Falla la llamada de activación del agente por el servidor de Linux
Artículos técnicos ID:
KB82686
Última modificación: 22/06/2016
Entorno
McAfee VirusScan Enterprise for Linux (VSEL) 1.x, 2.x
Problema
Un servidor de Linux administrado por ePolicy Orchestrator (ePO) no responde a una llamada de activación del agente del servidor de ePO.
Motivo
Una regla de firewall en el cliente evita la comunicación con el servidor de ePO.
Solución
Desactive o modifique la regla de firewall del cliente que evita la comunicación con el servidor de ePO. El cliente debe aceptar el tráfico en el puerto 8081 TCP.
Para solucionar problemas y verificar este problema:
Asegúrese de que se ha indicado la dirección IP correcta para el servidor de Linux en el árbol de sistemas de ePO y de que no hay otros problemas con el agente:
- Inicie una sesión de línea de comandos en el servidor de Linux y en el servidor de ePO.
- Confirme que se ha registrado la dirección IP correcta para el servidor de Linux en el árbol de sistemas de ePO.
- Haga ping en el servidor de ePO desde el servidor de Linux y viceversa.
- Confirme que puede enviarse la información de las propiedades a ePO mediante el comando cmdagent en el servidor de Linux. Escriba el siguiente comando en el servidor de Linux y pulse INTRO:
/opt/McAfee/cma/bin/cmdagent -P
Si se envían las propiedades a ePO, entonces se actualizará el campo Fecha y hora de la última comunicación.
- Confirme que el agente ha registrado cualquier error de comunicación. Escriba el siguiente comando en el servidor de Linux y pulse INTRO:
/opt/McAfee/cma/scratch/etc/log
- Confirme que el puerto de comunicación de activación del agente se encuentra en el estado ESCUCHA. Escriba netstat -an|grep8081 y pulse INTRO.
La salida debe ser similar a:
tcp 0 0 0.0.0.0:8081 0.0.0.0:* ESCUCHA
Compruebe que el firewall de cliente está bloqueando la comunicación con el servidor de ePO:
- Active la captura de paquetes en el servidor de Linux y lleve a cabo la llamada de activación desde el servidor de ePO.
Para encender la captura de paquetes, utilice uno de los siguientes comandos:
tcpdump
o
tcpdump -iethX
o
tcpdump -w /tmp/packet.pcap -i ethX
Al revisar la captura de paquetes de red, observará los siguientes problemas:
16:46:53.617566 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:53.617627 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:56.625077 IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:46:56.625131 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:46:58.616867 ARP , Request who-has X.X.X.X tell Y.Y.Y.Y , length 28
16:46:58.617158 ARP , Reply X.X.X.X is-at d8:9d:67:19:29:80 (oui unknown) , length 46
16:47:02.630779 IP IP X.X.X.X.60195 > Y.Y.Y.Y.tproxy: Flags [S] seq 1384592987 , win 8192 , options [mss 1460 , nop , nop , sackOK] , length 0
16:47:02.630833 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 56
16:47:12.088548 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:12.088601 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
16:47:15.094336 IP X.X.X.X.60197 > Y.Y.Y.Y.tproxy: Flags [S] seq 4262429784 , win 8192 , options [mss 1460 , nop , wscale 8 , nop , nop , sackOK], lenght 0
16:47:15.094389 IP Y.Y.Y.Y > X.X.X.X: ICMP host Y.Y.Y.Y unreachable -admin prohibited, length 60
- X.X.X.X es la dirección IP del servidor de ePO que envía la llamada de activación.
- Y.Y.Y.Y es la dirección IP del servidor de Linux.
- Tproxy hace referencia al puerto de comunicación 8081.
En este ejemplo, el servidor de ePO trata de establecer la conexión al puerto 8081 en el servidor de Linux (se envía el segmento SYN repetidamente), pero el servidor de Linux responde con un error ICMP. El código de error (unreachable - admin prohibited) indica que el segmento TCP SYN no se pudo alcanzar debido a la regla de firewall (-admin prohibited).
-
Localice la regla que impide la comunicación. Escriba iptables -L y pulse INTRO.
La salida será similar a:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Después de desactivar la regla de firewall o cambiarla para que acepte el puerto TCP 8081, el servidor de Linux responderá correctamente a una llamada de activación.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
