Windows 

Как проверить открыт ли порт. Настройка подключения через назначение портов Что такое проброс порта


Инструкция

Вы должны знать ip-адрес компьютера, к которому хотите подключиться. Если известно доменное имя, можно определить ip на одном из существующих в сервисов. Например, здесь: http://www.all-nettools.com/toolbox/smart-whois.php
Введите доменное имя в формате www.name.ru – то есть имя сайта без «http://», нажмите кнопку «Submit». Вы получите ip-адрес и всю дополнительную информацию о сайте.

Теперь вам необходимо определить, какие порты на интересующем вас компьютере открыты. Делается это путем сканирования с использованием специальных программ – сканеров. Наиболее известные сканеры – Nmap и XSpider. Новичку лучше выбрать второй, в сети можно найти как демоверсию, так и полный вариант программы.

Откройте XSpider, ведите ip-адрес, запустите сканирование. После его окончания вы получите список открытых портов на сканируемой машине. Наличие не означает, что вы получили доступ к удаленному компьютеру и говорит лишь о том, что этот порт используется какой-то программой. Например, порт 21 – ftp, 23 – telnet, 4988 – Radmin, 3389 - Remote Desktop‎ и т.д. Наберите в поисковике «Список портов и их сервисов», и вы получите подробную информацию.

Вы получили список открытых портов. Следующий этап – поиск возможности проникнуть через эти порты на . Вариантов здесь много, основные – подбор пароля либо поиск и использование подходящего эксплоита. Эксплоит – это программный код, написанный под конкретную уязвимость.

Если вы хотите научиться использовать эксплоиты, скачайте программу Metasploit. В ее состав входят несколько сотен эксплоитов, их состав постоянно . В составе Метасплоита есть и сканер Nmap. Изучение программы требует времени и терпения, но результат того стоит.

Если вы хотите быстрого результата, скачайте две программы: VNC-сканер с Gui-интерфейсом (vnc_scanner_gui) и Lamescan. Первая является очень хорошим и быстрым сканером, удобным при сканировании конкретного порта. Например, порта 4899, используемого программой удаленного управления Radmin.

Запустите VNC-сканер, укажите порт 4899, выберите в списке нужную страну и нажмите кнопку «Get diap list». В окошке слева появится список диапазонов ip-адресов. Выберите несколько диапазонов (лучше 2-3), остальные удалите. Нажмите кнопку «Start scan». После окончания процесса сканирования вы получите текстовый файл IPs.txt со списком ip-адресов компьютеров, у которых открыт порт 4899. Нажмите кнопку «Start parser» - список будет очищен от всей лишней информации, останутся только ip-адреса.

Запустите программу Lamescan. Нажмите в меню «Настройка – Основное». Поставьте номер порта 4899. Введите пути к словарям паролей и логинов (найдите их в сети). Нажмите «Готово». Теперь нажмите зеленый плюсик и введите в появившееся окно ваши насканенные ip-адреса и нажмите зеленую стрелку. Начнется процесс подбора пароля к указанным адресам. В большинстве случаев подбор оказывается неудачным, но из сотни адресов несколько окажутся с простыми паролями.

Скачайте и установите программу Radmin. Запустите ее, введите адрес компьютера с подобранным паролем. В появившемся окне введите пароль (и логин – если подобрали данные к программе с логином и паролем). Появится синий значок соединения, и несколько секунд спустя вы увидите у себя на экране рабочий стол удаленного компьютера.

По умолчанию во всех операционных системах Windows для подключения по протоколу RDP ( Remote Desktop Protocol / Удаленный рабочий стол) использует порт TCP 3389 .

Если ваш компьютер подключен напрямую к интернету (например, VDS сервер), или вы настроили на своем пограничном маршрутизаторе порта 3389/RDP в локальную сеть на компьютер или сервер с Windows, вы можете изменить стандартный RDP порт 3389 на любой другой. Изменив номер RDP порта для подключения, вы можете спрятать ваш RDP сервер от сканеров портов, уменьшите вероятность эксплуатации RDP уязвимостей (последняя критическая уязвимость в RDP BlueKeep описана в ), уменьшите количество попыток удалённого подбора паролей по RDP (не забывает периодически ), SYN и других типов атак (особенно при ).

