Как защитить порты tcp и udp и почему некоторые из них опасны
Содержание:
- Как открыть порт на компьютере
- Commonly used TCP ports
- Выбор номера[править]
- How does HTTPS and SSL work?
- В брандмауэре маршрутизатора
- Как открыть порт в Windows 7 и Windows 8
- Как открыть или заблокировать порт TCP или UDP
- Как проверить открыт ли порт
- Открытие порта в фаерволе
- WAN на роутере
- Типы портов
- Что такое порты в Windows
- Что делать, если сгорел WAN порт на роутере?
- TCP-соединение[править]
- Зачем нужно так много портов?
Как открыть порт на компьютере
Даже если Вы правильно настроили роутер, Ваш сервер всё равно может быть не виден из Интернета по той простой причине, что он закрыт на самом компьютере, где сервер запущен. Поэтому иногда необходимо открыть порт на компьютере в настройках брандмауэра. Сейчас покажу как это делается.
Проброс портов в Windows
В операционных системах семейства Windows 10 по умолчанию включен брандмауэр, который блокирует все посторонние подключения к компьютеру. Поэтому, чтобы клиенты из Интернета могли подключиться к Вашему серверу, надо прописать правила для его порта в настройках фаервола. Чтобы это сделать, нажмите комбинацию клавиш Win+R и введите в строчку открыть команду firewall.cpl.
Нажмите кнопку ОК. После этого откроется окно «Брандмауэр Защитника Windows».
В этом окне справа меню, в котором надо найти и кликнуть ссылку «Дополнительные параметры». Появится ещё одно окно:
Создаём правило, выбрав вариант Для порта. Переходим «Далее».
Теперь выбираем протокол — TCP или UDP, а так же порт, открыть который необходимо. Кликаем на «Далее».
Теперь надо поставить галочку «Разрешить подключение». Нажимаем на «Далее».
На этом этапе оставляем галочки на всех профилях. Кликаем на «Далее».
Последний шаг — это дать название правилу и нажать на кнопку «Готово». Ну вот и всё, правило создано и будет в общем списке правил.
Как открыть порт в Linux
Ещё одно популярное сегодня семейство операционных систем — это Linux. Среди них такие популярные ОС, как Ubuntu, Gentoo, Fedora, Debian. Обычно пакетный фильтр или брандмауэр уже включен по умолчанию и как правило это iptables. Пользоваться им достаточно просто. Сначала смотрим список имеющихся правил командой:
После этого, чтобы открыть порт в Линуксе, добавляем вот такое правило:
Например, чтобы открыть TCP порт 3128 для прокси правило будет выглядеть так:
После того, как Вы нажмёте клавишу «Enter», правило будет добавлено в список и применено. Отредактировать список правил обычно можно в файле /etc/iptables.
Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.
Commonly used TCP ports
For those responsible for configuring and managing web hosting, it’s useful to know the numbers for common services, such as an SSL port. Use the tables below to quickly look up port numbers and their basic functions.
Port # | Function |
---|---|
110 | POP – Incoming |
995 | POP SSL – Incoming |
143 | IMAP – Incoming |
993 | IMAP SSL – Incoming |
25, 80, 3535 | SMTP – Outgoing |
465 | SMTP SSL – Outgoing |
cPanel
Port # | Function |
---|---|
2082 | cPanel TCP inbound |
2083 | cPanel SSL TCP inbound |
2086 | WHM TCP inbound |
2087 | WHM SSL TCP inbound |
2089 | WHM SSL TCP inbound |
2095 | Webmail TCP inbound |
2096 | Webmail SSL TCP inbound |
You can see which ports GoDaddy uses for cPanel in the GoDaddy Help Center.
Выбор номера[править]
Порт — это просто любое условное число от 0 до 65535. Теоретически номер порта ни на что не влияет
Важно только, чтобы этот порт был свободен. Впрочем, если ваша программа при запуске обнаружит, что указанный вами порт занят (то есть его уже слушает какая-то другая программа на вашем компьютере), то она вам сразу пожалуется сама.
На практике некоторые номера выбирать не сто́ит. Некоторые номера, особенно небольшие, могут быть заняты системными службами вашего компьютера. Некоторые номера могут специально блокироваться интернет-провайдерами.
