所描述的规则适用于所有类型的主机,无论配置如何。这些规则通过 kata-firewall systemd 服务应用,仅适用于 INPUT 和 DOCKER-USER 链。
INPUT 链
该链管理与具有 Kaspersky Anti Targeted Attack Platform 组件的计算机的所有连接。
网络规则如下表所列。
INPUT 链的网络规则
目标服务或协议 |
端口 |
协议 |
sport |
dport |
外部网络访问 |
---|---|---|---|---|---|
SSH |
22 |
TCP |
|||
SMTP |
25 |
TCP |
|||
DNS |
53 |
TCP |
|||
HTTP |
80 |
TCP |
|||
SNMPD |
161 |
UDP |
|||
HTTPS |
443 |
TCP |
|||
preprocessor_icap |
1334 |
TCP |
|||
docker swarm |
2377 |
TCP |
|||
etcd |
2379 |
TCP |
|||
etcd |
2380 |
TCP |
|||
ceph_mon |
3300 |
TCP |
|||
VXLAN |
4789 |
TCP/UDP |
|||
ceph_mon |
6789 |
TCP |
|||
сeph OSD |
6800:6900 |
TCP |
|||
docker swarm |
7946 |
TCP/UDP |
|||
ipsec_manager |
8084 |
TCP |
|||
pcap_manager |
8085 |
TCP |
|||
HTTPS |
8443 |
TCP/UDP |
|||
HTTPS |
8444 |
TCP/UDP |
|||
suricata_metrics_exporter |
9103 |
TCP |
|||
node_exporter |
9141 |
TCP |
|||
cadvisor |
9142 |
TCP |
|||
preprocessor_metrics_exporter |
9191 |
TCP |
|||
pcap_manager_metrics_exporter |
9192 |
TCP |
|||
ceph_mgr |
9283 |
TCP |
|||
ceph_rgw |
9284 |
TCP |
|||
NDR Sensor |
9443 |
TCP |
|||
kafka bootstrap |
11000:11006 |
TCP |
DOCKER-USER 链
该链管理用于应用程序组件寻址的网络连接。网络规则如下表所列。
DOCKER-USER 链的网络规则
目标服务或协议 |
端口 |
协议 |
sport |
dport |
---|---|---|---|---|
SMTP |
25 |
TCP |
||
DNS |
53 |
TCP/UDP |
||
HTTP |
80 |
TCP |
||
HTTPS |
443 |
TCP |
||
preprocessor_icap |
1344 |
UDP |
||
NDR NATS (KICKS NAT) |
7423 |
TCP |
||
NDR public API |
8070 |
TCP |
||
deployment API |
8080 |
TCP |
||
部署管理 API |
8090 |
TCP |
||
授权服务 |
8091 |
TCP |
||
HTTPS |
8443 |
TCP |
||
apt collector ssl |
9081 |
TCP |
||
Sensor |
9443 |
TCP |
||
NDR EKA |
13520 |
TCP |