Обратите внимание! Чаще всего блокировка наблюдается на роутерах от «Ростелеком». При использовании какого-либо сетевого приложения туннель перестает открываться.

Инструкция:

1. Необходимо открыть панель управления беспроводным маршрутизатором. Требуется ввести IP роутера в адресную строку браузера.
2. Затем ввести логин и пароль в форме авторизации.
3. В панели управления следует найти пункт «Сетевые настройки» или «WAN».
4. Затем перейти в пункт «Разрешения для портов».
5. Кликнуть по кнопке «Добавить».
6. В новом окне ввести номера туннелей для TCP/UPD.
7. Нажать на клавишу «Готово» и «Применить».
8. Щелкнуть «Перезагрузить роутер».

При помощи сторонних программ

Многие пользователи спрашивают, какие есть программы для открытия портов на Windows 10. Для этих целей целесообразно использовать программное обеспечение UPnP Wizard.

UPnP Wizard

Инструкция:

1. Необходимо скачать утилиту с официального сайта разработчиков и инсталлировать ее в каталог системного диска на ПК. После запуска начнется процесс инициализации сетевого подключения. В главном окне отобразится список активных портов. Также пользователю будет дана информация об IP-адресе, удаленном сервере и типе протокола передачи данных.
2. Чтобы разблокировать неактивный туннель, необходимо щелкнуть по кнопке «Активировать».
3. Чтобы создать новый порт, требуется кликнуть по вкладке «Добавить».
4. Необходимо ввести имя, локальный IP-адрес и номер туннеля, а также выбрать тип протокола.
5. Нажать на кнопку «Применить».

Как проверить состояние порта

Многие владельцы персональных компьютеров спрашивают, как посмотреть открытые порты в ОС Windows 10. Чтобы проверить состояние туннеля, необходимо воспользоваться командной строкой:

1. На клавиатуре одновременно нажать «WIN + R».
2. Ввести команду «CMD».
3. В консоли ввести код «netstat —a». Начнется процесс инициализации состояния портов, а также их активности. На экране отобразится статус туннеля.

Статусы активности порта:

• «LISTENING». Осуществляется передача входящего трафика;
• «ESTABLISHED». Используется для соединения с Глобальной сетью;
• «CLOSE_WAIT». Ожидание, удаленный сервер недоступен;
• «TIME_WAIT». Туннель недоступен;
• «SYN_SENT». Попытка установить связь с удаленным сервером.

Командная строка

Открытие портов на Windows 10 позволяет использовать сетевые приложения и онлайн-игры. Рекомендуется проводить разблокировку туннеля с помощью брандмауэра или антивируса. Если по каким-либо причинам невозможно воспользоваться штатными средствами, допускается скачать стороннее программное обеспечение.

Работа с брандмауэром Windows — Справочник RuVDS

Любая программа запущенная от имени администратора включает нужное правило брандмауэра автоматически, сама по себе и никаких дополнительных настроек не нужно, чтобы она видела сеть и была видна из сети.

Исключение составляют правила для стандартных служб установленных по умолчанию, нужно включить разрешающее правило для общественных сетей или изменить текущее, о чем и поговорим в этой статье.

ОТКРЫТЬ ПОРТ ЧЕРЕЗ ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС

Рассмотрим один из редких случаев, это когда мы хотим развернуть общий доступ к файлам расположенных на сервере. В данном случае, просто открыть общий доступ недостаточно, нужно залезть в брандмауэр.

Используйте Win+R (или щелкните правой кнопкой мыши по меню Пуск, выберите «Выполнить») наберите firewall.cpl и перейдите в дополнительные параметры.

Найти брандмауэр можно и через поиск меню пуск, если начать набирать «Брандмауэр». Нас интересует брандмауэр в режиме повышенной безопасности.

Общий доступ к файлам и папкам утилизирует протокол SMB, а он использует 445 порт. Тут не нужно создавать новое правило, а лучше включить стандартное. Так без лишней путаницы, чисто и быстро можно открыть любой порт.

Отсортируйте колонку по порту или группе, затем включите правило.

Вот так просто и чисто корпорация Майкрософт реализовала управление правилами в Windows с пользовательским интерфейсом.

ОТКРЫТЬ ПОРТ C ПОМОЩЬЮ POWERSHELL

Каждое правило, которое было добавлено позже имеет высший приоритет над ранним. Чтобы однажды не запутаться в них, мы сделаем тоже самое что и в случае выше, так же чисто, только при помощи одной командной строки.

Используйте Win+R (или щелкните правой кнопкой мыши по меню Пуск, выберите «Выполнить») наберите Powershell.

Найти можно и через поиск меню пуск, если начать набирать «Powershell». Запускать нужно от имени администратора. Рассматривать мы будем обычный Powershell, Powershell ISE нужен для выполнения скриптов, нас это не интересует.

Сперва нам нужно узнать какое правило мы хотим включить. Для этого выполним командлет:

Get-NetFirewallRule | where Direction -EQ inbound | select name

Этим самым мы получаем имена всех входящих правил фаервола и получаем только их имена. Отличить их просто, первой идет группа правил, затем протокол и направление. По-русски это бы выглядело так:

ГруппаПравил-Протокол-Направление

Мы получили результат. Нас интересует правило FPS-SMB-In-TCP. Эта аббривеатура расшифровывается как File and Printer Shading (SMB IN). Это то, что нам в данном случае нужно. Теперь включаем правило:

Set-NetFirewallRule -Name FPS-SMB-In-TCP -Enabled True

Как вы видите, никаких принципиальных изменений от того, что происходит с помощью пользовательского интерфейса тут нет, нужно лишь небольшое знание английского языка.

