Firewall Regeln einer Baramundi Installation

Baramundi ist wie der Microsoft SCCM oder Empirum von Matrix42 eine Softwareverteilung, mit der es möglich ist Computer zu installieren, Software zu verteilen und diese zu Inventarisieren. Doch damit die Softwareverteilung richtig funktioniert, müssen spezielle Firewall Regeln auf dem Windows Server erstellt werden. Welche das sind zeigen wir euch.

Baramundi Firewall Regeln

Firewall Regeln für die Baramundi Installation

Damit die Softwareverteilung mit Baramundi funktioniert, wird ein Windows-Server benötigt. Außerdem gibt es noch mehr System-Voraussetzungen. Dieser stellt verschiedene Dienste bereit. Beispiele sind Dienste für die Software-Verteilung, die Inventarisierung von Software und Computer-Informationen, aber auch ein PXE-Server für die Betriebsystem-Installation. Hierfür werden bestimmte TCP & UDP Ports benötigt. Damit die Kommunikation zwischen Server und Clients funktioniert, müssen bestimmte Regeln an der Windows Firewall erstellt und konfiguriert werden.

Baramundi Firewall Ports

Wie oben schon genannt, benötigt Baramundi bestimmte Ports, welche freigegeben werden müssen. Zu diesen UDP und TCP Ports müssen Firewall Inbound und Outbound Regeln erstellt werden:

  • 135 (TCP)
  • 137 (TCP & UDP)
  • 139 (TCP)
  • 445 (TCP)
  • 10080 (TCP)
  • 10092 (TCP)
  • 10086 (TCP)
  • 10099 (TCP)
  • 443 (TCP)
  • 138 (UDP)
  • 445 (UDP)
  • 67 (UDP)
  • 69 (UDP)
  • 4011 (UDP)
  • 10086 (UDP)
  • 68 (UDP)
  • 10087 (UDP)

Firewall Regeln per PowerShell Script

Natürlich ist das ein enormer Aufwand die Firewall Regeln auf dem Windows Server zu erstellen. Abhilfe hilft hier ein PowerShell Script, welches alle Regeln auf der Firewall automatisiert für den Baramundi Server anlegt.

### IP-Adresse des Baramundi Servers
$RemoteAddress = "10.52.10.10"

### Firewall-Regeln
# TCP Settings
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Netbios" -Direction Inbound -LocalPort 137,139 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - SMB" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - OS Install" -Direction Inbound -LocalPort 10080 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - HTTPS" -Direction Inbound -LocalPort 10092 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Job Transfer and Inventory" -Direction Inbound -LocalPort 10086 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - SMB" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
# UDP Settings
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Netbios" -Direction Inbound -LocalPort 137,138 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - SMB" -Direction Inbound -LocalPort 445 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - PXE,DHCP,TFTP" -Direction Inbound -LocalPort 67,69,4011 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Job Transfer and Inventory" -Direction Inbound -LocalPort 10086 -Protocol UDP -Action Allow

### Baramundi Agent
# TCP Settings
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - RPC" -Direction Inbound -LocalPort 135 -RemoteAddress $RemoteAddress -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Agent Installation" -Direction Inbound -LocalPort 10099 -RemoteAddress $RemoteAddress -Protocol TCP -Action Allow
# UDP Settings
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - RPC" -Direction Inbound -LocalPort 135 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - PXE DHCP" -Direction Inbound -LocalPort 68 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Server Push" -Direction Inbound -LocalPort 10087 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow

Nachdem diese Einstellungen gesetzt wurden, sollte die Kommunikation zwischen dem Baramundi Server und den Client-Agents ohne Probleme funktionieren. Manche Dienste können auch auf anderen Ports kommunizieren, dann muss das Script dementsprechend angepasst werden. Das komplette deaktivieren der Windows Firewall funktioniert auch, stellt aber ein erhebliches Sicherheitsrisiko dar.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments