小牛OS X服务器 – configuration文件pipe理器 – configuration文件pipe理器端口必须映射在路由器上的全部function?
我注意到,服务器询问我是否希望Profile Manager端口可用。 我检查了它添加到路由器的设置,并将服务器的tcp端口80,443和1640映射。
80端口只是apache web服务器,所以它增加了,所以你可以访问web界面。 出于与上述相同的原因,端口443再次是ssl apache web服务器。
1640端口呢?
事实是,我不希望configuration文件pipe理器可以从外部访问(通过Web界面),但我希望它正常工作。 我应该离开这个tcp 1620在那里,或者我可以安全地删除所有这些,configuration文件pipe理器将继续工作?
PS。 在苹果的支持网站http://support.apple.com/kb/HT5302上也发现了这个文件。似乎在混合中添加了更多的端口,这些端口在自动configuration中似乎没有出现在任何地方。
2195,2166由configuration文件pipe理器用来发送推送通知
5223用于维护与APN的持续连接并接收推送通知
80/443提供对Profile Managerpipe理员的Web界面的访问
1640注册访问证书颁发机构
端口2195,2196和5223不需要映射,因为它们用于与Apple的推送通知服务器的传出连接。 除非你在做出口过滤,否则你不需要做任何事情。 如果您要进行出口过滤,请确保在这些端口上允许连接到Apple的17.0.0.0/8networking块。
端口1640用于安全configuration注册协议(SCEP)。 我没有testing,但我认为这只需要映射,如果你想注册新的设备,当他们不在局域网。 如果你从防火墙内部进行所有的注册,我认为你可以取消映射这个。
Web界面(pipe理员为“个人档案pipe理员”,用户为“用户门户”) 和设备下载个人档案使用端口80和443。 推送通知用于告诉设备新的/更新的configuration文件,但不发送实际的configuration文件; 为此,设备在端口443上联系服务器(假设您已经设置了SSL)来下载configuration文件本身。 如果您保留这些未映射的设备,您的设备将不会收到任何新的/更新的configuration文件,直到他们在专用networking上。
最终结果是:您实际上并不需要映射任何端口,但是如果您的客户端设备在离开专用networking时不具备有限的function。
顺便说一句,如果您为服务器使用本地或专用主机名(例如server.local或server.private),则基本上会有相同的限制 – 在这种情况下,客户端将无法从专用networking外部parsing服务器的地址,因此将无法注册或下载新的configuration文件。