СОЗДАТЬ РАЗРЕШАЮЩЕЕ ПРАВИЛО ВРУЧНУЮ

Иногда программы не создают правила сами по себе, и требуется ручное вмешательство. Рассмотрим на примере открытия порта для сервера Майнкрафт. Справа от окна брандмауэра нажимаем “Создать новое правило”. Выбираем правило для порта.

Майнкрафт использует протокол TCP, поэтому в меню выбираем его.

Осталось выбрать то, что мы этим правилом делаем, разрешаем или запрещаем взаимодействие с портом и дать ему имя. Ровно это же можно уложить в один командлет powershell’a.

New-NetFirewallRule -Name Minecraft -LocalPort 25565 -DisplayName Minecraft -Enabled True -Direction Inbound -Action Allow -Protocol TCP

Открытие порта в Windows 8 и брандмауэре Windows 10

Обновление: в эту статью добавлена ​​процедура открытия экрана расширенной безопасности брандмауэра в Windows 10.

В определенных ситуациях может потребоваться открыть один или несколько порты для входящих подключений в брандмауэре Windows 8 или Windows 10. Я испытал такую ​​ситуацию и объяснил это в другой статье Ошибка IIS: невозможно прочитать значение для данного раздела: AppSettings .Если вы столкнулись с такой ситуацией, вы можете выполнить следующие шаги, чтобы открыть один или несколько портов в брандмауэре Windows.

Запустить брандмауэр Windows с улучшенной безопасностью:

В Windows 10:

1. Щелкните правой кнопкой мыши кнопку Пуск , чтобы открыть меню быстрого доступа , и выберите Панель управления .
2. В Панели управления выберите Система и безопасность.
3. На экране «Система и безопасность» щелкните Брандмауэр Windows .
4. Щелкните Advances settings на левой панели экрана брандмауэра Windows.
5. Откроется экран Брандмауэр Windows в режиме повышенной безопасности . Теперь перейдите к разделу Открытие порта в брандмауэре Windows ниже, чтобы открыть нужный порт.

В Windows 8:

1. Перейдите на начальный экран Windows 8 .
2. Введите слово firewall .
3. При вводе по умолчанию открывается экран поиска, на котором отображаются результаты из приложений.На панели результатов поиска вы можете увидеть приложение Брандмауэр Windows с расширенными возможностями…
   
4. Щелкните Брандмауэр Windows с расширенными возможностями… в результатах поиска, чтобы запустить экран Брандмауэр Windows с повышенной безопасностью .

Открытие порта в брандмауэре Windows

1. На экране расширенной безопасности щелкните Правила для входящих подключений на левой панели.
   
2. Щелкните Новое правило… на правой панели.
   
3. В мастере New Inbound Rule Wizard выберите Port и нажмите Next .
   
4. Выберите TCP или UDP и укажите локальный порт для открытия. Теперь нажмите Далее .
   
5. Выберите Разрешить подключение и щелкните Далее .
   • Если вы хотите открыть порт для подключения только в том случае, если они безопасны, выберите опцию Разрешить подключение, если оно безопасное .
   • Если вы хотите заблокировать входящее соединение через этот порт, выберите Блокировать соединение .

6. Выберите, когда должно применяться правило ( Домен, Частный или Общедоступный ), и нажмите Далее .
   
7. Теперь введите имя для нового правила и описание и нажмите Finish .
   
8. Новое правило создано, и вы можете увидеть его в списке правил для входящих подключений .
   
9. Если вы хотите изменить правило, дважды щелкните правило, чтобы открыть экран свойств. Экран свойств позволит вам редактировать все свойства, которые вы ввели при создании правила.
   

Если вы хотите выключить или включить брандмауэр в Windows 8, прочтите статью Отключение брандмауэра Windows 8 .

Как вывести список открытых портов в Firewalld — подсказка для Linux

В этой статье я покажу вам, как составить список открытых портов в Firewalld . Я собираюсь использовать CentOS 7.4 для демонстрации, но те же команды должны работать в любом дистрибутиве Linux с установленным Firewalld . Давайте начнем.

Что такое открытый порт?

Сначала давайте обсудим, что такое открытый порт.Это явно сетевой термин.

На один компьютер можно установить множество серверных программных пакетов, например HTTP-сервер, DNS-сервер, сервер базы данных и т. Д. Но он может иметь ограниченное количество сетевых интерфейсов. Допустим, у него есть один доступный физический сетевой интерфейс, настроенный на IP-адрес 10.0.1.11, и на нем установлен сервер базы данных HTTP и MySQL. Итак, когда вы подключаетесь к 10.0.1.11 с другого компьютера, как ваш серверный компьютер узнает, какую службу вы хотите использовать? Служба HTTP или служба базы данных MySQL.

Чтобы различать службу HTTP и службу базы данных MySQL, IP-адрес также имеет другое свойство, называемое портом. Порт — это 16-битное целое число, что означает, что это может быть число от 0 до 65536. Таким образом, ваш серверный компьютер запускает разные службы или серверное программное обеспечение на разных портах. Например, HTTP-сервер работает на порту 80, сервер базы данных MySQL работает на порту 3306 и так далее.

