```{index} firewall, внешние ссылки
```


# Используемые порты (firewall)

Из документации:

```{list-table}
---
class: table table-hover table-sm
header-rows: 1
widths: 10 12 15 50
---

* - Service
  - Ports
  - Protocol
  - Comments

* - HTTP, HTTPS
  - `80, 443`
  - TCP
  - `80`: CRL and OCSP<br>
    `443`: API and web UI

* - LDAP, LDAPS
  - `389, 636`
  - TCP
  -

* - Kerberos
  - `88, 464`
  - TCP and UDP
  - `88`: Kerberos network authentication protocol server<br>
    `464`: Kerberos password (Kpasswd) server

* - DNS
  - `53`
  - TCP and UDP *(optional)*
  - if used as DNS server

* - NTP
  - `123`
  - UDP *(optional)*
  - is used as NTP server (current version can't without chronyd)
```

```{note}
IdM uses ports `80` and `389`. This is a secure practice because of the
following safeguards:

- IdM normally redirects requests that arrive on port `80` to port `443`. Port
  `80` (HTTP) is only used to provide Online Certificate Status Protocol
(OCSP) responses and Certificate Revocation Lists (CRL). Both are digitally
signed and therefore secured against man-in-the-middle attacks.

- Port `389` (LDAP) uses STARTTLS and Generic Security Services API (GSSAPI)
  for encryption. 
```

In addition, ports `8080`, `8443`, and `749` must be free as they are
used internally. Do not open these ports and instead leave them blocked
by a firewall.

---

```{note}
`53`-ий порт нужен для динамического обновления DNS-записей от клиентов, в том
числе при добавлении нового клиента в домен.

`80`-ый используется для получение сертификата CA FreeIPA при добавлении
нового клиента с помощью роли `ipaclients freeipa-ansible`, --- как минимум,
при использовании OTP (одноразового пароля), м.б. всегда.
```

```{seealso}
Источник: 
[RHEL8 - Installing Identity Management - Port requirements for IdM](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/installing_identity_management/preparing-the-system-for-ipa-server-installation_installing-identity-management#port-requirements-for-idm_preparing-the-system-for-ipa-server-installation)
```

```{hint}
Порт `7389` для репликации в текущей версии FreeIPA 4 уже не используется.

---

В правилах DFW мы можем использовать следующие записи (в firewall'е эджа
придётся указывать каждый порт отдельно):

- порты tcp: `53,80,88,389,443,464,636`
- порты udp: `53,88,123,464`
```