDP -LocalPort 10001 -Direction Outbound
 
 
 
#2
10.05.2015 16:30:00
Да, но пользователи Windows не ожидают лезть в конфигурационные файлы. Это в основном задача админа *nix 😉 В любом случае, такая информация должна быть в официальной документации. В корпоративных средах и дата-центрах не любят гадать и копаться без нужды. Им нужна чёткая, понятная документация. Особенно когда админ должен отчитываться перед руководством.

Согласен, что порт базы данных не должен быть открыт. Я это не оспариваю. Но установщик должен либо сам открыть, либо предоставить опцию для открытия минимально необходимого порта в брандмауэре, чтобы продукт работал сразу, «из коробки». Например, для обнаружения устройств, чтобы контроллер и точки доступа могли общаться.
 
 
 
#3
10.05.2015 16:18:00
Вы найдете большую часть информации о портах в файле конфигурации. В 99,999% случаев НЕ следует открывать порт базы данных. Аналогично, открывайте только те порты, которые использует портал, если портал действительно используется. Также автоматические обновления нужно отключить. R+C
 
 
 
#4
10.05.2015 15:47:00
@j03man Ты можешь сделать резервную копию и восстановить настройки Unifi Controller во вкладке Admin внизу. Так ты не потеряешь свои точки доступа и настройки, даже если придется переустанавливать программу.
 
 
 
#5
10.05.2015 15:44:00
Очень верно. Вот почему у многих установщиков теперь есть галочка или всплывающее окно с вопросом, хотите ли вы открыть порты в фаерволе. Так опция доступна, и людям не приходится искать информацию самостоятельно. Потом, если правила фаервола правильно названы, будет легко посмотреть список и понять, какие из них использует продукт, чтобы решить, нужно ли держать эти порты открытыми или нет.

Но этот пост появился, потому что я не нашёл никакой документации о нужных портах, поэтому пришлось запускать порт сниффер и тестировать. Только что открыл руководство по Unifi Controller — и там по-прежнему нет ни слова о нужных портах для фаервола. http://dl.ubnt.com/guides/UniFi/UniFi_Controller_UG.pdf

Так что, думаю, лучшее решение — это более полная документация и возможность выбора при установке.
 
 
 
#6
10.05.2015 07:59:00
Возможно, вы хотите, чтобы открытие порта было настроено прямо во время установки, но не все этого хотят. Открытие портов должно контролироваться чётко и однозначно, чтобы иметь смысл. Это требует документации и явного создания скриптов, которые находятся под контролем ответственных за настройку файрволлов и с разрешения тех, кто отвечает за безопасность. Многие из портов, которые вы предлагаете открыть, должны открываться только в определённых ситуациях, например, при перенаправлении портала. Вы вообще понимаете, зачем открывать порт 27117? Стоит ли вам вообще его открывать? Вы правильно пере настроили MongoDB, чтобы поддерживать безопасность базы данных? То, что удобно одному человеку, для другого — сигнал тревоги по безопасности. Могу сказать вам честно, что дата-центры очень серьёзно относятся к таким вещам. R+C
 
 
 
#7
09.05.2015 19:10:00
Сработало идеально! Спасибо, у меня настроено 3 точки доступа, и мне пришлось сбросить их с ноутбука, чтобы подключить через сервер клиента... Кстати, пришлось удалить программное обеспечение UniFi с сервера и установить заново… Контроллер пропал. Есть ли способ настроить новый контроллер без сброса точек доступа?
 
 
 
Страницы: 1
Читают тему (гостей: 1)