Чтобы взаимодействовать с определенной службой на вашем серверном компьютере, скажем, с HTTP-сервером, клиентский компьютер должен передать порт 80 вместе с IP-адресом 10.0.1.11. Итак, порт 80 — это открытый порт, потому что клиентский компьютер может с ним разговаривать.

Если у вас настроен брандмауэр, по умолчанию он блокирует весь порт. Таким образом, даже если служба запущена на определенном порту на вашем серверном компьютере, клиентский компьютер не сможет подключиться к нему.

Итак, как мне узнать, какие порты открыты и к которым я могу подключиться на моем сервере? Что ж, это тема этой статьи.

Поиск открытых портов с помощью Firewalld:

Сначала проверьте, запущена ли служба firewalld с помощью следующей команды:

$ sudo systemctl статус firewalld

Как видно из отмеченного участка на скриншоте ниже, служба firewalld работает.Итак, мы готовы идти.

Если ваша служба firewalld не запущена, вы можете запустить службу firewalld с помощью следующей команды:

$ sudo systemctl start firewalld

Теперь вы можете использовать команду firewall-cmd configure и получить информацию о Firewalld .

Вы можете распечатать всю конфигурацию Firewalld с помощью следующей команды:

$ sudo firewall-cmd —list-all

Открытые порты и службы перечислены в строке services: и ports: , как показано на снимке экрана ниже.

В сервисах включены: линия , ssh и dhcpv6-client . Это означает, что порты, соответствующие этим службам, также открыты.

Вы можете узнать, какие порты открывают эти службы, с помощью следующей команды:

$ grep ong & gt; SERVICE_NAME / etc / services

ПРИМЕЧАНИЕ: Здесь SERVICE_NAME — это служба, порты которой вы хотите видеть.

Например, чтобы увидеть порты, открытые службой ssh , выполните следующую команду:

Как видно из отмеченного участка на скриншоте ниже, служба ssh открывает порт TCP 22 и порт UDP 22 .

Команда sudo firewall-cmd –list-all показывает всю конфигурацию Firewalld .

Если вы просто хотите узнать, какие службы могут иметь открытые порты, выполните следующую команду:

$ sudo firewall-cmd —list-services

Сервисы, которым разрешено иметь открытые порты, перечислены, как вы можете видеть на снимке экрана ниже.

Если вы хотите видеть только открытые порты, выполните следующую команду:

$ sudo firewall-cmd —list-ports

Список открытых портов показан на снимке экрана ниже.

Если вы хотите открывать другие порты или службы с помощью Firewalld , ознакомьтесь с другой моей статьей Как открыть порт 80 на CentOS7 (https://linuxhint.com/open-port-80-centos7/)

Вот как вы перечисляете открытые порты в Firewalld . Спасибо, что прочитали эту статью.

Простой межсетевой экран с отслеживанием состояния — ArchWiki

На этой странице объясняется, как настроить брандмауэр с отслеживанием состояния с помощью iptables. Здесь также объясняется, что означают правила и зачем они нужны.Для простоты он разделен на два основных раздела. В первом разделе рассматривается брандмауэр для отдельной машины, во втором настраивается шлюз NAT в дополнение к брандмауэру из первого раздела.

Предварительные требования

Примечание: Ваше ядро ​​должно быть скомпилировано с поддержкой iptables. Все стандартные ядра Arch Linux имеют поддержку iptables.

Сначала установите служебные программы пользовательского уровня iptables или убедитесь, что они уже установлены.

В этой статье предполагается, что в настоящее время правила iptables отсутствуют. Чтобы проверить текущий набор правил и убедиться, что в настоящее время правил нет, выполните следующее:

 # iptables-save 

 # Создано iptables-save v1.4.19.1 в чт, 1 августа, 19:28:53 2013
*фильтр
: ВВОД ПРИНЯТЬ [50: 3763]
: FORWARD ACCEPT [0: 0]
: OUTPUT ACCEPT [30: 3472]
COMMIT
# Завершено, 1 августа, 19:28:53 2013 г.
 

или

 # iptables -nvL --line-numbers 

 Цепочка INPUT (политика ACCEPT 156 пакетов, 12541 байт)
num pkts bytes target prot opt ​​in source назначение

Цепочка FORWARD (политика ACCEPT 0 пакетов, 0 байтов)
num pkts bytes target prot opt ​​in source назначение

ЦЕПНЫЙ ВЫХОД (политика ПРИНЯТЬ 82 пакета, 8672 байта)
num pkts bytes target prot opt ​​in source назначение
 

Если есть правила, вы можете сбросить их, загрузив набор правил по умолчанию:

 # iptables-restore 
 В противном случае см. Iptables # Resetting rules.
 Межсетевой экран для отдельной машины 
  Примечание:  Поскольку iptables обрабатывает правила в линейном порядке, сверху вниз внутри цепочки, рекомендуется размещать часто используемые правила в начале цепочки. Конечно, есть предел, зависящий от реализуемой логики. Кроме того, правила имеют связанные затраты времени выполнения, поэтому правила не следует переупорядочивать исключительно на основе эмпирических наблюдений за счетчиками байтов / пакетов.
 Создание необходимых цепочек 
 Для этой базовой настройки мы создадим две определяемые пользователем цепочки, которые мы будем использовать для открытия портов в брандмауэре.
 # iptables -N TCP
# iptables -N UDP
 