Если вам не важен с эстетической точки зрения номер порта, то рекомендуется выбрать какой-нибудь порт выше 5000. Некоторые пользователи рекомендуют выбирать порт выше 42000.
- Для системных и некоторых популярных программ выделены порты с номерами от 0 до 1023, называемые системными или общеизвестными.
- Порты с номерами 1024 — 49151 называются пользовательскими или зарегистрированными.
- Порты с номерами 49152 — 65535 называются динамическими, эфемерными или частными.
См. также: Список портов TCP и UDP
How does HTTPS and SSL work?
HTTP is not a separate protocol from HTTPS. Rather, HTTPS works by establishing a secure HTTP connection using SSL. Hence, the protocol stacks for HTTP and HTTPS look similar:
Layer | HTTP Protocol Stack | HTTPS Protocol Stack |
---|---|---|
Application Layer | HTTP | HTTP |
Security Layer | SSL (TLS) | |
Transport Layer | TCP | TCP |
Network Layer | IP | IP |
Data Link Layer | Network Interfaces | Network Interfaces |
The only difference is that HTTPS runs over SSL. To create this secure internet connection, an SSL certificate is installed on a web server. The SSL certificate authenticates an organization’s identity to activate the HTTPS protocol so that data can be passed securely from a web server to a web browser.
В брандмауэре маршрутизатора
Необходимо сначала выяснить IP-адрес роутера:
- Нажать кнопку «Пуск» и выбрать в контекстном меню параметр «Настройка».
- В открывшемся окне перейти в «Сеть и интернет» – «Просмотр свойств сети».
- Затем посмотреть IP-адрес рядом с пунктом «Шлюз по умолчанию».
- Открыть предпочтительный браузер и ввести IP-адрес в адресную строку.
- Вписать имя пользователя и пароль на странице входа. Данные указаны на коробке или самом устройстве.
- На экране отобразится список разделов.
- Найти среди параметров и перейти в «Переадресацию портов».
- Включить опцию.
- Здесь ввести следующую информацию: имя, тип/служба (TCP, UDP или оба), входящий/начало (номер порта; если более 1, вписать наименьшее число в диапазоне), частный/конечный (номер порта; если более 1, вписать наибольшее число в диапазоне).
- Ввести IP-адрес компьютера.
- Сохранить настройки.
Важно! Если ни один из методов не помог решить проблему, рекомендуется использовать утилиту Restoro Repair Tool, которая может сканировать репозитории, чтобы заменить поврежденные и отсутствующие файлы. Это работает в большинстве случаев, когда проблема возникает из-за повреждения системы
Restoro также оптимизирует систему для достижения максимальной производительности.
Как открыть порт в Windows 7 и Windows 8
О том, как открыть порт на роутерах различных моделей я написал уже немало статей. Но в х почти к каждой из таких инструкций я сталкиваюсь с такой ситуацией, что пользователь открывает порт на роутере, но при проверке его из-вне — оказывается что он закрыт.
В это многие упираются и не знают что делать дальше. Одной из частых причин является система безопасности компьютера. Дело тут в том, что открыть порт на роутере часто оказывается половиной дела — нужно ещё открыть его и в правилах брандмауэра (фаервола) на компьютере.
1 практически идентична, соответственно как и процедура создания правил проброса портов.
Как попасть в настройки брандмауэра Windows
Настройка встроенного брандмауэра находится в «Панели управления», раздел «Система и безопасность».
В Windows 8 и 8.1 можно воспользоваться элементом рабочего стола — Поиск. Нужно начать вводить слово «Брандмауэр» и система выдаст ссылку в результатах.
Ещё один быстрый и удобный способ быстро попасть в настройки Брандмауэра — нажать комбинацию клавиш Win+R:
В строке открыть пишем firewall.cpl, нажимаем кнопку ОК.
Как открыть порт в брандмауэре Windows
Вам откроется раздел настройки Брандмауэра в режиме повышенной безопасности. В поле слева кликаем на раздел «Правила для входящих соединений»:
Откроется список всех правил для входящих соединений. Теперь надо создать правило. Для этого справа, в окне «Действия», кликаем на ссылку «Создать правило».
