Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.

Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта . В английской терминологии используются термины Port Forwarding и Port Publishing .

Что такое проброс порта

Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п.)

А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.

Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)

Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:

Шаг 1 Разрешить входящие RDP подключения на компьютере

Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.

Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:

Переходим на вкладку Удалённый доступ , ставим переключатель в положение Разрешать подключения к этому компьютеру , снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:

Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.

Требование №1. Эта учётная запись обязательно должна иметь пароль . Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.

Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу . Это можно сделать двумя способами.

Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу

Способ первый.

Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление :

В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи :

В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:

Перейдите на вкладку Членство в группах и нажмите кнопку Добавить :

Нажмите кнопку Дополнительно :

Затем, кнопку Поиск :

Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK :

В окнах Выбор группы и Свойства: <пользователь> нажмите OK:

Способ второй.

Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:

Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей :

Нажмите кнопку Добавить :

Нажмите Дополнительно :

и Поиск :

В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK :

Теперь нажмите OK в двух следующих окнах:

Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.

В роутерах D-Link нужный раздел может называться Virtual Server , как в D-Link DIR-615:

Также, он может называться Port Forwarding , как, например, в DIR-300:

Суть одна и та же:

1. Даём произвольное имя правилу;
2. Открываем НЕстандартный порт на роутере, который не занят (поле Public Port );
3. Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address );
4. Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port ).

Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.

Для настройки Dynamic DNS зайдите в раздел MAINTENANCE , выберите подраздел DDNS Settings и нажмите на ссылку Sign up … для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings :

После этого можно будет подключаться не по IP-адресу, а по адресу вида vash-adres.dlinkddns.com:port

Проверка подключения к компьютеру через удалённый рабочий стол

Запустите клиент сервера удалённых рабочих столов:

В поле Компьютер введите адрес и порт через двоеточие. В поле Пользователь введите имя пользователя и нажмите кнопку Подключить :

Это удалённое подключение может нанести вред локальному или удалённому компьютеру. Перед подключением убедитесь, что удалённый компьютер надёжен.

Установите галку и нажмите кнопку Подключить :

Теперь введите пароль пользователя, установите галку Запомнить учётные данные , если не хотите вводить пароль каждый раз, и нажмите OK :

После этого может появиться сообщение:

Не удаётся проверить подлинность удалённого компьютера. Вы хотите установить подключение в любом случае?

Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру и нажать Да :

Назначение портов - это способ переадресации пакетов с любого порта интерфейса локальной сети на указанный хост (компьютер) и порт в интернете или переадресации пакетов с любого незанятого порта с внешнего (интернет адреса) на указанный хост (компьютер) и порт в локальной сети.

Схема работы этого сервиса очень проста и применяется обычно в том случае, если невозможно или не целесообразно использовать NAT или HTTP-прокси или если основной шлюз на клиентских машинах лучше не менять. Также очень часто эта схема выглядит более понятной для многих пользователей, нежели настройка через NAT.

Рассмотрим несколько распространенных примеров настройки через назначение портов.

Внимание! Назначение портов и публичные почтовые сервера, такие как mail.ru, yandex.ru, gmail.com, которые требуют содинения по защищённым каналам связи, не будут работать с программой The Bat. Проблема заключается в самой программе The bat, т.к. там нельзя принять сертификаты и добавить их в исключения, что бы они работали нормально и всегда. Через назначение портов будут нормально работать например "Mozilla Thunderbird".

• Настройка почты.

Как известно, для обмена почтовыми сообщениями служат два сервиса - POP3 (RUS ) и SMTP (RUS ). Они используют TCP порты 110 и 25 соответственно. Чтобы пустить клиентские запросы по этим протоколам в интернет через назначение портов, надо создать два назначения.

Например, для POP3-сервера будем использовать скорее всего незанятый локальный порт - 9110, а для SMТP - 9025. Настройку будем производить для популярной бесплатной почты - mail.ru.

Открываем в консоли администратора страницу "Сервисы - Назначение портов" и жмем кнопку "Добавить":

Выбираем в качестве слушающего интерфейса IP локальной сетевой карты, порт 9110. В качестве назначения прописываем адрес pop.mail.ru и указываем порт 110:

Жмем кнопку "Добавить" ещё раз и указываем параметры для SMTP-сервера. Выбираем в качестве слушающего интерфейса IP-локальной сетевой карты и прописываем порт 9025, а в качестве назначения прописываем адрес smtp.mail.ru и указываем порт 25.

Теперь надо открыть на клиентской машине свойства почтового клиента и прописать там настройки для назначения портов.

Например для программы The Bat настройка будет такой:

• Настройка удаленного доступа из интернета к компьютеру локальной сети,
  например, для программы R-admin (RUS ) или RDP (RUS ).

Обычно порты, которые используются для этих двух программ (4899 TCP для R-admin и 3389 TCP для RDP), уже бывают заняты самим сервером, на котором установлен UserGate, поэтому мы рекомендуем Вам использовать любые другие.

Выберем для службы RDP порт 9999, а для программы R-admin порт 9998.

В нашем примере локальной подсетью является подсеть 192.168.2.Х и компьютер, к которому проводится доступ из интернета, имеет IP-адрес 192.168.2.45.

Создаем правило в соответствии с нашей текущей конфигурацией сети. Указываем слушающим адресом свой внешний интерфейс. Если у Вас соединение с провайдером PPPoE, VPN или Dial-Up, то укажите слушать любой интерфейс, порт 9998 для R-admin:

Удаленное подключение из Интернета к машине в локальной сети в этом случае будет выглядеть примерно так:

• для R-admin указываем внешний IP-адрес машины с UserGate - 172.19.169.7 и порт 9998.
• для RDP указываем внешний IP-адрес машины с UserGate - 172.19.169.7 и порт 9999.

Компьютер имеет больше 65000 портов, каждый из которых может быть использован для взаимодействия с сетью интернет. Если какие-то порты компьютера открыты – то есть используются теми или иными программами – к ним можно попытаться подключиться с удаленного компьютера.

Инструкция

Вы должны знать ip-адрес компьютера, к которому хотите подключиться. Если известно доменное имя, можно определить ip на одном из существующих в интернете сервисов. Например, здесь: http://www.all-nettools.com/toolbox/smart-whois.phpВведите доменное имя в формате www.name.ru – то есть имя сайта без «http://», нажмите кнопку «Submit». Вы получите ip-адрес и всю дополнительную информацию о сайте.

Теперь вам необходимо определить, какие порты на интересующем вас компьютере открыты. Делается это путем сканирования с использованием специальных программ – сканеров. Наиболее известные сканеры – Nmap и XSpider. Новичку лучше выбрать второй, в сети можно найти как демоверсию, так и полный вариант программы.

Откройте XSpider, ведите ip-адрес, запустите сканирование. После его окончания вы получите список открытых портов на сканируемой машине. Наличие открытого порта не означает, что вы получили доступ к удаленному компьютеру и говорит лишь о том, что этот порт используется какой-то программой. Например, порт 21 – ftp, 23 – telnet, 4988 – Radmin, 3389 - Remote Desktop? и т.д. Наберите в поисковике «Список портов и их сервисов», и вы получите подробную информацию.

Вы получили список открытых портов. Следующий этап – поиск возможности проникнуть через эти порты на удаленную машину. Вариантов здесь много, основные – подбор пароля либо поиск и использование подходящего эксплоита. Эксплоит – это программный код, написанный под конкретную уязвимость.

Если вы хотите научиться использовать эксплоиты, скачайте программу Metasploit. В ее состав входят несколько сотен эксплоитов, их состав постоянно обновляется. В составе Метасплоита есть и сканер Nmap. Изучение программы требует времени и терпения, но результат того стоит.

Если вы хотите быстрого результата, скачайте две программы: VNC-сканер с Gui-интерфейсом (vnc_scanner_gui) и Lamescan. Первая является очень хорошим и быстрым сканером, удобным при сканировании конкретного порта. Например, порта 4899, используемого программой удаленного управления Radmin.

Запустите VNC-сканер, укажите порт 4899, выберите в списке нужную страну и нажмите кнопку «Get diap list». В окошке слева появится список диапазонов ip-адресов. Выберите несколько диапазонов (лучше 2-3), остальные удалите. Нажмите кнопку «Start scan». После окончания процесса сканирования вы получите текстовый файл IPs.txt со списком ip-адресов компьютеров, у которых открыт порт 4899. Нажмите кнопку «Start parser» - список будет очищен от всей лишней информации, останутся только ip-адреса.

Запустите программу Lamescan. Нажмите в меню «Настройка – Основное». Поставьте номер порта 4899. Введите пути к словарям паролей и логинов (найдите их в сети). Нажмите «Готово». Теперь нажмите зеленый плюсик и введите в появившееся окно ваши насканенные ip-адреса и нажмите зеленую стрелку. Начнется процесс подбора пароля к указанным адресам. В большинстве случаев подбор оказывается неудачным, но из сотни адресов несколько окажутся с простыми паролями.

Скачайте и установите программу Radmin. Запустите ее, введите адрес компьютера с подобранным паролем. В появившемся окне введите пароль (и логин – если подобрали данные к программе с логином и паролем). Появится синий значок соединения, и несколько секунд спустя вы увидите у себя на экране рабочий стол удаленного компьютера.

По умолчанию во всех операционных системах Windows для подключения по протоколу RDP (Remote Desktop Protocol / Удаленный рабочий стол) использует порт TCP 3389 .

Если ваш компьютер подключен напрямую к интернету (например, VDS сервер), или вы настроили на своем пограничном маршрутизаторе порта 3389/RDP в локальную сеть на компьютер или сервер с Windows, вы можете изменить стандартный RDP порт 3389 на любой другой. Изменив номер RDP порта для подключения, вы можете спрятать ваш RDP сервер от сканеров портов, уменьшите вероятность эксплуатации RDP уязвимостей (последняя критическая уязвимость в RDP BlueKeep описана в ), уменьшите количество попыток удалённого подбора паролей по RDP (не забывает периодически ), SYN и других типов атак (особенно при ).

Замену стандартного RDP порта можно использовать, когда за маршрутизатором с одним белым IP адресом находится несколько Windows компьютеров, к которым нужно предоставить внешний RDP доступ. На каждом компьютере вы можете настроить уникальный RDP порт и настроить перенаправление портов на маршрутизаторе на локальные компьютеры (в зависимости от номера RDP порта сессия перенаправляется на один из внутренних ПК).

При выборе нестандартного номера порта для RDP обратите внимание, что желательно не использовать номера портов в диапазоне от 1 до 1023 (известные порты) и динамические порты из RPC диапазона (от 49152 до 65535).

Попробуем изменить порт, на котором ожидает подключения служба Remote Desktop на 1350 . Для этого:

1. Откройте редактор реестра и перейдите в ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ;
2. Найдите DWORD параметр реестра с именем PortNumber . В этом параметре указан порт, на котором ожидает подключения служба Remote Desktop;
3. Измените значение этого порта. Я изменил RDP порт на 1350 в десятичном значении (Deciamal);
4. Если на вашем компьютере включен Windows Firewall, вы должны создать новое правило, разрешающее входящее подключение на новый RDP порт (если вы перенастраиваете удаленный сервер через RDP, не создав правило в брандмауэре, вы потеряете доступ к серверу). Вы можете создать разрешающее входящее правило для нового TCP/UDP порта RDP вручную из консоли ‘Брандмауэр Защитника Windows’ (firewall.cpl ) или с помощью : New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow И: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow
   
5. Перезагрузите компьютер или перезапустите службу удаленных рабочих столов командой: net stop termservice & net start termservice
   
6. Теперь для подключения к данному Windows компьютеру по RDP, в клиенте mstsc.exe нужно указывать порт RDP подключения через двоеточие следующим образом: Your_Computer_Name:1350 или по IP адресу 192.168.1.100:1350 или из командной строки: mstsc.exe /v 192.168.1.100:1350
   

   Если для управления множеством RDP подключений вы используете менеджер RDP подключений , заданный вами номер RDP порта для подключения можно указать на вкладке “Connection Settings”.
   

7. В результате вы успешно подключитесь к рабочему столу удаленного компьютера по новому номеру RDP порта (с помощью команды nenstat –na | Find “LIST” убедитесь, что служба RDP теперь слушает на другом порту).
   

Полный код PowerShell скрипт для смены RDP порта, создания правила в брандмауэре и перезапуска службы RDP на новом порту может выглядеть так:

New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol UDP -Action Allow

Write-host "Номер RDP порта изменен на $RDPPort " -ForegroundColor Magenta

Можно изменить номер RDP удаленно на нескольких компьютерах в домене AD (определенной OU) с помощью Invoke-Command и :

Write-host "Укажите номер нового RDP порта: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Computers,DC=winitpro,DC=ru"
Foreach ($PC in $PCs) {
Invoke-Command -ComputerName $PC.Name -ScriptBlock {
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Name PortNumber -Value $RDPPort
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "New RDP Port $RDPPort" -Direction Inbound –LocalPort $RDPPort -Protocol TCP -Action Allow
Restart-Service termservice -force
}

Это инструкция по смене стандартного RDP порта подойдёт для любой версии Windows, начиная с Windows XP (Windows Server 2003) и заканчивая Windows 10 (Windows Server 2019).

Иногда у пользователя возникает ситуация, когда необходимо открыть тот или иной порт компьютера для видеоигр, сложных программ или специальных интернет-клиентов. Но как проверить, открыт ли в данный момент этот порт? Для решения подобных задач есть несколько вариантов.

I. ПРОВЕРКА ОТКРЫТЫХ ПОРТОВ НА ЛОКАЛЬНОМ КОМПЬЮТЕРЕ

Способ 1. Для того, чтобы проверить открытые порты на локальном (своем) компьютере, можно воспользоваться «Командной строкой» операционной системы Windows (

Для вызова этой строки необходимо нажать сочетание клавиш Win+R и прописать команду «cmd», после чего нажать «ОК».

В открывшемся окне пропишите специальную команду «netstat -a» и ознакомьтесь со списком открытых портов на Вашем компьютере.

Способ 2. Если Вы подключены к интернету, то проверить, открыт ли порт, можно на сайте

whatsmyip.org/port-scanner/

Данный ресурс сам определит Ваш IP-адрес, а сканировать порты можно через специальное поле «Custom Port Test ».

Введите интересующий Вас порт и нажмите кнопку «Check Port », после чего Вы получите ответ, открыт или закрыт данный порт.

II. ПРОВЕРКА ОТКРЫТЫХ ПОРТОВ НА УДАЛЕННОМ КОМПЬЮТЕРЕ

Теперь рассмотрим, как проверить, открыт ли порт на удаленном компьютере или сервере. Воспользуйтесь все той же «Командной строкой» в системе Windows, но теперь пропишите команду telnet в формате:

telnet IP-адрес порт

Нажмите клавишу «Enter». Если нет записи «Could not open …», то запрашиваемый порт открыт, иначе - закрыт.

Мы вкратце рассмотрели, как проверить, открыт ли порт на компьютере. Если остались, какие либо вопросы, то задайте их в поле для комментариев.

Что означает результат проверки порта?

Статус Порт закрыт

Подключиться к этому порту в данный момент невозможно. Вредоносные программы или злоумышленники не могут воспользоваться данным портом для атаки или получения конфиденциальной информации (Вам поможет материал 4 лучших бесплатных антивируса для Windows 10). Если все неизвестные порты имеют статус "закрыт", то это означает хороший уровень защищенности компьютера от сетевых угроз.