Замену стандартного RDP порта можно использовать, когда за маршрутизатором с одним белым IP адресом находится несколько Windows компьютеров, к которым нужно предоставить внешний RDP доступ. На каждом компьютере вы можете настроить уникальный RDP порт и настроить перенаправление портов на маршрутизаторе на локальные компьютеры (в зависимости от номера RDP порта сессия перенаправляется на один из внутренних ПК).

При выборе нестандартного номера порта для RDP обратите внимание, что желательно не использовать номера портов в диапазоне от 1 до 1023 (известные порты) и динамические порты из RPC диапазона (от 49152 до 65535).

Попробуем изменить порт, на котором ожидает подключения служба Remote Desktop на 1350 . Для этого:

  1. Откройте редактор реестра и перейдите в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ;
  2. Найдите DWORD параметр реестра с именем PortNumber . В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop;
  3. Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Deciamal);
  4. Если на вашем компьютере включен Windows Firewall, вы должны создать новое правило, разрешающее входящее подключение на новый RDP порт (если вы перенастраиваете удаленный сервер через RDP, не создав правило в брандмауэре, вы потеряете доступ к серверу). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли ‘Брандмауэр Защитника Windows’ (firewall.cpl ) или с помощью : New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow И: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
  5. Перезагрузите компьютер или перезапустите службу удаленных рабочих столов командой: net stop termservice & net start termservice
  6. Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом: Your_Computer_Name:1350 или по IP адресу 192.168.1.100:1350 или из командной строки: mstsc.exe /v 192.168.1.100:1350

    Если для управления множеством RDP подключений вы используете менеджер RDP подключений , заданный вами номер RDP порта для подключения можно указать на вкладке “Connection Settings”.

  7. В результате вы успешно подключитесь к рабочему столу удаленного компьютера по новому номеру RDP порта (с помощью команды nenstat –na | Find “LIST” убедитесь, что служба RDP теперь слушает на другом порту).

Полный код PowerShell скрипт для смены RDP порта, создания правила в брандмауэре и перезапуска службы RDP на новом порту может выглядеть так:




New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow

Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta

Можно изменить номер RDP удаленно на нескольких компьютерах в домене AD (определенной OU) с помощью Invoke-Command и :

Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Computers,DC=winitpro,DC=ru"
Foreach ($PC in $PCs) {
Invoke-Command -ComputerName $PC.Name -ScriptBlock {
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}

Это инструкция по смене стандартного RDP порта подойдёт для любой версии Windows, начиная с Windows XP (Windows Server 2003) и заканчивая Windows 10 (Windows Server 2019).

Назначение портов - это способ переадресации пакетов с любого порта интерфейса локальной сети на указанный хост (компьютер) и порт в интернете или переадресации пакетов с любого незанятого порта с внешнего (интернет адреса) на указанный хост (компьютер) и порт в локальной сети.

Схема работы этого сервиса очень проста и применяется обычно в том случае, если невозможно или не целесообразно использовать NAT или HTTP-прокси или если основной шлюз на клиентских машинах лучше не менять. Также очень часто эта схема выглядит более понятной для многих пользователей, нежели настройка через NAT.

Рассмотрим несколько распространенных примеров настройки через назначение портов.

Внимание! Назначение портов и публичные почтовые сервера, такие как mail.ru, yandex.ru, gmail.com, которые требуют содинения по защищённым каналам связи, не будут работать с программой The Bat. Проблема заключается в самой программе The bat, т.к. там нельзя принять сертификаты и добавить их в исключения, что бы они работали нормально и всегда. Через назначение портов будут нормально работать например "Mozilla Thunderbird".

  • Настройка почты.

Как известно, для обмена почтовыми сообщениями служат два сервиса - POP3 (RUS ) и SMTP (RUS ). Они используют TCP порты 110 и 25 соответственно. Чтобы пустить клиентские запросы по этим протоколам в интернет через назначение портов, надо создать два назначения.

Например, для POP3-сервера будем использовать скорее всего незанятый локальный порт - 9110, а для SMТP - 9025. Настройку будем производить для популярной бесплатной почты - mail.ru.

