Hej!

Vi har ett bekymmer med vår konfiguration av FM Server 11. Det är en två-maskin konfiguration med webserver och WPE (WS/WPE) på en maskin och databasserver (DB) på en annan.

De olika maskinerna är virtuella maskiner med dedikerat minne, olika nätverkskort och dedikerade partitioner på en RAID 5. WS/WPE maskinen kör Windows Server 2003 och DB maskinen kör Windows Server 2008.

De olika nätverkskorten har vi för att kunna lägga ut WS/WPE-maskinen i ett DMZ, med en mellanliggande brandvägg till DB.

På WS/WPE-maskinen skall vi ha vår CWP lösning.

Poängen med detta är att kunna kontrollera vilken trafik som tillåts in till och ut från DB.
Om WS/WPE-maskinen blir infekterad skall detta inte kunna fortplanta sig enkelt ner till DB.
För att detta skall vara lönt behöver vi veta vilka portar FM Server använder sig av för kommunikation mellan WS/WPE och DB. Detta har visat sig lättare sagt än gjort.

Enligt FMs dokumentation är de portar som skall vara tillgängliga: 5003, 5013, 50003, 16000 och 16001. Enligt installationsanvisningarna för FMS11 skall 5003 och 16000 vara öppna i brandväggen mellan WS/WPE och DB. Stänger man ner alla andra portar och enbart tillåter trafik på dessa, hittar man inte WS/WPE i driftsättningen. Stänger man ner portarna efter driftsättning, tappas kontakten.

Vi har i brandväggens loggar sett att när den ena maskinen initierar kontakt med den andra, går den ut på vilken port som helst. Ett fullständigt slumpartat mönster. När kontakten når den andra kommer det dock från en av FM angiven port. När DB anropar WS/WPE landar det på port 16000 och på andra hållet landar det på port 5003.

Vi har försökt med en regel som säger att alla anrop från DB, från vilken port som helst, skall landa på port 16000 när det når WS/WPE-sidan. Även på andra hållet satte vi en motsvarande regel. Detta fungerade inte, maskinerna verkar förvänta sig svar på samma port som de frågade på. Då vi inte kan se vilka portar som används när alla är öppna, vet vi inte om maskinerna faktiskt uppför sig så.

Mjukvarubrandväggarna på respektive server är för övrigt avstängda.

Ett möjligt problem är Bonjour som FM använder sig av för att hitta de olika maskinerna i konfigurationen. Ingen dokumentation angående vilka portar som används, som skiljer sig från FMs, har hittats.

Allting fungerar som det ska när alla portar är öppna, men då faller idén med ett DMZ för ökad säkerhet något.

Är det någon som har erfarenhet av liknande problem eller konfigurationer?

Tack på förhand!
Oskar