PowerShell: Windows Firewall-Regeln zur Baramundi-Installation

Die Baramundi Management Suite ist ein Software-Produkt, mit dem ich angeschlossene Clients und Server verwalten kann, Software verteilen kann, Geräte per PXE-Boot vollständig installieren kann, ein Update-Management einführen kann, meine Clients inventarisieren und noch vieles mehr…

Die Software arbeitet agentenbasiert, d.h. ich muss auf jedem meiner verwalteten Endpunkte die Installation von einem Stück Software durchführen. Die Installation kann über drei Wege passieren:

  • Die manuelle Installation über eine Setup-Datei
  • Die Push-Installation vom Server aus
  • Die automatische Installation des Agenten während der OS-Installation

In meinem Fall sind die Clients bereits vorhanden, heißt es passiert keine Neuinstallation der Geräte. Somit bleiben mir die Schritte 1 und 2, wobei ich natürlich Schritt 2, die Verteilung der Agenten per Push-Installation, bevorzuge.

Wenn Sie Interesse an Baramundi und den Themen Patchmanagement, Softwareverteilung, Inventarisierung und mehr haben, sprechen Sie mich gern an. Meine Firma ist seit Anfang 2020 Partner von Baramundi und kann Sie hier gerne unterstützen.

Die lokale Windows Firewall

Da auf den Clients überall die Windows Firewall eingeschaltet ist und auch eingeschaltet bleibt, muss ich irgendwie die Installation des Agenten erlauben. Ich habe hier zum einen Geräte, die Mitglied einer Domäne sind, der andere Teil ist in einer Workgroup.

Bei den AD-Clients kann ich eine neue GPO anlegen und die betroffenen Ports öffnen, danach ist die Push-Installation möglich. Ich schränke die Ports an dieser Stelle noch auf die IP-Adresse des Baramundi Management-Servers ein, damit nicht direkt das gesamte Netz einen Zugriff über diese Ports bekommt.

Firewall-Regeln per Windows PowerShell

Damit ich die Regeln nicht immer per Hand auf den Workgroup-Geräten setzen muss, habe ich ein paar Minuten in ein kleines PowerShell-Skript investiert, was die benötigten Ports in der lokalen Firewall öffnet. Ich habe hier direkt die Freigaben für Server und Client hinzugefügt nach der Grafik in dem Baramundi Benutzerhandbuch unter Kommunikationsschema und Portbelegung.

Freigabe per Windows PowerShell

Bei dem folgenden Skript muss oben die IP-Adresse des Servers eingetragen werden, danach können die benötigten Regeln konfiguriert werden.

Wichtig: Schauen Sie bitte, welche Firewall-Freigaben wirklich benötigt werden. Ich habe in das Skript quasi alle sichtbaren Verbindungen eingetragen, ein Teil der Protokolle oder Freigaben wird allerdings nicht benötigt. Dies muss immer pro Zeile entschieden werden. Im Zweifel nach und nach durchgehen und testen, ob eine Installation möglich ist statt einfach alle Regeln anwenden und damit die Firewall unnötig zu öffnen.
Ich habe zu jeder Regel geschrieben, für was sie gut ist bzw. die der Dienst in der Baramundi-Doku angegeben ist.

Der Baramundi Server selbst benötigt ebenfalls Freigaben, da bei der Installation (zumindest bei mir) keine automatischen Regeln erstellt wurden. Somit war dann irgendwann die installation auf Client-Seite prinzipiell möglich, allerdings kam der Client dann nicht zum Server, da hier die Firewall ausgeschaltet war.

### Globale IP des BMS Servers
$RemoteAddress = "192.168.x.x"

### Baramundi Server
# TCP
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Netbios" -Direction Inbound -LocalPort 137,139 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - SMB" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - OS Install" -Direction Inbound -LocalPort 10080 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - HTTPS" -Direction Inbound -LocalPort 10092 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Job Transfer and Inventory" -Direction Inbound -LocalPort 10086 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - SMB" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
# UDP
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Netbios" -Direction Inbound -LocalPort 137,138 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - SMB" -Direction Inbound -LocalPort 445 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - PXE,DHCP,TFTP" -Direction Inbound -LocalPort 67,69,4011 -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Job Transfer and Inventory" -Direction Inbound -LocalPort 10086 -Protocol UDP -Action Allow

### Baramundi Agent
# TCP
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - RPC" -Direction Inbound -LocalPort 135 -RemoteAddress $RemoteAddress -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - TCP - Agent Installation" -Direction Inbound -LocalPort 10099 -RemoteAddress $RemoteAddress -Protocol TCP -Action Allow
# UDP
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - RPC" -Direction Inbound -LocalPort 135 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - PXE DHCP" -Direction Inbound -LocalPort 68 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow
New-NetFirewallRule -DisplayName "Baramundi Server - UDP - Server Push" -Direction Inbound -LocalPort 10087 -RemoteAddress $RemoteAddress -Protocol UDP -Action Allow

 


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.