Открываем в консоли администратора страницу "Сервисы - Назначение портов" и жмем кнопку "Добавить":

Выбираем в качестве слушающего интерфейса IP локальной сетевой карты, порт 9110. В качестве назначения прописываем адрес pop.mail.ru и указываем порт 110:

Жмем кнопку "Добавить" ещё раз и указываем параметры для SMTP-сервера. Выбираем в качестве слушающего интерфейса IP-локальной сетевой карты и прописываем порт 9025, а в качестве назначения прописываем адрес smtp.mail.ru и указываем порт 25.

Теперь надо открыть на клиентской машине свойства почтового клиента и прописать там настройки для назначения портов.

Например для программы The Bat настройка будет такой:

  • Настройка удаленного доступа из интернета к компьютеру локальной сети,
    например, для программы R-admin (RUS ) или RDP (RUS ).

Обычно порты, которые используются для этих двух программ (4899 TCP для R-admin и 3389 TCP для RDP), уже бывают заняты самим сервером, на котором установлен UserGate, поэтому мы рекомендуем Вам использовать любые другие.

Выберем для службы RDP порт 9999, а для программы R-admin порт 9998.

В нашем примере локальной подсетью является подсеть 192.168.2.Х и компьютер, к которому проводится доступ из интернета, имеет IP-адрес 192.168.2.45.

Создаем правило в соответствии с нашей текущей конфигурацией сети. Указываем слушающим адресом свой внешний интерфейс. Если у Вас соединение с провайдером PPPoE, VPN или Dial-Up, то укажите слушать любой интерфейс, порт 9998 для R-admin:

Удаленное подключение из Интернета к машине в локальной сети в этом случае будет выглядеть примерно так:

  • для R-admin указываем внешний IP-адрес машины с UserGate - 172.19.169.7 и порт 9998.
  • для RDP указываем внешний IP-адрес машины с UserGate - 172.19.169.7 и порт 9999.

Иногда у пользователя возникает ситуация, когда необходимо открыть тот или иной порт компьютера для видеоигр, сложных программ или специальных интернет-клиентов. Но как проверить, открыт ли в данный момент этот порт? Для решения подобных задач есть несколько вариантов.

I. ПРОВЕРКА ОТКРЫТЫХ ПОРТОВ НА ЛОКАЛЬНОМ КОМПЬЮТЕРЕ

Способ 1. Для того, чтобы проверить открытые порты на локальном (своем) компьютере, можно воспользоваться «Командной строкой» операционной системы Windows (

Для вызова этой строки необходимо нажать сочетание клавиш Win+R и прописать команду «cmd», после чего нажать «ОК».

В открывшемся окне пропишите специальную команду «netstat -a» и ознакомьтесь со списком открытых портов на Вашем компьютере.

Способ 2. Если Вы подключены к интернету, то проверить, открыт ли порт, можно на сайте

whatsmyip.org/port-scanner/

Данный ресурс сам определит Ваш IP-адрес, а сканировать порты можно через специальное поле «Custom Port Test ».

Введите интересующий Вас порт и нажмите кнопку «Check Port », после чего Вы получите ответ, открыт или закрыт данный порт.

II. ПРОВЕРКА ОТКРЫТЫХ ПОРТОВ НА УДАЛЕННОМ КОМПЬЮТЕРЕ

Теперь рассмотрим, как проверить, открыт ли порт на удаленном компьютере или сервере. Воспользуйтесь все той же «Командной строкой» в системе Windows, но теперь пропишите команду telnet в формате:

telnet IP-адрес порт

Нажмите клавишу «Enter». Если нет записи «Could not open …», то запрашиваемый порт открыт, иначе - закрыт.

Мы вкратце рассмотрели, как проверить, открыт ли порт на компьютере. Если остались, какие либо вопросы, то задайте их в поле для комментариев.

Что означает результат проверки порта?

Статус Порт закрыт

Подключиться к этому порту в данный момент невозможно. Вредоносные программы или злоумышленники не могут воспользоваться данным портом для атаки или получения конфиденциальной информации (Вам поможет материал 4 лучших бесплатных антивируса для Windows 10). Если все неизвестные порты имеют статус "закрыт", то это означает хороший уровень защищенности компьютера от сетевых угроз.

