Открыть порт 3389 windows 2008
Обновлено: 03.07.2024
Проблема Брандмауэра Windows (Windows Firewall) заключается не в том как закрыть все порты, а в том, как открыть только необходимые. И главное, что сходу хрен поймешь, каким образом ограничить подключение к некоторым портам по IP адресам клиентов. По отдельности решить эти задачи не сложно, но чтобы было вместе - не встретил ни одного толкового руководства, поэтому и написана данная заметка. Так же, найденное решение не предполагает установки стороннего фаервола.
Недостатки Брандмауэра Windows:
- Если создать запрещающее правило для всех портов, а потом разрешающие для необходимых, то они не попадают в белый список, т.к. запрещающие правила приоритетнее разрешающих. Т.е. если запрет на подключение по порту существует, то разрешение на этот порт работать уже не будет.
- Нет приоритетов правил, как в нормальных фаерволах, чтобы сначала указать открытые порты, а последним задать запрещающее правило для всех остальных.
Допустим, есть VPS на винде, но у хостера нет внешнего фаервола, которым можно прикрыться. Свежеустановленная винда торчит наружу как минимум 135/tcp, 445/tcp, 49154/tcp и 3389/tcp (если включен RDP) портами даже в публичной сети (Public network), что требует исправления.
Алгоритм
Секрет в том, что при запрещении всех портов надо явно указать разрешенные. Иначе, как было сказано выше, не получится открыть нужные.
Пример
Задача 1: оставить открытыми для всего интернета 80, 443 и 3389 порты. Все остальные закрыть.
1. Создать новое правило для входящих подключений
2. Тип правила (Rule Type). Настраиваемые (Custom)
3. Программа (Program). Все программы (All programs)
4. Протокол и порты (Protocol and Ports). Тип протокола (Protocol type) - TCP. Локальный порт (Local port) - Специальные порты (Specific Ports). В поле вписать диапазон портов, за исключением 80, 443 и 3389. Должно выглядеть так - 1-79, 81-442, 444-3388, 3390-65535
5. Область (Scope). Локальный (local) - Любой IP-адрес (Any IP address). Удаленный (remote) - Любой IP-адрес (Any IP address).
6. Действие (Action). Блокировать подключение (Block the connection).
7. Профиль (Profile). Выбрать на свое усмотрение. Если не уверен, то выбрать все.
8. Имя (Name). Назвать его, например, Block_TCP.
Теперь указанные порты открыты для всего интернета, но, как минимум, не безопасно открывать всем порт RDP и желательно ограничить подключение только со своих IP адресов.
Задача 2: оставить открытыми для всего интернета 80 и 443 порты. Ограничить подключение на порт 3389 только с разрешенных IP адресов. Все остальные закрыть.
Шаги 1-8 аналогичны предыдущей задаче, т.е. создается правило, разрешающее коннект по трем указанным портам.
Для фильтрации по IP надо создать второе правило:
9. Создать новое правило для входящих подключений
10. Тип правила. Настраиваемые
11. Программа. Все программы
12. Протокол и порты. Тип протокола - TCP. Локальный порт - специальные порты. Вписать порт 3389
13. Область. Локальный - Любой IP-адрес. Удаленный - Указанные IP-адреса. Сюда вписать белый список IPшников или подсетей, которым разрешен коннект по данному порту
14. Действие. Разрешить подключение.
15. Профиль. Выбрать на свое усмотрение. Если не уверен, то выбрать все.
16. Имя. Назвать его, например, RDP.
Если фильтруемых портов несколько, то создается по одному правилу на каждый порт.
Ну и чтобы стать совсем защищенным - создать правило, блокирующее все UDP соединения.
Задача 2 из консоли
Для хард core щиков приведу вторую задачу в виде консольных команд:
В конечном итоге, в гуёвине должно выглядеть так:
Для правила RDP:
Для правила Block_TCP:
UPDATE
Выяснилось, что приведенный выше синтаксис командной строки не работает на WS2008R2, а конкретно - перечисления в любом параметре, поэтому пришлось разбивать два правила на восемь:
Похожие записи
Комментарии к посту “ Как закрыть или открыть порты в Windows ”
правда там ще й пропущено:
Действительно, пойду добавлю. Спасибо!
Але как же порты 25 110 для почты?
а как открыть порт только для конкретной программы?
!важно, что открытие нужного порта не включает в себя разблокирование приложений, как может показаться на первый взгляд, оба типа блокировки работаю независимо.
Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как еще говорят, откроем порт на сервере (более подробно про настройка брандмауэра Windows для работы MS QL Server можно прочитать здесь).
