none
Как ограничить доступ к определенному порту программе, выполняющейся на сервере ? RRS feed

  • Общие обсуждения

  • У нас на одном из серверов под Win 2003 стоит программа, по сути - эдакий сервер лицензирования, написанный когда-то для одного нашего профильного софта несколько криворукими программистами.
    Особенность программы - часто рассылает широковещательные пакеты на 138-й порт UDP.
    Без программы работать нельзя - не запустится тот софт, который она "типа" защищает.
    Защищаемое приложение ищет программу по СОМ объекту, затем вызывает пару функций из ее ДЛЛ-ки, при этом сетевой стек не задействуется, проверено.
    Очевидно данный функционал предназначен для контроля запуска защищаемых экземпляров по сети. В нашем случае все происходит на одном сервере в терминальном режиме.
    Проблема в том, что это терминальный сервер, причем из-за того, что программа защиты не ищется по сети, условия "защиты" требуют запуска защитной программы в каждом сеансе, а сеансов - не один десяток.

    В общем получается эдакий некрасивый внутренний NetBios шторм, портящий красивость логов "бордерных" серверов в инет.

    Убрать совсем с сервера доступ на данный порт мы не можем - отвалятся сетевые ресурсы и прочая.

    Есть ли в природе ПО, позволяющее ограничить работу определенного процесса (имиджа) с определенным локальным портом ? Т.е. нужно запретить ТОЛЬКО данному процессу рассылать с сервера UDP дейтаграммы на 138-й порт а в идеале - вообще запретить ему работать с сетью.
    7 апреля 2008 г. 19:38

Все ответы

  • возможно это и не очень информативный ответ, но опробуйте поискать в Интернет по запросу application level firewall - мне кажется, это то, что Вам нужно

     

    7 апреля 2008 г. 21:47
  • Ответ вполне информативен, спасибо.
    Но разворачивать что-то вроде ISA Server персонально на данном сервере не очень то хочется. Ибо сие есть дорого.

    Приветствуются бесплатные вещи либо сторонние утилиты. Может на самом деле это все можно решить вообще штатными средствами (rkit, suptools) либо скриптом, например тот же netstat -b показывает имидж процесса, висящий на определенном порту...
    8 апреля 2008 г. 6:07
  •  Allan Stark написано:
    У нас на одном из серверов под Win 2003 стоит программа, по сути - эдакий сервер лицензирования, написанный когда-то для одного нашего профильного софта несколько криворукими программистами.
    Особенность программы - часто рассылает широковещательные пакеты на 138-й порт UDP.
    Без программы работать нельзя - не запустится тот софт, который она "типа" защищает.
    Защищаемое приложение ищет программу по СОМ объекту, затем вызывает пару функций из ее ДЛЛ-ки, при этом сетевой стек не задействуется, проверено.
    Очевидно данный функционал предназначен для контроля запуска защищаемых экземпляров по сети. В нашем случае все происходит на одном сервере в терминальном режиме.
    Проблема в том, что это терминальный сервер, причем из-за того, что программа защиты не ищется по сети, условия "защиты" требуют запуска защитной программы в каждом сеансе, а сеансов - не один десяток.

    В общем получается эдакий некрасивый внутренний NetBios шторм, портящий красивость логов "бордерных" серверов в инет.

    Убрать совсем с сервера доступ на данный порт мы не можем - отвалятся сетевые ресурсы и прочая.

    Есть ли в природе ПО, позволяющее ограничить работу определенного процесса (имиджа) с определенным локальным портом ? Т.е. нужно запретить ТОЛЬКО данному процессу рассылать с сервера UDP дейтаграммы на 138-й порт а в идеале - вообще запретить ему работать с сетью.


    Как вариант:

    Воспользоваться IPSec Policy на сервере.

    Запретить широковещательные пакеты на 138-й порт UDP во "внешний мир" и разрешить внутренние.

    Инструкция тут
    8 апреля 2008 г. 7:05