Если порт должен быть открытым, то это плохой показатель. Причиной недоступности порта может быть неверная настройка сетевого оборудования или программного обеспечения. Проверьте права доступа программ к сети в файерволе. Удостоверьтесь, что порты проброшены через роутер.

Результат "порт закрыт" также можно получить, если порт открыт, но время отклика вашего компьютера в сети (пинг) завышено. Подключится к порту в таких условиях практически не представляется возможным.

Статус Порт открыт

К данному порту можно произвести подключение, он доступен из интернета. Если это то, что требуется — прекрасно.

Если неизвестна причина, по которой порт может быть открытым, то стоит проверить запущенные программы и сервисы. Возможно, некоторые из них вполне легально используют этот порт для работы с сетью. Существует вероятность, что порт открыт в следствии работы несанкционированного/вредоносного программного обеспечения (Вам поможет материал Как включить защиту от потенциально нежелательных программ в Windows Defender). В таком случае рекомендуется проверить компьютер антивирусом.

F.A.Q.

Что за порты? Для чего они нужны?

Порты, которые проверяет PortScan.ru, — это не физические, а логические порты на компьютере или сетевом устройстве.
В случае, если программа или служба планирует работать с сетью, она открывает порт с уникальным номером, через который она может работать с удаленными клиентами/серверами. Фактически, сетевая программа резервирует для себя определенное число, которое позволяет понять, что пришедшие данные предназначаются именно этой программе.

На человеческом языке это звучало бы примерно так: "Я, программа-сервер, открываю порт номер 1234. Если по сетевому кабелю придут данные с номером порта 1234 — это мне. "

Какие номера портов может открывать программа?

Порты идентифицируются номерами от 0 до 65535 включительно. Любой другой порт открыть нельзя, соответственно и проверить тоже. Это ограничения TCP/IP протокола.

Стоит отметить, что клиентская программа всегда должна знать номер порта, к которому ей нужно подключаться на сервере или другом удаленном сетевом устройстве. По этой причине для наиболее популярных протоколов зарезервированы порты в диапазоне от 0 до 1023.

Так, например, осуществляя серфинг в интернете, ваш браузер подключается к 80 порту на удаленном сервере, на котором находится сайт. В ответ браузер получает набор кода и данных, который скачивает и отображает в виде веб-страницы.

Для каких ситуаций возможна проверка открытых портов?

Проверка открытых портов возможна, если вашему компьютеру присвоен внешний IP адрес. Подробнее об этом вы можете узнать у своего интернет-провайдера.

Стоит учесть, что если ваш компьютер подключен к интернету не напрямую, а через роутер (маршрутизатор), то результаты проверки относятся именно к роутеру. Проверить состояние порта для компьютера внутри такой подсети возможно только при наличии проброса портов.

Что такое проброс портов?

Проброс портов (Port Forwarding, иногда Virtual Servers) — специальная настройка на роутере, позволяющая перенаправить внешние запросы (из интернета) на компьютеры локальной сети. По сути это способ указать, на какой локальный компьютер пересылать данные и запросы подключения, пришедшие на определенный порт.

Допустим, у вас дома игровой или веб-сервер, подключенный через роутер к интернету. Все компьютеры, подключенные к этому же роутеру, находятся в одной сети, поэтому смогут подключиться к данному серверу. Однако снаружи, из интернета, подключиться к вашему серверу без проброса портов уже не получится.

Если ваш компьютер подключен к интернету напрямую (без роутера/маршрутизатора), то выполнять проброс портов не требуется. Все ваши открытые порты должны быть доступны из интернета (естественно, при наличии выделенного IP).

Как узнать, какие порты открыты на компьютере?

Для Windows: Пуск → "cmd" → Запустить от имени администратора → "netstat -bn"
Для Linux: В терминале выполнить команду: "ss -tln"

Как закрыть порт?

Прежде всего надо устранить причину — запущенную программу или службу, которая открыла этот порт; ее надо закрыть/остановить. Если причина открытого порта не ясна — проверьте компьютер антивирусом, удалите лишние правила проброса портов на роутере и установите продвинутый файервол (Firewall).