Откроется Мастер создания правила для нового входящего подключения:
Выбираем тип правила — «Для порта». Нажимаем кнопку Далее.
Теперь нужно выбрать тип протокола и указать порт. «Тип протокола» для игр, как правило, «Протокол TCP». В некоторых случаях, например для файлообменных программ или игр, нужно ещё открыть и порт UDP.
Поэтому, если нужно открыть и TCP-порт и UDP-порт в Windows — Вам придется создавать два правила. В поле Определенные порты нужно указать номер нужного порта. Например, для Minecraft нужно открывать порт 25565 и TCP и UDP.
Нажимаем кнопку Далее.
Ставим галку «Разрешить подключение». Нажимаем кнопку Далее.
Здесь ничего не меняем. Нажимаем кнопку Далее.
В поле Имя прописываем название для создаваемого правила — например DC++ или Minecraft. Нажимаем кнопку Готово.
Правило создано и порт в брандмауэре Windows 7 и Windows 8 открыт. Проверить доступность порта из-вне можно с помощью программы PFPortChecker.
Только теперь не для порта — а «Для программы». Нажимаем кнопку Далее.
Выбираем пункт «Путь программы» и нажимаем кнопку Обзор. В открывшемся окне нужно выбрать программы, к которой нужен доступ из внешней сети — например, UTorrent, DC++ или Minecraft. Нажимаем кнопку Далее.
Ставим галочку «Разрешить подключение». Нажимаем кнопку Далее.
В этом окне ничего не меняя, нажимаем кнопку Далее.
В поле имя вводим название правила — например, dc++, utorrnet или minecraft и нажимаем кнопку Готово.
Правило для программы создано.
Если и это не помогло — можно попробовать для чистоты эксперимента вообще отключить встроенных в систему фаервол.
Как отключить Брандмауэр Windows 7, Windows 8 и Windows 8.1
Для того, чтобы отключить встроенный в систему фаервол нужно в настройках Брандмауэра выбрать пункт «Включение и отключение брандмауэра Windows»:
Вам откроется вот такое окно «Настройки параметров для каждого типа сети»:
Для всех типов сетей ставим галку «Отключить брандмауэр Windows». Нажимаем кнопку ОК. После этого брандмауэр станет неактивен и Ваша операционная система будет полностью открыта угрозам из внешней сети.
Поэтому я рекомендую отключать брандмауэр либо только кратковременно, для диагностики проблем с доступностью порта из-вне, либо если Вы переходите на другой, сторонний пакетный фильтр (фаервол).
Постоянная работа в сети Интернет с отключенным брандмауэром (фаерволом) крайне нежелательна.
Как открыть или заблокировать порт TCP или UDP
Теперь, когда вы определили порты TCP и UDP на своем ПК с Windows, самое важное. Прежде всего, вам может потребоваться открыть порт для бесперебойной работы приложения
С другой стороны, вам может потребоваться заблокировать определенные порты, поскольку они больше не используются и могут выступать в качестве шлюза для угроз. Следовательно, такие порты блокируются брандмауэром
Прежде всего, вам может потребоваться открыть порт для бесперебойной работы приложения. С другой стороны, вам может потребоваться заблокировать определенные порты, поскольку они больше не используются и могут выступать в качестве шлюза для угроз. Следовательно, такие порты блокируются брандмауэром.
Выполните следующие действия, чтобы открыть или заблокировать порт TCP или UDP.
Откройте меню «Пуск», нажав клавишу Windows. Тип Брандмауэр Защитника Windows, и выберите Брандмауэр Защитника Windows в режиме повышенной безопасности от результатов.
Откроется следующее окно.
Нажать на Входящие правила вкладка в меню слева.
Нажать на Новое правило… на панели Действия в правом боковом меню. Когда откроется это окно, выберите Порт переключатель и щелкните Следующий.
При нажатии Следующий вкладка, следующее окно Мастер создания нового входящего правила открывается. В этом окне вы можете выбрать тип порта, который хотите открыть или заблокировать. Вы также можете выбрать, хотите ли вы открыть или заблокировать все порты выбранного типа или определенный локальный порт. Укажите количество или диапазон локальных портов, которые вы хотите открыть или заблокировать. И нажмите Следующий.