 Конечно, цепочки могут иметь произвольные имена. Мы выбираем их, чтобы они соответствовали протоколам, которые мы хотим обрабатывать с ними в более поздних правилах, которые указаны с параметрами протокола, например  -p tcp , всегда.
 Цепь FORWARD 
 Если вы хотите настроить свой компьютер в качестве шлюза NAT, см. # Настройка шлюза NAT.Однако для одной машины мы просто устанавливаем политику цепочки  FORWARD  на  DROP  и переходим:
 # iptables -P FORWARD DROP
 
 Цепочка ВЫХОДА 
 Цепочка OUTPUT может быть мощным инструментом для фильтрации исходящего трафика, особенно для серверов и других устройств, на которых не работают веб-браузеры
 Порты межсетевого экрана 
 Что нового в App Layering 1911
 Что нового в App Layering 1910
 Что нового в App Layering 1908
 Что нового в App Layering 1907
 Что нового в App Layering 1905
 Что нового в App Layering 1903
 Что нового в App Layering 1902
 Что нового в App Layering 1901
 Что нового в App Layering 1812
 Что нового в Уровне приложений 4.15
 Что нового в App Layering 4.14
 Что нового в Уровне приложений 4.13
 Что нового в Уровне приложений 4.12
 Что нового в Уровне приложений 4.11
 Что нового в App Layering 4.10
 Что нового в Уровне приложений 4.9
 Что нового в App Layering 4.8
 Что нового в Уровне приложений 4.7
 Что нового в App Layering 4.6
 Что нового в Уровне приложений 4.5
 Что нового в App Layering 4.4
 Что нового в Уровне приложений 4.3
 Что нового в App Layering 4.2
 Что нового в Уровне приложений 4.1
 Что такое открытый порт? Концепция, риски и способы обнаружения открытых портов 
 Давайте представим на секунду, что ваш ИТ-менеджер поручает вам установку брандмауэра нового поколения для фильтрации входящего и исходящего трафика, но вы не до конца понимаете, как работают открытые порты. , почему они открыты и какие из них нужно фильтровать.
 Сетевой брандмауэр - отличный инструмент для смягчения последствий, но он не поможет вам полностью настроить правила фильтрации (некоторые делают, но они не всегда предлагают наиболее точную и безопасную конфигурацию), а также не просветит вас по всем вопросам безопасности потребности запущенных системных служб.
 Когда вы читаете технические блоги, руководства и другие ресурсы, касающиеся сканирования портов и открытых портов, вы, вероятно, получите много предложений о том, как  закрывает открытые порты . Но откуда берутся эти предложения? Неужели нужно закрывать все открытые порты? Все ли открытые порты свидетельствуют об активных уязвимостях?
 Давай узнаем.
 Что такое открытый порт? 
 Всякий раз, когда мы говорим «порт», это может быть связано с двумя понятиями: дыра, расположенная сзади или сбоку любого сетевого устройства, такого как порт Ethernet, или, когда это связано с IP-адресами и интернет-сервисами, мы: Мы говорим о  виртуальных портах , которые могут быть «открытыми» (используемыми) или «закрытыми» (свободными).
 Интернет-серверы включают множество работающих служб; например, HTTP-сервер, который позволяет просматривать страницу securitytrails.com, или почтовый сервер, который позволяет людям отправлять и получать электронную почту. С другой стороны, разработчики используют протоколы передачи файлов, такие как FTPS или классический SSH, для запуска зашифрованных туннелей между компьютерами, которые используются для обмена информацией между хостами.
 И здесь на помощь приходит концепция «порта». Порт - это, по сути, способ помочь системам идентифицировать, устанавливать и передавать данные от одной стороны к другой.
 Порты обозначены номерами. Например, если порт открыт (используется), он может прослушивать любой номер в диапазоне 1-65535. Верно, существует 65 535 возможных портов, которые можно назначить любым службам.
 И когда вы устанавливаете операционную систему на свой настольный ПК или на любую виртуальную машину - и вы устанавливаете, скажем, Nginx или Exim - порт будет необходим для того, чтобы этот демон (служба) был готов принимать и отправлять данные через сеть.
 Если порт работает на определенном номере, вы не можете запускать другие службы на этом же порте.Например, запуск Apache после того, как вы уже запустили Nginx на порту 80, приведет к сбою операции, поскольку порт уже используется.
 Знайте, что всякий раз, когда вы просматриваете страницу, вы подключаетесь к порту 80 (для HTTP) или 443 (для запросов на основе HTTPS), или всякий раз, когда вы запрашиваете информацию с удаленного SSH-сервера, вы, вероятно, будете делать это через порт 22.