Итак, есть задача: открыть определенный порт на компьютере под управлением MS Windows Server 2008 R2. Чтобы это сделать необходимо просто добавить разрешающее правило в Брандмауэр Windows. Для этого, откроем оснастку «Брандмауэр Windows в режиме повышенной безопасности» (Windows Firewall with Advanced Security)
Откроется мастер создания правила для нового входящего подключения (New Inbound Rule Wizard). На первом шаге необходимо выбрать тип создаваемого правила (Rule Type). В соответствии с нашей задачей выбираем «Для порта» (Port) и жмем «Далее» (Next).
Затем, соответственно, вводим номер открываемого порта (Specific local ports), выбираем протокол, для которого будет применяться правило (в нашем примере это протокол TCP), и снова нажимаем «Далее» (Next).
На следующем шаге указываем действие, которое для будет выполняться для указанных условий. Нам необходимо открыть порт, поэтом выбираем «Разрешить подключение» (Allow the connection) и жмем «Далее» (Next).
Выбираем профили брандмауэра, для которых будет действовать правило (по умолчанию все имеющиеся профили) и нажимаем «Далее» (Next).
Ну и наконец вводим имя и описание для создаваемого правила и нажимаем «Готово» (Finish) для завершения работы мастера.
Все, разрешающее правило для порта добавлено. Мы можем увидеть его в списке правил входящих подключений в окне Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security).
А клиентские программы теперь смогут подключаться к службе MS SQL Server по указанному порту.
Смотрите также:
Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…
Иногда, при установке или запуске некоторых (часто устаревших) программ в Windows Server 2008 (справедливо и для Windows 7), можно наткнуться на ошибку вида: "Версия этого файла несовместима с используемой версией…
В этой статье я расскажу, как установить Windows Server 2008. Как правило, установка проходит без каких-либо трудностей и мало чем отличается от установки Windows 7. Но многие вещи, о которых…
Достаточно часто пользователям, использующим некоторые программные продукты или средства системы для доступа к собственным компьютерам или к другим возможностям установленного ПО извне посредством Интернета, приходится заниматься открытием (пробросом) специально предназначенных для этого портов. Одним из основных является порт 3389. Как открыть его, используя для этого несколько простейших методик, далее и посмотрим. Но для начала давайте выясним, для чего он вообще нужен.
Для чего используется порт 3389?
По умолчанию практически во всех модификациях Windows используемые и неиспользуемые для исходящих или входящих подключений порты активируются или блокируются непосредственно системой. Поэтому маловероятно, что в стандартных настройках порт 3389 закрыт.
По умолчанию система использует его для осуществления удаленного доступа (RDP), при котором порт освобождается автоматически. Другое дело, что он может быть перехвачен какой-то другой программой или деактивирован на маршрутизаторе, когда необходимо выполнить подключение к нескольким компьютерным терминалам одновременно. Таким образом и возникают вопросы по поводу того, как открыть порт 3389, если в стандартной настройке он оказывается заблокированным.
Открытие порта в брандмауэре
В качестве самого первого и наиболее простого решения можно предложить выполнить открытие порта непосредственно в настройках встроенного в Windows файрвола, именуемого брандмауэром. Предположим, что пользователю нужно выполнить активацию порта для того, чтобы к настраиваемому компьютеру можно было подключиться с другого ПК, ноутбука или мобильного устройства. Как открыть порт 3389?
Для этого вызовите раздел настройки брандмауэра, используя для этого меню «Выполнить» и команду firewall.cpl, после чего перейдите к дополнительным параметрам, слева в меню выберите пункт входящих подключений, а справа – пункт создания нового правила. В «Мастере» укажите, что правило создается для порта, в качестве типа протокола выставьте TCP и впишите в соответствующее поле номер порта (3389). Настройки типа сетей, в принципе, можно оставить без изменений, но все же рекомендуется снять флажок с пункта публичных сетей (это требуется для обеспечения более полной безопасности). По завершении всех действий порт будет открыт.
Проброс порта на маршрутизаторе
В некоторых случаях вышеописанных действий бывает недостаточно, поскольку для конкретных компьютерных терминалов, подключенных к маршрутизатору или находящихся в одной беспроводной сети один и тот же порт использоваться не может. Как открыть порт 3389 в такой ситуации? Для этого используется методика, называемая пробросом портов (от английского Port forwarding).
Через любой установленный веб-браузер войдите в настройки роутера, прописав в адресной строке значение, указанное на шильде, расположенном на обратной стороне устройства (обычно это 192.168.0.1 или с окончанием на 1.1), введите логин и пароль (обычно для обоих полей используется Admin), затем перейдите к разделу переадресации, в котором автоматически откроется вкладка виртуальных серверов, добавьте новое правило путем нажатия соответствующей кнопки, введите номер порта сервиса (или диапазон номеров) и внутренний порт (3389), укажите тип протокола и выберите все типы, если точно не знаете, что именно следует использовать. Из выпадающего списка выберите нужный сервис, хотя это и необязательно), после чего выставьте состояние порта на включенное. Сразу же обратите внимание, что в качестве IP-вводится статический адрес, который в обязательном порядке должен быть прописан в настройках протокола IPv4. В случае с динамическими адресами можно воспользоваться диапазоном адресов, найти который можно в разделе активации DHCP-сервера. Если подключение по каким-либо причинам все равно останется неактивным, пропишите аналогичные параметры в разделе Port Triggering (например, при использовании маршрутизаторов TP-Link), а затем сохраните изменения и выполните перезагрузку роутера.
