XS Wiki

Multidata s.r.l. - Rosignano Marittimo (LI)

Strumenti Utente

Strumenti Sito

Ti trovi qui: start » faq » dylogfw
Traccia:
faq:dylogfw

Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

Link a questa pagina di confronto

Prossima revisione		Revisione precedente
faq:dylogfw [2023-07-26 13:05] – creata federicofaq:dylogfw [2023-08-01 10:43] (versione attuale) – [Microsoft SQL Server] federico
Linea 1: Linea 1:
 ====== Impostazioni firewall / antivirus per Dylog linea UP ====== ====== Impostazioni firewall / antivirus per Dylog linea UP ======
  
-Appunti sulla corretta configurazione di installazioni client-server dei prodotti Dylog della "Linea UP" (Expert Up, Manager Up, Telematico Up), a integrazione di quanto descritto nella documentazione originale.+Appunti sulla corretta configurazione di installazioni client-server dei prodotti Dylog della "Linea UP" ([[https://www.dylog.it/software/expert-up|Expert Up]][[https://www.dylog.it/software/gestionale-per-aziende-open-manager-manager-up/|Manager Up/OpenManager]][[https://www.dylog.it/software/telematico-up|Telematico Up]]), a integrazione di quanto descritto nella documentazione originale.
  
 Data la progressiva integrazione dei servizi, queste informazioni possono risultare utili anche per i Data la progressiva integrazione dei servizi, queste informazioni possono risultare utili anche per i
Linea 18: Linea 18:
 modificarne la configurazione. modificarne la configurazione.
  
 +È eventualmente possibile, dalle rispettive //console//, reimpostare le eccezioni nel firewall in un secondo momento (à necessario essere amministratori):
  
 +{{:faq:dps_firewall-0.png?400 |Reimpostazione delle regole del firewall nella console DPS ...}} {{:faq:dus_firewall-0.png?400 |... E l'identica funzionalità nella console DUS}}
  
 +===== SOFTWARE DI SICUREZZA INTEGRATA =====
  
-Alcuni clienti stanno utilizzandocome noi, SISCOXS in modalità "smart-working" collegandosi da casa in RDP ([[wpit>Remote_Desktop_Protocol|desktop remoto Microsoft]]) //ognuno al proprio posto di lavoro//.+Può capitare che il server sia protetto da un pacchetto di sicurezza integrata che include sia 
 +diverse forme di antivirus e di controllo di comportamenti anomali delle applicazionisia un proprio 
 +firewall -- in modo da tenere sotto controllo le connessioni di rete sia in entrata che in uscita.
  
-In condizioni normali SISCOXS riconosce questa modalità (che è consentita solo con apposita licenza) e identifica il posto di lavoro in modo diverso.+In questi casi il firewall di sistema viene disattivato, in quanto la sua funzione viene svolta dal 
 +software di sicurezza. Se si è fortunati, questo eredita le impostazioni dal firewall di sistema, 
 +ma se i servizi applicativi Dylog sono stati installati successivamente, è un'eventualità più difficile.
  
-L’impostazione delle alternative è in __Configurazione e Servizi__ -> __Impostazioni generali__ -> __Dati di base installazione__, al parametro "connessioni remote".+Si rende perciò necessario configurare le eccezioni nei parametri del software di sicurezza.
  
-Assumendo, per esempio, che il proprio posto di lavoro si chiami ''CONTAB04'', e ci si connetta da casa con il proprio portatile ''PCCASA'', l’effetto è il seguente:+===== ECCEZIONI PER I SERVIZI =====
  
-^ Impostazioni connessioni remote ^ Posto di lavoro riconosciuto come ^ Note ^ +==== Per le connessioni in ingresso ====
-| Condivise | ''*TERMSERVER'' | //Vecchia modalità predefinita//+
-| Equiparate | ''PCCASA'' | | +
-| Separate | ''*PCCASA'' | //Nuova modalità predefinita// |+
  
 +L'impostazione del firewall di sistema fatta dal setup Dylog è basato sul //nome del programma//: si dichiara, in pratica, di lasciar fare al programma (DUS e/o DPS) quello che richiede, in quanto degno di fiducia.
  
-Il problema è che molte delle impostazioni della procedura sono legate al posto di lavoro, e in particolar modo la configurazione della posta elettronicaIl sintomo più comuneinfattiè “Non riesco a inviare per posta le fatture”. +Questo approccio non sempre è possibile; per alcuni software di sicurezza le impostazioni sono gestite 
-Nel nostro caso la configurazione dell’invio, a meno che non sia generale per tutta l’installazioneè legata a ''CONTAB04''.+da un'altra macchina o da un portale centralizzato, e questi //non// può sapere con sicurezza dove 
 +i programmi da autorizzare sono installatiIn qualche casoinoltre, le eccezioni da impostare devono risultare valide per qualsiasi servered essere di conseguenza più generiche possibili.
  
-//(NOTA: questo sistema di individuazione dei posti di lavoro in RDP è stato pensato per chi lavora SEMPRE in questa modalità, dallo stesso posto di lavoro – p.e. sedi distaccate – e dove tutti si connettono allo stesso server. Da qui la necessità di prendere come riferimento il nome del PC dal quale ci si collega).//+Questo è anche il caso di firewall esterni basati su sistemi operativi diversi da Windows.
  
-===== LA SOLUZIONE =====+Si deve pertanto scegliere la modalità "[[wpit>Porte_TCP_e_UDP_standard|porta]]".
  
