Falla la llamada de activación de Agent para el servidor de Linux
Artículos técnicos ID:
KB82686
Última modificación: 03/11/2020
Entorno
McAfee VirusScan Enterprise for Linux (VSEL) 2.x, 1.x
Problema
Un servidor de Linux gestionado por ePolicy Orchestrator (ePO) no responde a una llamada de activación de Agent desde el servidor de ePO.
Motivo
Una regla de firewall en el cliente impide la comunicación con el servidor de ePO.
Solución
Desactive o modifique la regla de firewall del cliente que impide la comunicación con el servidor de ePO. El cliente debe aceptar tráfico en puerto TCP 8081.
Para solucionar y comprobar este problema:
Asegúrese de que la dirección IP correcta del servidor de Linux aparezca en el árbol de sistemas de ePO y de que no haya problemas con el Agent:
- Abra una sesión de línea de comandos en el servidor de servidor de Linux y ePO.
- Confirme que la dirección IP correcta para el servidor de Linux esté registrada en el árbol de sistemas de ePO.
- Haga ping al servidor de ePO desde el servidor de Linux y haga ping en el servidor de Linux desde el servidor de ePO.
- Confirme si la información de propiedades se puede enviar a ePO mediante el cmdagent comando en Linux Server. Escriba el siguiente comando en la servidor de Linux y pulse Intro:
/opt/McAfee/cma/bin/cmdagent -P
Si las propiedades se envían a ePO, el Hora de la última comunicación se actualiza.
- Confirme si el agente ha registrado algún error de comunicación. Escriba el siguiente comando en la servidor de Linux y pulse Intro:
/opt/McAfee/cma/scratch/etc/log
- Confirme que el puerto de comunicación de activación del agente esté en estado de escucha. Escriba netstat -an|grep8081 y pulse Intro.
El resultado es similar a:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
Compruebe que el firewall cliente está bloqueando la comunicación con el servidor de ePO:
- Active la captura de paquetes en el servidor de Linux y realice una llamada de activación desde el servidor de ePO.
Para activar la captura de paquetes, utilice uno de los siguientes comandos:
tcpdump
Bien
tcpdump -iethX
Bien
tcpdump -w /tmp/packet.pcap -i ethX
Al revisar la captura de paquetes de red, verá los siguientes problemas:
16:46:53.617566 IP X. X. X. X. 60195 > Y. Y. Y. Y. tproxy: flags [S] SEQ 1384592987, Win 8192, Options [MSS 1460, NOP, wscale 8, NOP, NOP, sackOK], longitud 0
16:46:53.617627 IP Y. Y. Y. Y > X. X. X: ICMP host Y. Y. Y. Y no accesible: administrador prohibido, longitud 60
16:46:56.625077 IP X. X. X. X. 60195 > Y. Y. Y. Y. tproxy: flags [S] SEQ 1384592987, Win 8192, Options [MSS 1460, NOP, wscale 8, NOP, NOP, sackOK], longitud 0
16:46:56.625131 IP Y. Y. Y. Y > X. X. X: ICMP host Y. Y. Y. Y no accesible: administrador prohibido, longitud 60
16:46:58.616867 ARP, solicitar quién tiene X. X. X. X Tell Y. Y.. Y, longitud 28
16:46:58.617158 ARP, reply X. X. X. X es-at D8:9D: 67:19:29:80 (OUI desconocido), longitud 46
16:47:02.630779 IP IP X. X. X. X. 60195 > Y. Y. Y. Y. tproxy: flags [S] sec 1384592987, Win 8192, opciones [MSS 1460, NOP, NOP, sackOK], longitud 0
16:47:02.630833 IP Y. Y. Y. Y > X. X. X: ICMP host Y. Y. Y. Y no accesible: administrador prohibido, longitud 56
16:47:12.088548 IP X. X. X. X. 60197 > Y. Y. Y. Y. tproxy: flags [S] SEQ 4262429784, Win 8192, Options [MSS 1460, NOP, wscale 8, NOP, NOP, sackOK], longitud 0
16:47:12.088601 IP Y. Y. Y. Y > X. X. X: ICMP host Y. Y. Y. Y no accesible: administrador prohibido, longitud 60
16:47:15.094336 IP X. X. X. X. 60197 > Y. Y. Y. Y. tproxy: flags [S] SEQ 4262429784, Win 8192, Options [MSS 1460, NOP, wscale 8, NOP, NOP, sackOK], longitud 0
16:47:15.094389 IP Y. Y. Y. Y > X. X. X: ICMP host Y. Y. Y. Y no accesible: administrador prohibido, longitud 60
- x. X. X. X es la dirección IP del servidor de ePO que envía la llamada de activación.
- y. Y. Y. Y es la dirección IP del servidor de Linux.
- Tproxy es el puerto de comunicación, 8081.
En este ejemplo, el servidor de ePO intenta establecer la conexión con el puerto 8081 en el servidor de Linux (enviando segmento SYN repetidamente), pero el servidor de Linux responde con un error de ICMP. El código de error (unreachable - admin prohibited) indica que no se ha podido alcanzar el segmento TCP SYN debido a la regla de firewall (-admin prohibited).
-
Localice la regla que impide la comunicación. Escriba iptables -L y pulse Intro.
El resultado es similar a:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Después de desactivar la regla de firewall o cambiarla para aceptar puerto TCP 8081 TCP, el servidor de Linux responderá correctamente a una llamada de activación.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|