Нужно ли открывать порты или менять файрвол на удалённой машине?
Нет. Вы не открываете входящих портов, ничего не пробрасываете и не трогаете NAT. Удалённой машине нужен лишь исходящий доступ в интернет — тот же, что уже используется для обновлений или браузера.
Агент дозванивается исходящим
Агент LRO никогда не ждёт входящее соединение. Он устанавливает исходящее WebSocket-соединение к ядру LRO и поддерживает его keepalive-пингами. Исходящее — это направление, которое файрволы и NAT и так разрешают по умолчанию, поэтому настраивать на машине или в её сети нечего. Для файрвола это выглядит как обычный исходящий веб-трафик.
Чего делать не нужно
- Не добавлять входящих правил файрвола.
- Не пробрасывать порты на роутере.
- Не иметь публичного IP и статического адреса.
- Не настраивать DMZ, не переделывать NAT, не ставить VPN-клиент.
Почему это безопаснее по умолчанию
Поскольку на удалённой машине ничего не выставлено в публичный интернет, нет новой входящей поверхности атаки, которую надо защищать. Машина сама тянется к ядру; ядро никогда не лезет внутрь. Когда вы открываете туннель, трафик идёт по уже установленному исходящему каналу и сквозно зашифрован между агентами.
Дотянитесь до машины, не открыв ни одного входящего порта.
Создать аккаунт →