-SISCOXS è stato recentemente modificato per consentire il lavoro in "smart-working", dove il riferimento è SEMPRE il PC di lavoro, sia che si utilizzi fisicamente, sia che ci si colleghi in RDPI passi da seguire sono elencati di seguito, e sono da effettuare **PER OGNI POSTO DI LAVORO** che si intende utilizzare in questo modo.+Queste sono le porte utilizzate per i servizi applicativi DylogIl firewall (o chi ne fa le veci) deve essere configurato per **permettere** le connessioni in entrata sul server per:
  
-Prerequisito è aver installato gli ultimi aggiornamenti del modulo XSBASEQuestoovviamenteè sufficiente sia fatto una sola volta ;-).+^ Servizio ^  Protocollo  ^  Numero porta ^ 
 +| //Dylog Protection Service//, DPS, ''DPService.exe'' |  TCP  |  3500 | 
 +| ::: |  UDP  |  3600 | 
 +| //Dylog Update Service//DUS''DUService.exe'' |  TCP  |  11600 | 
 +| ::: |  UDP  |  11700 |
  
-Quindiper ogni postazione:+Se il firewall lo consentelimitare l'accesso solo all'interno di rete di dominio o rete privata.
  
-  - Chiudere tutte le sessioni di SISCOXS e verificare la versione del lanciatore: avviando l’icona tenendo premuto il tasto "Maiusc" dovrebbe comparire una finestra come questa:\\ {{:faq:smartrdp01.png|Questa finestra si apre avviando la procedura tenendo premuto il tasto Maiusc ...}}\\ (il numero di versione deve essere //almeno// quello indicato: 9.0.122.2020, e deve essere datato //almeno// 12 marzo 2020) +==== Per le connessioni in uscita ====
-  - Se la versione non è adatta, annullare il lancio e eseguire ''SETUPCLI.EXE'' da ''...\SISCOXS\Avvio'' (non occorre barrare le caselle proposte). Tornare al punto 1). Se continua a mostrare una versione non adatta, c’è un problema con gli aggiornamenti. +
-  - Se la versione è quella giusta, usare il pulsante "Modifica configurazione". Si aprirà NOTEPAD (o qualsiasi altro programma sia impostato per aprire files di testo) +
-  - Aggiungere **NELLA SEZIONE [XSRUN]** una riga contenente il testo ''Remote=PC'' (vedi sotto). //Non toccate nient’altro!// :-D\\ {{:faq:smartrdp02.png|Windows Notepad (Blocco note) aperto per modificare la configurazione di avvio di SISCOXS}}\\ Salvare e chiudere. +
-  - Tornati alla finestra di cui al punto 1), proseguire con “Avvia normalmente”. +
-  - Una volta al menù, verificate con __Maiusc+F3__ -> __Dati terminale__ che il posto di lavoro sia riconosciuto correttamente: i due nomi del posto di lavoro indicato nella prima riga devono risultare uguali, mentre un paio di righe più in basso la voce "* TERMINAL SERVER da" deve riportare il nome del "chiamante". A questo punto lavorare da casa o dall’ufficio sarà indifferente, salvo limitazioni proprie di RDP. +
-  - Ripetere per ogni posto di lavoro interessato. +
  
-NOTA: La configurazione di cui sopra (punti 1-5) si può effettuare anche senza essere collegati in RDPma la verifica al punto 6) può essere fatta -- per ovvii motivi -- solo con desktop remoto attivo.+Se la protezione della rete locale comprende anche limitazioni alle connessioni in uscitaè 
 +necessario consentire l'accesso ai server Dylog responsabili della distribuzione degli aggiornamenti:
  
 +^ Nome del server ^ Indirizzo IP (a luglio 2023) ^ Note ^
 +| ''sd.dyog.it''  |  45.89.181.183  | |
 +| ''update.dnn.it''  |  82.112.195.133  | //(non più utilizzato, ma deve essere accessibile)// |
 +| ''dwnl.dylog.it''  |  45.89.181.236  | |
 +
 +Per poter utilizzare il software di teleassistenza impiegato dal personale Dylog
 +([[https://www.islonline.com/|ISL]], scaricabile all'indirizzo [[http://isl.dylog.it/isl.exe]]),
 +si deve consentire l'accesso anche a:
 +
 +^ Nome del server ^ Porte TCP ^ Note ^
 +| ''*.islonline.net''  |  8080, 7615, 80, 443  | //Le porte 80 e 443 sono normalmente già aperte per le normali connessioni web.// |
 +
 +
 +===== Microsoft SQL Server =====
 +
 +I prodotti delle linea "UP" utilizzano come archiviazione il database MS SQL Server: anch'esso colloquia tramite rete su specifiche porte.
 +
 +Essendo un prodotto commerciale molto diffuso, è probabile che i software di sicurezza integrata e i firewall esterni prevedono già delle apposite regole per consentire la connessione al database, che sono, magari, semplicemente da attivare.
 +
 +In caso contrario, la tipica configurazione richiesta dai prodotti Dylog prevede, per le **connessioni in ingresso** sul server, l'accesso tramite:
 +
 +^ Servizio ^  Protocollo  ^  Numero porta ^
 +| MS SQL Server  |  TCP  |  1433 |
 +| MS SQL Server Browser |  UDP  |  1434 |
 +
 +-----
 +//(documento terminato)//
faq/dylogfw.1690369558.txt.gz · Ultima modifica: da federico
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki