[ shaka @ 23.07.2003. 17:44 ] @
| Mreza: WAN Domain controlleri: W2K adv.server. DC su na dve udaljene lokacije. u branch office-u imam firewall koji treba da pusti replikaciju sa main office-a. Pitanje: Koji port se pusta i da li je to zjbno? |
|
[ B o j a n @ 24.07.2003. 18:15 ] @
Umm, nisam msce, ali mozda ti ovo pomogne...
$ cat /etc/services | grep ldap ldap 389/udp # Lightweight Directory Access Protocol ldaps 636/tcp # ldap protocol over TLS/SSL (was sldap) ldaps 636/udp # ldap protocol over TLS/SSL (was sldap) www-ldap-gw 1760/tcp # www-ldap-gw www-ldap-gw 1760/udp # www-ldap-gw msft-gc-ssl 3269/tcp # microsoft global catalog with ldap/ssl [ Mihailo @ 24.07.2003. 18:47 ] @
[ shaka @ 29.07.2003. 11:30 ] @
A sta mislite o software-VPN dva Domain controlera, i po kojim portovima to ide...onako je mnogo bushno!!!
[ B o j a n @ 29.07.2003. 22:10 ] @
Istina ... ali koliko je vpn jednostavniji od ldaps ?
[ marko1101 @ 31.07.2003. 02:48 ] @
port je 53,
ako podesis u FireWall-u da taj port koriste samo ip adrese kojima verujes neces imati nikakvih problema, [ B o j a n @ 31.07.2003. 10:02 ] @
53/tcp i 53/udp su rezervisani za DNS/DNS repliciranje ...
[ shaka @ 01.08.2003. 13:19 ] @
Znaci ako sam dobro shvatio replikacija 2 DC-a preko neta i VPN-a se zavrsava otvaranjem samo porta 53? Jel probao neko to,i iskustva...
[ B o j a n @ 01.08.2003. 16:54 ] @
Nisam probao, ali u takvoj pretpostavci postoje neke nelogicnosti. Okej, dns imena se prenose preko #53, ali ... ldap objekti ( core of the dc ) sigurno ne .... hm? jos neko?
[ fangio @ 19.08.2003. 23:44 ] @
LDAP ... 389 ...
[ klasika1 @ 31.08.2003. 02:11 ] @
AD replikacija koristi masu nekih portova, ali najvazniji ti je 135 tcp/udp jer preko njega pokrece RPC. Ako RPC ne fercera, nema replikacije. Ostali portovi se odnose na NetBIOS, DNS, SMB, GC, WINS, Kerberos .... Ako vezes DC preko interneta, onda ti je najbolje zaboravi tu varijantu jer to nikad nece biti sigurno. Cak ti ni VPN nece pomoci 100%. Najsigurnije ti je iznajmljena linija izmedju main i remote office lokacija koja ce biti 100% zatvorena.
[ shaka @ 04.09.2003. 14:49 ] @
Hvala svima.
Stara dobra parica je ipak cudo!!! ...Uzgred ima neko vezu u Telecomu :-) [ Johny4FUN @ 06.09.2003. 13:59 ] @
Moje misljenje je da replikaciju odradis preko VPN. Naj sigurniji metod sto se tice interneta. E sad... Da bi to odradio morao bi da otvoris sledece portove:
* Od IP servera koji poziva PORT TCP 1723 prema IP koji prima (PPTP protocol) * Od IP servera koji prima PORT TCP 1723 prema IP koji poziva (PPTP protocol) * I od IP servera koji poziva Protocol ID 47 prema IP koji prima (GRE) Najbolje bi bilo da je taj VPN server izbacen preko NATa, ali obrati paznju da onda moras da koristis samo PPTP protokol zato sto L2TP ne mozes da koristis zajedno sa NATom. POZ  [ markom @ 06.09.2003. 19:07 ] @
Citat: Najbolje bi bilo da je taj VPN server izbacen preko NATa, ali obrati paznju da onda moras da koristis samo PPTP protokol zato sto L2TP ne mozes da koristis zajedno sa NATom. Novije verzije Cisco IOS-a (12.2.13T i novije) podrzavaju IPSEC kroz NAT: http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftnatesp.htm Jos jednom, kol'ko para tol'ko muzike (hint: Cisco) ;-) Marko. [ B o j a n @ 07.09.2003. 17:42 ] @
I ne samo cisco, od kad znam za sebe isakmpd(8) je bilo moguce povezati kroz nat, a uz malo tweak-a i kroz 2 nat-a.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|