Если порт должен быть открытым, то это плохой показатель. Причиной недоступности порта может быть неверная настройка сетевого оборудования или программного обеспечения. Проверьте права доступа программ к сети в файерволе. Удостоверьтесь, что порты проброшены через роутер.

Результат "порт закрыт" также можно получить, если порт открыт, но время отклика вашего компьютера в сети (пинг) завышено. Подключится к порту в таких условиях практически не представляется возможным.

Статус Порт открыт

К данному порту можно произвести подключение, он доступен из интернета. Если это то, что требуется — прекрасно.

Если неизвестна причина, по которой порт может быть открытым, то стоит проверить запущенные программы и сервисы. Возможно, некоторые из них вполне легально используют этот порт для работы с сетью. Существует вероятность, что порт открыт в следствии работы несанкционированного/вредоносного программного обеспечения (Вам поможет материал Как включить защиту от потенциально нежелательных программ в Windows Defender). В таком случае рекомендуется проверить компьютер антивирусом.

F.A.Q.

Что за порты? Для чего они нужны?

Порты, которые проверяет PortScan.ru, — это не физические, а логические порты на компьютере или сетевом устройстве.
В случае, если программа или служба планирует работать с сетью, она открывает порт с уникальным номером, через который она может работать с удаленными клиентами/серверами. Фактически, сетевая программа резервирует для себя определенное число, которое позволяет понять, что пришедшие данные предназначаются именно этой программе.

На человеческом языке это звучало бы примерно так: "Я, программа-сервер, открываю порт номер 1234. Если по сетевому кабелю придут данные с номером порта 1234 — это мне. "

Какие номера портов может открывать программа?

Порты идентифицируются номерами от 0 до 65535 включительно. Любой другой порт открыть нельзя, соответственно и проверить тоже. Это ограничения TCP/IP протокола.

Стоит отметить, что клиентская программа всегда должна знать номер порта, к которому ей нужно подключаться на сервере или другом удаленном сетевом устройстве. По этой причине для наиболее популярных протоколов зарезервированы порты в диапазоне от 0 до 1023.

Так, например, осуществляя серфинг в интернете, ваш браузер подключается к 80 порту на удаленном сервере, на котором находится сайт. В ответ браузер получает набор кода и данных, который скачивает и отображает в виде веб-страницы.

Для каких ситуаций возможна проверка открытых портов?

Проверка открытых портов возможна, если вашему компьютеру присвоен внешний IP адрес. Подробнее об этом вы можете узнать у своего интернет-провайдера.

Стоит учесть, что если ваш компьютер подключен к интернету не напрямую, а через роутер (маршрутизатор), то результаты проверки относятся именно к роутеру. Проверить состояние порта для компьютера внутри такой подсети возможно только при наличии проброса портов.

Что такое проброс портов?

Проброс портов (Port Forwarding, иногда Virtual Servers) — специальная настройка на роутере, позволяющая перенаправить внешние запросы (из интернета) на компьютеры локальной сети. По сути это способ указать, на какой локальный компьютер пересылать данные и запросы подключения, пришедшие на определенный порт.

Допустим, у вас дома игровой или веб-сервер, подключенный через роутер к интернету. Все компьютеры, подключенные к этому же роутеру, находятся в одной сети, поэтому смогут подключиться к данному серверу. Однако снаружи, из интернета, подключиться к вашему серверу без проброса портов уже не получится.

Если ваш компьютер подключен к интернету напрямую (без роутера/маршрутизатора), то выполнять проброс портов не требуется. Все ваши открытые порты должны быть доступны из интернета (естественно, при наличии выделенного IP).

Как узнать, какие порты открыты на компьютере?

Для Windows: Пуск → "cmd" → Запустить от имени администратора → "netstat -bn"
Для Linux: В терминале выполнить команду: "ss -tln"

Как закрыть порт?

Прежде всего надо устранить причину — запущенную программу или службу, которая открыла этот порт; ее надо закрыть/остановить. Если причина открытого порта не ясна — проверьте компьютер антивирусом, удалите лишние правила проброса портов на роутере и установите продвинутый файервол (Firewall).