Следующее окно открывается, когда вы нажимаете Далее. Здесь вы можете открыть порты, выбрав Разрешить соединение или же Разрешить соединение, если оно безопасное Радио-кнопки. Выберите третий переключатель Заблокировать соединение чтобы заблокировать указанные порты.
Теперь выберите, применяется ли правило к Домен, Частный или же Общественные или все это. Нажмите Следующий.
Следующее окно открывается при нажатии Следующий. В этом окне укажите Имя для этого нового правила для входящих подключений. Вы также можете указать, какие порты были заблокированы или открыты в Описание раздел.
Нажмите Заканчивать для создания этого нового правила для входящих подключений.
Обратите внимание, что иногда после блокировки определенного порта приложения могут работать некорректно. Вы также можете столкнуться с проблемами при подключении к определенным ресурсам
Это означает, что заблокированный вами порт может потребоваться открыть. Вы можете отменить блокировку портов в любое время, выполнив тот же процесс.
Читать дальше: Как контролировать TCP, UDP связь в Windows с помощью PortExpert.
Как проверить открыт ли порт
С понятием «порта» более или менее разобрались, теперь давайте узнаем, как проверить, открыт ли порт на компьютере или нет. Способов проверки доступности или недоступности порта(ов) существует несколько. Самый простой и очевидный – воспользоваться онлайновыми сервисами PortScan.ru или 2ip.ru. Чтобы определить, открыт ли явно порт или нет, нужно ввести его номер в специальное поле и нажать кнопку «Проверить».
PortScan.ru и подобные ему сервисы также нередко предоставляют услуги сканера открытых портов на компьютере.
Посмотреть открытые порты в Windows 7/10 можно и с помощью обычной командной строки или консоли PowerShell, запущенной с правами администратора. Для этого выполняем в консоли команду следующего вида:
netstat -aon | more
При этом вы получите список активных подключений. В колонке «Локальный адрес» будут указаны IP и собственно номер открытого в данный момент порта
Обратите также внимание на состояние подключения. LISTENING означает, что порт просто прослушивается (ожидает соединения), ESTABLISHED – идет активный обмен данными между узлами сети, CLOSE_WAIT – ожидает закрытия соединения, TIME_WAIT указывает на превышение времени ответа
В качестве альтернативы для определения используемых портов можно воспользоваться бесплатной утилитой CurrPorts от известного разработчика NirSoft.
Преимущества этой утилиты в том, что она в наглядном виде показывает не только используемые локальные и удалённые порты, но и связанные с ними процессы и сервисы, а также пути к их исполняемым файлам, их версию, описание и много другой полезной информации. Кроме того, с помощью CurrPorts можно закрывать выбранные соединения и завершать процессы на выбранных портах.
Открытие порта в фаерволе
Чтобы настроить порты используя встроенный в систему брандмауэр, потребуется установить правила подключений. Осуществить это можно проделав следующие операции:
- Откройте «Панель управления» через поиск в стартовом меню.
- В следующем окне зайдите в «Брандмауэр Защитника Windows.
- Нажмите «Дополнительные параметры».
В большинстве случаев требуется создать 2 правила – одно для входящих и второе для исходящих соединений.
- Выберите ссылку «Правила для входящих подключений» и кликните «Создать правило».
- В следующем окне выберите вариант «Для порта».
- Нажмите «Далее».
- Выберите протокол, через который будет работать приложение, для которого вы открываете порт.
- Отметьте вариант «Определенные локальные порты».
- Впишите номер порта.
- Кликните по кнопке «Далее».
- Выберите профили, к которым будет применяться созданное правило.
- Нажмите «Далее».
- Дайте правилу имя и впишите его описание.
- Кликните «Готово».
Те же самые действия нужно проделать с другим протоколом, если приложение для которого вы открываете порт, использует несколько типов соединения.
- Далее возвращаемся на главную страницу и выбираем вариант «Правила для исходящего подключения» и опять нажимаем «Создать правило». Создаем его таким же образом, как было описано ранее, для входящих подключений.
WAN на роутере
Как уже не сложно догадаться, WAN порт (ВАН порт) на роутере служит для подключения кабеля с сигналом интернет. Именно в этот порт (или порты, если маршрутизатор поддерживает подключение двух каналов связи) и нужно подключать WAN кабель, идущий от оборудования интернет провайдера. Поскольку только на этом порте имеется возможность произвести все необходимые настройки, такие как ввод логина, пароля, IP адреса и прочего.
Также некоторые модели роутеров позволяют использовать LAN для подключения интернета. Это актуально для устаревших DSL роутеров, поскольку в них отсутствует WAN и подключить туда современный высокоскоростной интернет по технологии FTTx можно только благодаря этой функции. Чтобы её задействовать, нужно в настройках маршрутизатора выбрать один из LAN портов и настроить как WAN. Далее нужно будет вставить кабель в этот разъём и произвести настройку для доступа в интернет.
Типы портов
Существует 2 основные классификации портов: Физические и виртуальные. Каждый тип имеет свое определение, функцию и типы.
Физический порт
Физический порт позволяет подключать внутренние аппаратные компоненты или внешние устройства к главному процессору компьютера. Внутренние порты обеспечивают подключение к компакт-дискам и жестким дискам, которые позволяют компьютеру функционировать. Внешний порт соединяет устройство с модемами, принтерами и другими периферийными устройствами.
Существует несколько типов физических портов, некоторые из наиболее часто используемых портов включают в себя:
- Последовательный порт
- Параллельный порт
- Порт SCSI
- USB-порт
- Порт PS/2
- VGA-порт
- Разъем питания
- Порт Firewire
- Современный порт
- Ethernet-порт
- Игровой порт
- DVI порт
- Розетки
Виртуальный порт
Наборы интернет-протоколов, такие как UDP или TCP, полагаются на виртуальные порты как на точки соединения для обмена информацией и передачи данных. Данные передаются из порта на исходном устройстве и направляются к приемному концу линии. Номер порта — это 16-битное целое число, специально разработанное для хранения протокола, используемого для передачи. Он функционирует для идентификации определенных сетевых портов путем удержания соответствующего IP-адреса и протокола, применяемого для подключения. Номер порта источника и номер порта назначения используются для определения процессов, используемых для отправки и получения данных, соответственно.
В стандартной сети TCP/IP используются 2 основных протокола для передачи данных. Сеть TCP или UDP. И TCP, и UDP относятся к протоколам передачи данных, которые определяют методы, с помощью которых информация передается по сетям. TCP используется, когда устройства подключены непосредственно во время передачи. Оставаясь на связи во время передачи данных, он обеспечивает стабильное соединение, что делает процесс быстрым и эффективным. Недостатком TCP является то, что он слишком полагается на устройство и, таким образом, возлагает на него большую рабочую нагрузку.
Другой способ передачи данных — через UDP, где нет прямого соединения между устройствами отправки и получения. Пакеты данных отправляются в сеть, содержащие информацию и адрес назначения. Подобно тому, как письма отправляются по почте, передача данных зависит от сетевой системы. Однако существует вероятность того, что пакет данных не достигнет своего целевого назначения. Преимущество использования UDP вместо TCP для передачи данных заключается в том, что он не представляет большой нагрузки на устройство.
В обоих случаях для успешной передачи данных необходим номер интернет-порта. Поскольку сетевой порт используется для идентификации приложения или процесса на устройстве, различным типам сетевых служб или программ присваивается набор номеров портов.
- 0-1023 — Эти номера портов зарезервированы для известных или часто используемых портов. Большинство этих портов, назначенных администрацией Internet Assigned Numbers Authority (IANA), поддерживают серверные службы, необходимые для сетевых подключений.
- 1024-49151 — Эти номера портов зарегистрированы или полузарезервированы. Компании, организации и даже физические лица могут зарегистрироваться, чтобы использовать эти номера портов для предоставления сетевых услуг IANA.
- 49152 — 65535 — эти номера портов относятся к эфемерным портам, используемым клиентскими программами.
Что такое порты в Windows
Давайте я попробую по простому объяснить, что такое порт. Представим себе большой микрорайон с большим количеством многоэтажных домов, в каждом из них есть квартиры с жильцами, общим количеством 65 536, каждая квартира имеет свой уникальный, порядковый номер. Теперь представим, что вам необходимо попасть к другу Васе, который живет в 1443 квартире, вы что делаете идете в нужный дом с таким номером квартиры, далее вам нужно заскочить к Марине, которая живет в 80 квартире, а теперь представьте, что вместо вас это ваш компьютер и вместо ваших друзей, это порты. Каждый такой порт уникален и отвечает за ответ пользователю по определенной службе, например,
- 80 – это http служба, которая отвечает вам при запрашивании страниц сайта
- 1433 – это порт службы SQL
- 443 – https зашифрованный вариант http, с использованием SSL сертификатов.
Из выше описанного, порты бывают двух типов:
- Жестко забронированные под определенные службы. Это порты которые используются исключительно определенными программами. Диапазон таких портов от 0-1024, но есть и выше, тот же 1433 у SQL или 55777 Vipnet.
- Динамические, используемые для повседневных вещей пользователя. Это диапазон после 1024, и используют их, например, в таком контексте: скачиваете файл, ваш компьютер использует один порт, смотрите online фильм, ваш компьютер использует второй порт и так далее. Как только передача данных заканчивается, порт освобождается.
Порты еще очень часто ассоциируют с сокетами, о которых я уже рассказывал, советую посмотреть.
Что делать, если сгорел WAN порт на роутере?
Прежде чем производить какие-либо манипуляции с роутером или тратить деньги на новый, выясните, в чем именно проблема. Один из возможных вариантов – сгоревший порт WAN на роутере TP-Link.
Как в этом убедиться:
- Если вы откроете веб-интерфейс маршрутизатора, статус подключения будет «К WAN-порту не подключены кабели!”
- Если вы попытаетесь подключить кабель с Интернетом напрямую к компьютеру и при этом у вас будет Интернет, порт WAN на роутере не работает
- При подключении кабеля от интернет-провайдера к WAN-порту интернета нет
Если перечисленные элементы совпадают с вашей проблемой, скорее всего, перегорел порт WAN на маршрутизаторе. В этом случае вы можете переназначить порт WAN на LAN. Если все порты на роутере перегорели, то такое оборудование необходимо заменить.
TCP-соединение[править]
Соединение двух узлов начинается с handshake (рукопожатия):
- Узел A посылает узлу B специальный пакет SYN — приглашение к соединению
- B отвечает пакетом SYN-ACK — согласием об установлении соединения
- A посылает пакет ACK — подтверждение, что согласие получено
После этого TCP-соединение считается установленным, и приложения, работающие в этих узлах, могут посылать друг другу пакеты с данными.
«Соединение» означает, что узлы помнят друг о друге, нумеруют все пакеты, идущие в обе стороны, посылают подтверждения о получении каждого пакета и перепосылают потерявшиеся по дороге пакеты.
Для узла A это соединение называется исходящим, а для узла B — входящим.
Отметим, что эти термины не имеют никакого отношения к входящему или исходящему трафику. Они показывают только инициатора соединения, то есть направление самого первого пакета (SYN).
Любое установленное TCP-соединение симметрично, и пакеты с данными по нему всегда идут в обе стороны.
Когда один из узлов решает, что пора заканчивать соединение, он посылает специальный пакет FIN, после этого узлы прощаются и разрывают соединение.
Зачем нужно так много портов?
Большинство их не несет в себе ничего особенного и используется для разных целей. Например, когда вы скачиваете файл или смотрите фильмы онлайн, ваш компьютер устанавливает соединение между любым своим свободным портом и портом сервера, с которого вы получаете информацию. Как только передача данных заканчивается, порт освобождается.
В то же время некоторые (в том числе и порт 443) имеют вполне четкие назначения. Например, 99.99% процентов сайтов просматривается через порт № 80. То есть когда вы хотите зайти, например, на «Одноклассники», ваш компьютер «стучится» в дверь № 80 сервера «Одноклассникиов» и просит выдать ему страницу.