 Как видите, открытые порты помогают сетевым устройствам и операционным системам взаимодействовать друг с другом и передавать правильную информацию надлежащим образом.
 Закрытые порты, с другой стороны, - это просто порты, которые больше не прослушивают никакие службы. Если вы выполните «остановку службы nginx», вы закроете все установленные соединения, и ни одно из них не сможет получить доступ к вашему сайту, пока вы не «запустите» (не откроете) его снова.
 Опасны ли открытые порты? 
 Существует распространенное заблуждение, что открытые порты опасны. Многие ИТ-СМИ предлагают вам «закрыть порты», и, хотя это может быть уместно в некоторых сценариях, неверно говорить, что открытые порты опасны.
 Когда мы действительно думаем об этом, мы понимаем, что открытые порты были там с самого начала Интернета. В конце концов, открытые порты - это те, которые помогают вам общаться со своими коллегами, друзьями и семьей по всему стеку сетевых сервисов.
 Таким образом, вместо того, чтобы категорически утверждать, что открытые порты опасны, мы могли бы просто сказать, что неправильно настроенные правила безопасности сервера и сети, наряду с неустановленным и уязвимым программным обеспечением, в конечном итоге приводят компании к эксплуатации служб… и только на определенных портах.
 Это потому, что открытые порты по умолчанию не опасны. Именно то, что мы делаем с открытыми портами на системном уровне, и то, что мы раскрываем для служб и приложений, работающих на этих портах, побуждает людей отмечать их как «опасные» или нет.
 Каковы общие открытые порты? 
 Существует множество сканеров портов, некоторые из которых созданы для этой конкретной задачи, а другие включены в онлайн-инструменты поиска уязвимостей. Независимо от того, как вы их используете, знайте, что сканирование портов   необходимо для обнаружения открытых портов.
 Но какие открытые порты сейчас самые популярные? Взгляните ниже. Это ни в коем случае не исчерпывающий список, а лишь краткий перечень популярных портов, которые можно найти на многих компьютерах, подключенных к сети.
  FTP  - 20, 21 - это порты, используемые во время классического FTP-соединения между клиентом и сервером.
  SSH -22 - это порт сервера OpenSSH, используемый по умолчанию в большинстве установок Unix / Linux.
  Telnet –23 выделен для сервера приложений Telnet, который принимает соединения от любого клиента Telnet.
  SMTP –25 предназначен для ретрансляции сообщений между MTA (агентами передачи почты).
  DNS  - 53 - это место, где работает DNS-сервер, и одним из самых известных демонов, использующих этот порт, является Bind.
  DHCP  - 67, 68: порт 67 используется для DHCP-сервера, а порт UDP 68 для DHCP-клиента.
  HTTP –80 - это порт, назначенный веб-серверам и напрямую связанный с протоколом передачи гипертекста.
  POP3 –110 - это протокол почтового отделения, один из наиболее традиционных протоколов, используемых почтовыми клиентами для получения данных с удаленных почтовых серверов.
  IMAP –143 - порт IMAP по умолчанию для незашифрованных подключений.
  HTTPS –443 - это порт, используемый для обслуживания всех SSL-запросов на любом веб-сайте.
 Какие порты открыты по умолчанию? 
 Это полностью зависит от используемой вами операционной системы, поскольку не все ОС запускают одни и те же службы. Например, в Windows, MacOS и Linux работают разные основные демоны, поэтому порт, открытый на одном, может быть закрыт на другом.
 В нашем блоге о наиболее часто сканируемых портах мы проанализировали наиболее сканируемые порты. Эти данные могут привести к ответу на этот вопрос, но не обязательно, когда речь идет о  открытых по умолчанию портах .
 Список открытых портов по умолчанию может быть огромным в зависимости от ОС, версии или дистрибутива. Например, на веб-сайтах MacOS указано, что существует около 132 портов, которые потенциально могут использоваться во многих их службах Apple.
 В других случаях список открытых портов по умолчанию может быть сокращен до нуля.
 В нашем тестировании запуск полного сканирования Nmap образа Ubuntu приводит к обнаружению следующих открытых по умолчанию портов:
  root @ securitytrails-ubuntu: ~ # nmap -p 1-65535 локальный хост
Запуск Nmap 7.60 (https://nmap.org) в 2019-12-03 19:11 UTC
Отчет о сканировании Nmap для localhost (127.0.0.1)
Хост работает (задержка 0,0000030 с).
Не показано: 65534 закрытых порта
ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА
22 / TCP открыть SSH

Выполнено Nmap: 1 IP-адрес (1 хост включен) просканирован за 6,54 секунды
корень @ securitytrails-ubuntu: ~ #  
 Как видите, по умолчанию все Ubuntu 18.В образах x DigitalOCean, используемых для создания капель, по умолчанию включен SSH, работающий на порту 22, что логично, поскольку в противном случае у вас не было бы возможности подключиться к серверу.
 С другой стороны,
 CentOS по умолчанию имеет три открытых порта, как показано на следующем снимке экрана:
 Как мне узнать, какие порты открыты в моей сетевой инфраструктуре? 
 Первым ответом на основные вопросы сканирования портов всегда является Nmap.
 Чтобы просканировать локальную машину, вы можете сделать это, введя следующую команду:
  nmap -p 1-65535 локальный хост 
 Если вы хотите запустить сканирование любой другой удаленной сети, вы можете сделать это, используя:
  nmap -p 1-1024 X.X.X.X 
 (где «X.X.X.X» - удаленный IP-адрес, на который вы хотите настроить таргетинг.)
 От 1 до 65535, вы можете сканировать любой диапазон, который вам нужен, но имейте в виду, что увеличение диапазона займет больше времени.
 Если вы хотите просканировать самые популярные порты, вы можете сделать это, используя следующий синтаксис:
  nmap - топ-порты 20 X.X.X.X 
 (где «20» - это количество популярных портов, на которые вы хотите настроить таргетинг.)
 Пример вывода:
  [исследование @ securitytrails.com ~] # nmap --top-ports 20 локальный хост
Запуск Nmap 7.70 (https://nmap.org) в 2019-12-03 16:24 -03
Отчет о сканировании Nmap для localhost (127.0.0.1)
Хост работает (задержка 0,000031 с).
Другие адреса для localhost (не проверяются): :: 1
ПОРТОВАЯ ГОСУДАРСТВЕННАЯ СЛУЖБА
21 / tcp закрытый ftp
22 / TCP закрытый ssh
23 / tcp закрытый телнет
25 / tcp закрытый smtp
53 / tcp закрытый домен
80 / tcp закрыт http
110 / tcp закрытый pop3
111 / tcp закрыто rpcbind
135 / tcp закрыто msrpc
139 / tcp закрыт netbios-ssn
143 / tcp закрытый imap
443 / tcp закрыт https
445 / tcp закрыто microsoft-ds
993 / tcp закрытые изображения
995 / tcp закрытые pop3
1723 / tcp закрытый pptp
3306 / tcp закрыл mysql
3389 / tcp закрыт ms-wbt-server
5900 / tcp закрытый vnc
8080 / tcp закрыл http-прокси
Выполнено Nmap: 1 IP-адрес (1 хост включен) просканирован в 0.50 секунд
[[email protected] ~] #  
 Однако Nmap - это инструмент для терминала, поэтому он полезен только для настоящих гиков!
 Если вы хотите переключиться на веб-инструмент, который работает как для гуру терминалов, так и для обычных ИТ-пользователей, вам может быть интересно узнать реальную мощь функций сканирования портов SurfaceBrowser ™.
  SurfaceBrowser ™  - одна из наиболее полных утилит информационной безопасности, доступных для создания полной сводки OSINT обо всех ваших интернет-ресурсах.Это поможет вам узнать, сколько информации вы раскрываете как на поверхности Интернета, так и в теневых данных, за кулисами.
 Наш инструмент OSINT мгновенно предоставит вам все данные открытого порта без ожидания или ручного сканирования. Это все есть.
 Давайте посмотрим, насколько легко определить, какие открытые порты доступны для любого данного доменного имени. В этом примере мы проверим все доступные открытые порты для доменного имени linode.com.
 Как видите, мы нашли много интересной информации, в том числе 9 открытых портов для всех *.linode.com хостов:
 22 - Защитная оболочка (SSH)
 80 - Протокол передачи гипертекста (HTTP)
 443 - Протокол передачи гипертекста через TLS / SSL (HTTPS)
 21 - FTP
 6379 - Redis
 11211 - memcached
 9200 - WSP
 5984 - Сервер базы данных CouchDB
 990 - протокол FTPS
 Здесь много открытых портов, включая важные службы, такие как SSH, Memcached, FTP и другие.
 Открытые порты найдены на поддоменах 
 Одно из основных направлений деятельности исследователей безопасности и тестеров на проникновение - перечисление DNS.Это часто используется для поиска поддоменов и создания цифровой карты всей вашей онлайн-инфраструктуры.
 Затем они обычно сканируют порты, ждут результатов и просматривают все данные сопоставления и сканирования портов, теряя много времени на исследования и тесты.
 SurfaceBrowser ™ позволяет получить доступ к полной карте DNS любого доменного имени, включая все поддомены, а также к точному количеству открытых портов на каждом хосте и сводке, которая позволяет быстро переключаться между всей информацией:
 Использование виджета «Сводка по открытым портам» сэкономит вам драгоценное время при поиске важной информации о вашей собственной инфраструктуре или при расследовании деятельности сторонней компании.
 Сводка 
 Порты всегда являются одной из первых дверей, в которые атакуют злоумышленники. Если они обнаружены открытыми, они могут стать реальной угрозой, если службы, которые вы используете, не защищены должным образом с точки зрения сети, операционной системы и приложений.
 Если вы работаете в веб-компании, одной из ваших первоочередных задач будет оставаться на вершине открытых портов до того, как к ним дойдут злоумышленники. Это дает вам отличное преимущество при проверке, укреплении и закрытии ненужных портов, чтобы уменьшить площадь вашей атаки.
 Не теряйте больше времени. Получите полный доступ к самому эффективному сканеру портов и инструменту сопоставления DNS: изучите SurfaceBrowser ™ или закажите демоверсию у нашего отдела продаж сегодня!
 ЭСТЕБАН БОРДЖ
 Эстебан - опытный исследователь и специалист по кибербезопасности с более чем 15-летним опытом. С момента присоединения к SecurityTrails в 2017 году он был нашим специалистом по технической безопасности серверов и информации об источниках.
 Откройте порты и направьте трафик через брандмауэр 
 В идеале большинство локальных сетей защищены от внешнего мира. Если вы когда-либо пробовали установить службу, такую ​​как веб-сервер или экземпляр Nextcloud дома, то, вероятно, из первых рук знаете, что, хотя к службе легко получить доступ изнутри сети, она недоступна во всем мире. Интернет.
 Для этого есть как технические причины, так и причины безопасности, но иногда вы хотите открыть доступ к чему-либо в локальной сети для внешнего мира.Это означает, что вам необходимо правильно и безопасно направлять трафик из Интернета в локальную сеть. В этой статье я объясню, как это сделать.
 Локальные и общедоступные IP-адреса 
 Первое, что вам нужно понять, - это разница между адресом локального интернет-протокола (IP) и общедоступным IP-адресом. В настоящее время большая часть мира (все еще) использует систему адресации под названием IPv4, которая, как известно, имеет ограниченный пул номеров, доступных для назначения сетевым электронным устройствам.Фактически, в мире больше сетевых устройств, чем адресов IPv4, но IPv4 продолжает функционировать. Это возможно из-за локальных адресов.
 Все локальные сети в мире используют  одинаковых пула адресов . Например, локальный IP-адрес моего домашнего маршрутизатора - 192.168.1.1. Один из них, вероятно, совпадает с номером вашего домашнего маршрутизатора, но когда я перехожу к 192.168.1.1, я попадаю на экран входа в систему на моем маршрутизаторе  , а не на  на экране входа вашего маршрутизатора .Это потому, что ваш домашний маршрутизатор на самом деле имеет два адреса: один общедоступный и один локальный, а общедоступный защищает локальный от обнаружения в Интернете, а тем более от того, чтобы его можно было спутать с чужим 192.168.1.1.
 Фактически, поэтому Интернет и называют Интернетом: это «паутина» взаимосвязанных и автономных сетей. Каждая сеть, будь то ваше рабочее место, или ваш дом, или ваша школа, или большой центр обработки данных, или само «облако», представляет собой набор подключенных хостов, которые, в свою очередь, обмениваются данными со шлюзом (обычно маршрутизатором), который управляет трафиком из Интернет и в локальную сеть, а также из локальной сети в Интернет.
 Это означает, что если вы пытаетесь получить доступ к компьютеру в сети, которая не является той, к которой вы в данный момент подключены, то знание локального адреса этого компьютера вам не поможет. Вам необходимо знать публичный  адрес  шлюза удаленной сети. И это еще не все. Вам также необходимо разрешение на проход через этот шлюз в удаленную сеть.
 Межсетевые экраны 
 В идеале, даже сейчас вокруг вас должны быть брандмауэры. Вы их не видите (надеюсь), но они там.С точки зрения технологий, брандмауэры имеют забавное название, но на самом деле они немного скучные. Брандмауэр - это просто компьютерная служба (также называемая «демоном»), подсистема, которая работает в фоновом режиме большинства электронных устройств. На вашем компьютере работает множество демонов, в том числе, например, отслеживающий движения мыши или трекпада. Брандмауэр - это демон, запрограммированный на прием или запрещение определенных видов сетевого трафика.
 Межсетевые экраны - это относительно небольшие программы, поэтому они встроены в большинство современных устройств.Они работают на вашем мобильном телефоне, на вашем маршрутизаторе и на вашем компьютере. Брандмауэры разработаны на основе сетевых протоколов, и это часть спецификации разговора с другими компьютерами о том, что пакет данных, отправленный по сети, должен объявлять определенные фрагменты информации о себе (или быть проигнорированным). Одна вещь, которую содержат сетевые данные, - это номер порта , номер , который является одной из основных вещей, которые брандмауэр использует при приеме или отклонении трафика.
 Например,
 веб-сайтов размещены на веб-серверах.Когда вы хотите просмотреть веб-сайт, ваш компьютер отправляет сетевые данные, идентифицируя себя как трафик, предназначенный для порта 80 веб-хоста. Брандмауэр веб-сервера запрограммирован на прием входящего трафика, предназначенного для порта 80, поэтому он принимает ваш запрос (а веб-сервер, в свою очередь, отправляет вам веб-страницу в ответ). Однако, если бы вы отправили (случайно или намеренно) сетевые данные, предназначенные для порта 22 этого веб-сервера, вам, скорее всего, будет отказано в брандмауэре (и, возможно, заблокировано на некоторое время).
 Это может быть странная концепция для понимания, потому что, как и IP-адреса, порты и брандмауэры на самом деле не «существуют» в физическом мире. Это концепции, определенные в программном обеспечении. Вы не можете открыть свой компьютер или маршрутизатор, чтобы физически проверить сетевые порты, и вы не можете посмотреть на число, напечатанное на чипе, чтобы найти свой IP-адрес, и вы не можете окунуть свой брандмауэр в воду, чтобы его погасить. Но теперь, когда вы знаете, что эти концепции существуют, вы знаете, какие препятствия возникают при переходе с одного компьютера в одной сети на другой в другой сети.
 А теперь пора обойти эти блокады.
 Ваш IP-адрес 
 Я предполагаю, что у вас есть контроль над собственной сетью, и вы пытаетесь открыть свои собственные брандмауэры и направить собственный трафик, чтобы разрешить внешний трафик в вашу сеть. Во-первых, вам нужны локальный и общедоступный IP-адреса.
 Чтобы найти свой локальный IP-адрес, вы можете использовать команду адреса  ip  в Linux:
 
 $ ip адрес показать | grep "inet" 
 inet 127.0.0.1/8 область видимости хоста lo 
 inet 192.168.1.6/27 brd 10.1.1.31 область [...] 
 
 В этом примере мой локальный IP-адрес 192.168.1.6. Другой адрес (127.0.0.1) - это специальный адрес "обратной связи", который ваш компьютер использует для обращения к себе изнутри.
 Чтобы найти свой локальный IP-адрес в macOS, вы можете использовать  ifconfig :
 
 $ ifconfig | grep "inet" 
 inet 127.0.0.1 netmask 0xff000000 
 inet 192.168.1.6 netmask 0xffffffe0 [...] 
 
 А в Windows используйте  ipconfig :
  $ ipconfig  
 Получите общедоступный IP-адрес вашего маршрутизатора на icanhazip.com. В Linux вы можете получить это с терминала с помощью команды curl:
 
 $ curl http://icanhazip.com 
 93.184.216.34 
 
 Держите эти номера под рукой на будущее.
 Направление трафика через маршрутизатор 
 Первое устройство, которое необходимо настроить, - это устройство шлюза. Это может быть большой физический сервер или крошечный маршрутизатор. В любом случае шлюз почти наверняка выполняет преобразование сетевых адресов (NAT), то есть процесс приема трафика и изменения IP-адреса назначения.
 Когда вы генерируете сетевой трафик для просмотра внешнего веб-сайта, ваш компьютер должен отправлять этот трафик на шлюз вашей локальной сети, потому что ваш компьютер, по сути, ничего не знает о внешнем мире. Насколько ваш компьютер знает, весь Интернет - это просто ваш сетевой маршрутизатор, 192.168.1.1 (или любой другой адрес вашего маршрутизатора). Итак, ваш компьютер отправляет все на ваш шлюз. Работа шлюза - смотреть на трафик и определять, куда  на самом деле направляется , а затем пересылать эти данные в реальный Интернет.Когда шлюз получает ответ, он пересылает входящие данные обратно на ваш компьютер.
 Если ваш шлюз представляет собой маршрутизатор, то для того, чтобы открыть доступ к вашему компьютеру внешнему миру, вы должны назначить порт на вашем маршрутизаторе, который будет представлять ваш компьютер. Это настраивает ваш маршрутизатор для приема трафика на определенный порт и направления всего этого трафика прямо на ваш компьютер. В зависимости от марки маршрутизатора, который вы используете, этот процесс имеет несколько разных имен, включая переадресацию портов или виртуальный сервер, а иногда даже настройки брандмауэра.
 Все устройства разные, поэтому я не могу точно сказать, что вам нужно щелкнуть, чтобы изменить настройки. Обычно вы получаете доступ к домашнему маршрутизатору через веб-браузер. Адрес вашего маршрутизатора иногда печатается в нижней части маршрутизатора и начинается с 192.168 или 10.
 Перейдите по адресу вашего маршрутизатора и войдите в систему, используя учетные данные, которые вы предоставили при подключении к Интернету. Часто это просто  admin  с числовым паролем (иногда этот пароль также печатается на маршрутизаторе).Если вы не знаете логин, позвоните своему интернет-провайдеру и узнайте подробности.
 В графическом интерфейсе перенаправьте входящий трафик для одного порта на порт (обычно самый простой) локального IP-адреса вашего компьютера. В этом примере я перенаправляю входящий трафик, предназначенный для порта 22 (используемого для SSH-соединений) моего домашнего маршрутизатора, на мой настольный компьютер.
 Вы можете перенаправить любой порт, который хотите. Например, если вы размещаете веб-сайт на запасном компьютере, вы можете перенаправить трафик, предназначенный для порта 80 вашего маршрутизатора, на порт 80 хоста вашего веб-сайта.
 Направление трафика через сервер 
 Если ваш шлюз является физическим сервером, вы можете направлять трафик с помощью firewall-cmd. Используя опцию  rich rule , вы можете настроить сервер для прослушивания входящего запроса по определенному адресу (вашему общедоступному IP-адресу) и конкретному порту (в этом примере я использую 22, который является портом, используемым для SSH), а затем направьте этот трафик на IP-адрес и порт в локальной сети (локальный адрес вашего компьютера).
 
 $ firewall-cmd --permanent --zone = public \ 
 --add-rich-rule 'rule family = "ipv4" destination address = "93.184.216.34 "forward-port port = 22 protocol = tcp to-port = 22 to-addr = 192.168.1.6 '
 
 Установите брандмауэр 
 Большинство устройств имеют брандмауэры, поэтому вы можете обнаружить, что трафик не может пройти на ваш локальный компьютер даже после того, как вы перенаправили порты и трафик. Возможно, есть брандмауэр, блокирующий трафик даже в вашей локальной сети. Брандмауэры предназначены для обеспечения безопасности вашего компьютера, поэтому не поддавайтесь желанию полностью отключить брандмауэр (за исключением устранения неполадок).Вместо этого вы можете выборочно разрешить трафик.
 Процесс изменения персонального брандмауэра зависит от вашей операционной системы.
 В Linux уже определено множество служб. Посмотреть доступные:
 
 $ sudo firewall-cmd --get-services 
 amanda-client amanda-k5-client bacula bacula-client 
 bgp bitcoin bitcoin-rpc ceph cfengine condor-collector 
 ctdb dhcp dhcpv6 dhcpv6-client dns elasticsearch 
 ftpa-client dns elasticsearch 
 ftpa-freeipa-client [...] ssh Steam-streaming svdrp [...] 
 
 Если служба, которую вы пытаетесь разрешить, присутствует в списке, вы можете добавить ее в свой брандмауэр:
  $ sudo firewall-cmd --add-service ssh --permanent  
 Если вашей службы нет в списке, вы можете добавить порт, который хотите открыть вручную:
  $ sudo firewall-cmd --add-port 22 / tcp --permanent  
 Открытие порта в брандмауэре зависит от вашей текущей зоны  . Дополнительные сведения о брандмауэрах, firewall-cmd и портах см. В моей статье  Сделайте Linux сильнее с помощью брандмауэров  и загрузите нашу памятку по брандмауэрам для быстрого ознакомления.
 Этот шаг касается только открытия порта на вашем компьютере, чтобы трафик, предназначенный для него через определенный порт, принимался. Вам не нужно перенаправлять трафик, потому что вы уже сделали это на своем шлюзе.
 Подключите 
 Вы настроили шлюз и локальную сеть для маршрутизации трафика за вас.