angle-left

Настройка правил сетевого экрана для СБИС

В заметке агрегированы настройки для сетевого экрана на работу сервиса СБИС

Введение

К сожалению многие отечественные компании-разработчики ИТ решений в госсекторе не уделяют должного внимания на предоставление потребителям технической системной документации, и, порой не удосуживаются нормализации работы своих приложений. В общем виде это выглядит так: приложение должно иметь доступ куда угодно, без прокси сервера, работать с привелегиями администратора, да еще и в антивирусном программном обеспечении должно быть добавлено исключение. Как правило это вызвано отнюдь не спецификой работы и функциональности программного продукта, а его некачественной разработкой некомпетентными людьми, прикрывающимися лобби государственных органов.

Но в нормальной ИТ инфраструктуре, где хоть как-то думают о порядке, подход дать "все права" и "открыть доступ куда угодно" неприемлим.

Настройка доступа по документации

1. Итак, у СБИС имеется какая-то системная документация, где указаны список портов и ресурсов куда требуется дать доступ. 

Разрешен доступ к сайтам:

 


  *   online.sbis.ru (https-протокол, открытый порт: 443)
  *   srv.ea.tensor.ru (http-протокол, открытый порт: 80)
  *   cfs.tensor.ru (https-протокол, порты: 80 и 443)
  *   update.sbis.ru (http-протокол, порт: 80)
  *   smtp.ea.tensor.ru (SMTP, порт 25 или 251)
  *   pop.ea.tensor.ru (POP3, порт 110 или 1101)my.sbis.ru
  *   my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
  

 Если вы читаете эту статью найдя её в поисковике, наверняка, вы из тех кто уже понял, что данных настроек явно недостаточно для работы СБИС, а вернее, они не полные.

 
2. Далее нужно добавить список ресурсов куда отправляется отчетность

 (ФСС - http://f4.fss.ru и http://docs.fss.ru, ФСРАР - https://service.alcolicenziat.ru и https://service.fsrar.ru, РПН - https://pnv-rpn.ru), в противном случае обратитесь к системному администратору для настройки доступа...
 
 
 Но и это еще не всё. Далее в зависимости от фаервола и способа добавления ресурсов в его правила(FQDN,IP...) могут возникнуть проблемы с обновлениямми

 Не удалось подключиться к сервису оператора ЭДО.Проверьте подключение к сети Интернет

 

 Подключение по протоколу HTTP       |Не удалось подключиться к сервису оператора ЭДО.Проверьте подключение к сети Интернет!

srv.ea.tensor.ru              91.213.144.202
online.sbis.ru                    91.213.144.211


нет ошибок

srv.ea.tensor.ru              91.213.144.190
online.sbis.ru                    91.213.144.212

спустя минут 4-5 уже ошибибка

srv.ea.tensor.ru              91.213.144.227
online.sbis.ru                    91.213.144.178


перезапуск ПО ошибок нет через tcpviwert на 91.213.144.208

srv.ea.tensor.ru              91.213.144.208
online.sbis.ru                    91.213.144.195

3.Таким образом добавляем подсеть правилом для подсети 91.213.144.0/24

4.Так же доступ к сайту: http://sbis.ru/updates/    для загрузки автоматических обновлений

Этот костыль вызван ещё и тем, что СБИС кэширует при запуске ответ ДНС запроса и далее живет счастливо с ним до следующего перезапуска приложения.

5. Так же нужно добавить ресурс используемого Вами оператора связи :


Меню Сервис/Конфигурация задачи/Оператор связи/НАЖАТЬ F3/адрес http-сервиса используемого оператора.

6. И доступ к передаче отчетности по протоколу гарантированной доставки

по порту 8585 на адрес oper.tensor.ru ;
по порту 8585 на адрес pgd.ea.tensor.ru ;

НО, и это ещё не все: есть перечень, который необходимый добавить в исключение для работы с порталом не через программу а через браузер

Разрешен доступ к сайтам:

    online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    stomp-online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    xp-online.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    crypto.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    cdn.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    stomp-call.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    call.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)

    update.sbis.ru (http-протокол, порт: 53, 80)
    update1.sbis.ru (http-протокол, порт: 80)
    update2.sbis.ru (http-протокол, порт: 80)
    update3.sbis.ru (http-протокол, порт: 80)
    update4.sbis.ru (http-протокол, порт: 80)
    update5.sbis.ru (http-протокол, порт: 80)
    turn.sbis.ru (tcp\ udp-протокол, порт: 3478, 443)
    turn2.sbis.ru (tcp-протокол, порт: 3478, 443)
    help.sbis.ru (http\ https-протокол, порт: 80, 443)
    download.sbis.ru (http-протокол, порт: 80)

    localhost (порты: 843, 8181, 8484)
    my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    rhm-server.sbis.ru (tcp-протокол, порт: 443)
    symcb.com (http-протокол, порт: 80)

    comodoca.com (https-протокол, порт: 80, 443)
    ns1.stomp.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)
    ns2.stomp.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)


хотя список там же для работы через десктоп программу который уже добавлен ранее:

Разрешен доступ к сайтам:

    online.sbis.ru (https-протокол, открытый порт: 443)
    srv.ea.tensor.ru (http-протокол, открытый порт: 80)
    cfs.tensor.ru (https-протокол, порты: 80 и 443)
    update.sbis.ru (http-протокол, порт: 80)
    smtp.ea.tensor.ru (SMTP, порт 25 или 251)
    pop.ea.tensor.ru (POP3, порт 110 или 1101)my.sbis.ru
    my.sbis.ru (dns\ http\ https-протокол, открытый порт: 53, 80, 443)

7. Добавляем недостающие из списка браузерной версии ресурсы в правила сетевого экрана и ВУАЛЯ
К тому же рекомендую дать доступ на все порты описанные в документации на все описанные ресурсы - глубоко не было времени разобраться слушая трафик, но где и как по факту с ресурсами общается СБИС вопрос открытый.

Эпилог:


Вот в чём причина, что производитель программного обеспечения, имея веб ресурс поддержки (как бы поддержки) с технической документацией (как бы документацией), не предоставляет потребителям сводной корректной и актуальной информации о необходимых настройках окружения?