Что делать, если порт 3389 не прослушивается?
Если действия по открытию порта ни в одном из описанных случаев эффекта не дают, в параметрах маршрутизатора при наличии динамического адреса попробуйте выполнить привязку порта к компьютеру по MAC-адресу, узнать который труда не составит, если воспользоваться свойствами активного сетевого подключения. Также иногда помогает смена номера порта терминального сервера в реестре.
В редакторе (regedit) пройдите по ветке HKLM и найдите там раздел RDP-Tcp, а справа измените значение ключа PortNumber с установленного на 3389, после чего перезагрузите систему.
Если вы меняете порт 3389 на другой, потребуется перезапуск службы терминального сервера. Для этого в командной строке выполните две команды:
Для чего используется порт 3389?
По умолчанию почти во всех версиях Windows порты, которые используются и не используются для исходящих или входящих подключений, включаются или блокируются непосредственно системой. Следовательно, порт 3389 вряд ли будет закрыт по умолчанию.
По умолчанию система использует его для удаленного доступа (RDP), при котором порт автоматически освобождается. Другое дело, что он может быть перехвачен какой-то другой программой или отключен на роутере, когда вам нужно подключиться к нескольким компьютерным терминалам одновременно. Поэтому возникают вопросы, как открыть порт 3389, если в стандартной настройке он оказывается заблокированным.
Открытие порта в брандмауэре
Как первое и самое простое решение, вы можете предложить открыть порт прямо в настройках встроенного брандмауэра Windows, который называется брандмауэром. Предположим, пользователю необходимо активировать порт для подключения к компьютеру, настроенному с другого ПК, ноутбука или мобильного устройства. Как открыть порт 3389?
Для этого вызовите раздел настроек брандмауэра с помощью меню «Выполнить» и команды firewall.cpl, затем перейдите к дополнительным параметрам, выберите в меню слева пункт входящие соединения и справа пункт нового правила. В «Мастере» укажите, что правило было создано для порта, установите TCP в качестве типа протокола и введите номер порта (3389) в соответствующее поле. Настройки для типа сетей, в принципе, можно оставить без изменений, но для публичных сетей все же рекомендуется снять галочку (это необходимо для обеспечения более полной безопасности). По завершении всех действий порт будет открыт.
Проброс порта на маршрутизаторе
В некоторых случаях описанных выше шагов недостаточно, потому что один и тот же порт нельзя использовать для определенных компьютерных терминалов, подключенных к маршрутизатору или находящихся в той же беспроводной сети. Как открыть порт 3389 в такой ситуации? Для этого используется метод, называемый переадресацией портов (от англ. Port forwarding).
Используя любой установленный веб-браузер, войдите в настройки роутера, написав в адресной строке значение, указанное на табличке на задней панели устройства (обычно 192.168.0.1 или оканчивающееся на 1.1), введите имя пользователя и пароль (обычно для оба поля), затем перейдите в раздел пересылки, который автоматически откроет вкладку виртуальных серверов, добавьте новое правило, нажав соответствующую кнопку, введите номер служебного порта (или диапазон номеров) и внутренний порт (3389), укажите тип протокола и выберите все типы, если вы не совсем уверены, что использовать. Выберите необходимую службу из раскрывающегося списка (хотя это необязательно), затем установите состояние порта как «Включено». Сразу обратите внимание, что статический адрес вводится как IP-адрес, который должен быть указан в настройках протокола IPv4. В случае динамических адресов вы можете использовать диапазон адресов, который можно найти в разделе «Активация DHCP-сервера». Если по какой-то причине соединение все еще остается незанятым, запишите аналогичные параметры в разделе Port Triggering (например, при использовании роутеров TP-Link), затем сохраните изменения и перезапустите роутер.
Что делать, если порт 3389 не прослушивается?
Если действия по открытию порта не работают ни в одном из описанных случаев, в параметрах роутера, если у вас динамический адрес, попробуйте подключить порт к компьютеру по MAC-адресу, что не составит труда узнайте, используете ли вы свойства активного сетевого подключения. Также иногда бывает полезно изменить номер порта терминального сервера в реестре.
В редакторе (regedit) перейдите в ветку HKLM и найдите там раздел RDP-Tcp, а справа измените значение ключа PortNumber с установленного на 3389, затем перезагрузите систему.
Если вы измените порт 3389 на другой, вам потребуется перезапустить службу сервера терминалов. Для этого выполните в командной строке две команды:
Читайте также: