Открыт порт: Проверка порта

Содержание

Проверить открыт ли порт, командой telnet

Понятие порта компьютера

У каждого сетевого адреса есть так называемое виртуальное дополнение, он же порт, позволяющий разделять запросы от различных программ, а также самостоятельно их редактировать. Частично порты заняты службами установленной операционной системы, оставшиеся могут быть использованы дополнительными приложениями, например, запущенными через удаленные сервера.

Существует несколько особенностей у портов:

  • Если сложить все порты, то получается весьма впечатляющая сумма — 65 535! У каждого порта есть своя функция: 20 и 21 обычно указывают при FTP подключении, POP3 использует 110 для почтовых соединений.
  • В сочетании IP-адрес и порт называют сокетом, с помощью него передаются данные программой.
  • По сути порты имеют вид разъемов материнской платы, если необходимо подключить физические устройства, однако их легко перепутать с таковыми, если речь идет о виртуальном подключении.

Прежде чем подключиться к порту, необходимо проверить его доступность. Свободный порт не будет препятствовать соединению с ним. Если же порт занят, будет выдаваться ошибка ОС. Зачастую приходится производить ручную проверку портов, но есть ряд программ, которые делают это автоматически путем подмены номеров во время поиска свободного подключения.

Способы проверки доступности порта

Выделяют следующие способы, по которым можно понять, что порт открыт:

  1. По онлайн-сервисам, специализирующихся на проверке портов;
  2. По дополнительным приложениям, которые запускаются на устройстве;
  3. По утилитам, которые встроены в ОС.

В зависимости от того, какая стоит задача, выбирается и способ проверки. Например, необходимо обеспечить внешнюю доступность до личного устройства, в таком случае подойдет проверка через сервисы 2ip.ru или portscan.ru. Если проводятся локальные работы, можно проверить утилитой Telnet через терминал/консоль/командную строку ПК или приложением Portforward Network.

Открытые порты на локальном компьютере

Наличие открытых портов на личном ПК прямой показатель небезопасности и рисков потери регулирования ситуации. Это прямой тоннель, по которому просачиваются всякие вирусы. Их целью является предоставление доступа злоумышленникам к ПК без ведома владельцев.

Как проверить, что порт закрыт? Это достаточно просто. Зажимается сочетание клавиш Win + R, далее вводится команда CMD, нажимается Enter и затем вводится команда netstat -a. Повторно нажимается Enter. В командной строке будет предоставлен список занятых портов и служб, которые ими управляют. Этот способ предоставляет более объективные данные, в отличие от онлайн-сервисов, по которым открытые порты практически не обнаруживаются. Такую иллюзию создает брандмауэр, который блокирует внешние запросы ПО.

При необходимости выгрузки сторонних программ, сделать это можно с помощью команды netstat -a >name.txt (где name.txt — это название выгружаемого файла). Там где запускалась данная утилита и сохраняется файл со списком.

Как посмотреть открытые порты на удаленном ПК

В случае необходимости проверки открытых портов на удаленном компьютере, можно использовать утилиту Telnet. В большинстве случаев надо будет активировать ее, поскольку не везде она включена априори. Сделать это можно либо в командной строке/консоли, либо в графическом интерфейсе. Рассмотрим на примере ОС Windows.

Вводится специальная команда под правами админа:

dism /online /Enable-Feature /FeatureName:TelnetClient

В графическом интерфейсе это можно сделать в панели управления «Удаление программы». Далее кликнуть «Включение или отключение компонентов Windows» и поставить галку в строке «Telnet». После сохранения активация будет завершена и утилитой можно будет пользоваться.

Команду Telnet используют с разными опциями, которые можно найти при вводе telnet —help или man telnet с подробной расшифровкой для чего каждая предназначена. Самый простой способ — ввести команду telnet и далее хост. В качестве хоста выступает доменное имя или IP-адрес.

При появлении сообщения о сбое подключения, сразу можно понять, что порт закрыт. Если же он открыт, будет либо пустая строка, либо потребуется ввести логин и пароль сервера.

Таким образом мы рассмотрели все варианты проверки статуса портов. Можете выбрать любой подходящий для вас и успешно продолжать работу

Дальний Восток 6 декабря. Открыт порт Нагаево, ныне морской порт Магадан

Нагаевский порт, 1959. Фото: из открытых источников

Дальний Восток 6 декабря.»Этот день в истории».

6 декабря 1896 г. состоялось открытие Сахалинского музея в посту Александровском

Музей был создан по инициативе сахалинской интеллигенции, политических ссыльных и каторжных. Большая заслуга в его создании принадлежит военному губернатору Сахалина В. Д. Мерказину — под музей было отдано одно из лучших зданий, в котором размещалась канцелярия губернатора, рядом с церковью в центре поста Александровского. Сахалинский музей стал одним из первых научных учреждений острова, изучавшим его природу и историю. Во время Русско-японской войны 1904–1905 гг. все экспонаты музея были вывезены в Японию. После заключения Портсмутского мирного договора в 1905 г. музей был восстановлен. Во время оккупации Северного Сахалина японскими войсками в 1920–1925 гг. музей снова прекратил своё существование.

Музей в п. Александровском. Фото: из открытых источников

После восстановления в 1925 г. на Северном Сахалине советской власти была проведена работа по воссозданию музея, завершившаяся его открытием в 1932 г. В 1955 г. Александровский городской краеведческий музей был закрыт, а все фонды переданы Сахалинскому областному краеведческому музею в г. Южно-Сахалинске, ставшему его преемником. В 1978 г. в Александровске-Сахалинском был открыт филиал областного краеведческого музея. Ныне в фондах музея содержится свыше 200 тыс. предметов и коллекций по природе, истории и культурному наследию народов Сахалина.

6 декабря 1933 г. открыт порт Нагаево, ныне морской порт Магадан

Строительство Магаданского порта началось в 1932 году. В 1933 г. была организована специальная контора под названием «Строительство порта в бухте Нагаева». Она приступила к возведению первого ряжа (деревянного причала) на северном берегу бухты. 6 декабря 1933 г. первый причал Нагаевского порта был открыт швартовкой парохода «Уэлен». В 1935 г. был сдан второй причал морского порта. В 1977 г. порт Нагаево был переименован в Магаданский морской торговый порт. В 1993 г. Магаданский порт открыт для международного морского грузового и пассажирского сообщения. В 2009 г. установлены границы порта Магадан, порт внесён в реестр морских портов России. Ныне в порту имеется 13 причалов, из них три — для нефтепродуктов, два — для контейнеров, и восемь — для других грузов. 

Магаданский морской торговый порт, 1988. Фото: из открытых источников

Порты ВМ — VK Cloud Solutions

Порт — виртуальная сетевая карта инстанса, содержащая IP адрес, DNS имя и группы безопасности.

Операции с портами можно выполнять в личном кабинете VK CS и в Openstack CLI.

Просмотр портов

В личном кабинете VK CS возможен просмотр существующих портов приватных сетей. Для этого нужно перейти на страницу «Сети» раздела «Виртуальные сети», выбрать требуемую сеть, затем открыть подсеть.

На вкладке «Порты» показана подсеть, подключенная к интернет (видны порты маршрутизатора: SNAT, INTERFACE_DISTRIBUTED) и с включенным DHCP (адрес порта DHCP также является адресом приватного DNS сервера).

Добавление портов

В панели VK CS добавление порта (сетевого подключения) к виртуальной машине производится выбором опции «Добавить подключение» на вкладке «Информация о сетях» страницы инстанса:

В параметрах добавляемого подключения необходимо заполнить поля:

ПараметрОписание
Сеть для подключенияВыбор внешней (ext-net) или приватной сети для подключения к инстансу. Также возможно создание новой сети в проекте.
DNS-имяВвод DNS-имени порта, требуется при использовании приватного DNS. Появляется при выборе приватной сети.
Задать IP адресУстановка элемента позволяет задать инстансу определенный адрес в приватной сети.
Настройки firewallВыбор правил групп безопасности, назначаемых на порт.

После сохранения сетевой интерфейс будет добавлен к инстансу, дополнительно потребуется настройка сети в операционной системе инстанса.

Редактирование и удаление портов

Редактирование или удаление существующих портов доступно в контекстном меню порта на вкладке «Порты»:

Операции с портами можно выполнять в клиенте OpenStack:

Добавить сеть к инстансу:

openstack server add network <ID сервера> <ID сети>

Просмотреть список портов виртуальной машины:

openstack port list --server <ID сервера>

Получить данные порта:

openstack port show <ID порта>

Изменить параметры порта:

openstack port set <аргумент> <ID порта>
  • —dns-name — DNS имя порта
  • —description — произвольное описание
  • —enable/disable — включение/отключение порта (выключенный порт не пропускает трафик)
  • —name — название порта
  • —fixed-ip — назначение указанный адрес из подсети
  • —security-group — назначение группы безопасности на порт
  • —allowed-address — указание доверенного списка адресов исходящего трафика

Удалить порт:

openstack port delete <ID порта>

Порты, используемые ArcGIS Server—ArcGIS Enterprise

ArcGIS Server использует определенные порты для связи с другими компьютерами. Ниже приведены описания портов, которые вам может потребоваться разрешить в брандмауэре.

HTTPS – порт 6443

ArcGIS Server по умолчанию работает только через порт 6443. Убедитесь, что в брандмауэре разрешена связь через HTTP на этом порту. Если вы не отключили прямой административный доступ (используя вместо этого перенаправление трафика через ArcGIS Web Adaptor), пользователи могут получать доступ к серверу через порт 6443.

HTTP-порт 6080

По умолчанию, ArcGIS Server поддерживает связь только по протоколу HTTPS, связь через порт 6080 не разрешена. Администраторы могут изменить эту настройку в ArcGIS Server Administrator Directory, чтобы разрешить связь по протоколу HTTP через порт 6080, но этот вариант считается менее надежным.

Если вы установите свое развертывание, используя ArcGIS Enterprise Builder, мастер настройки сначала откроет порт 6080, а затем переключится на использование HTTPS через порт 6443. При установке ArcGIS Server своими силами Server Manager автоматически открывается через порт 6443.

Порт 6006

Этот порт используется ArcGIS Server для внутренних процессов. Вы должны держать его открытым, и он не должен использоваться другими приложениями или программами. В отличие от других портов, описанных ниже, ArcGIS Server не может автоматически перейти на другой порт, если не открыт порт 6006.

Порты внутреннего использования (1098, 6006, 6099, другие)

Порты 1098, 6006, 6099 и другие произвольные порты используются ArcGIS Server для запуска процессов на каждом компьютере ArcGIS Server. Вам не обязательно открывать эти порты для доступа других компьютеров; тем не менее, вы должны знать, что ArcGIS Server использует их в случае, если вы будете запускать какие-либо приложения, для которых необходимы эти порты.

Если в процессе установки ArcGIS Server будет выявлено, что какой-либо из этих портов используется, число используемых портов будет автоматически увеличено. Например если будет обнаружено, что какое-либо приложение использует порт 1098, программа установки задействует порт 1099, если он свободен.

При установке ArcGIS Server на компьютере сервера избегайте блокирование внутреннего обмена данными на этом компьютере с помощью брандмауэра.

Если создание сайта блокируется правилами брандмауэра (о чем обычно говорит появляющееся сообщение об ошибке Не удалось создать сервис ‘System/CachingTools.GPServer’), можно настроить брандмауэр так, чтобы он явно разрешал процессы ArcGIS Server. Например, используя Windows Firewall, можно добавить новые правила, позволяющие выполнение следующих четырех программ:

  • <Директория установки ArcGIS Server>\bin\ArcSOC.exe
  • <Директория установки ArcGIS Server>\framework\etc\service\bin\ArcGISServer.exe
  • <Директория установки ArcGIS Server>\framework\runtime\jre\bin\javaw.exe
  • <Директория установки ArcGIS Server>\framework\runtime\jre\bin\rmid.exe

Учетная запись Windows, под которой запускается ArcGIS Server, должна также иметь доступ к командной строке.

Этот компонент является только одной частью развертывания ArcGIS Enterprise. В разделе Системные требования ArcGIS Enterprise см. схему и ссылки на информацию о портах, необходимых для взаимодействия с другими компонентами портала Enterprise.

Порты, используемые ArcGIS GeoAnalytics Server

При развертывании ArcGIS Server как ArcGIS GeoAnalytics Server, порты 12181, 12182, 12190, 56540-56545 и 7077 также будут использоваться для обмена данными между компьютерами.

Этот компонент является только одной частью развертывания ArcGIS Enterprise. В разделе Системные требования ArcGIS Enterprise см. схему и ссылки на информацию о портах, необходимых для взаимодействия с другими компонентами портала Enterprise.

Узнать, открыт порт в Linux или закрыт

Есть несколько способов проверить, открыт или закрыт определенный порт, особенно в Linux, первый из которых — использовать популярную программу Netcat, которая предустановлена ​​во всех дистрибутивах, поэтому очень хороший способ узнать, открыт ли порт. open Это делается путем непосредственной проверки с помощью программы Nmap, которая позволяет нам сканировать все порты определенного хоста. Наконец, если мы хотим знать, есть ли у нас открытый или закрытый порт, нам нужно будет посмотреть на него в брандмауэре, а также в текущих подключениях операционной системы.

Показать открытые порты с Netcat

Netcat — это инструмент, который по умолчанию входит в большинство дистрибутивов Linux, поэтому, помимо того, что он очень прост в использовании, нам не нужно устанавливать никаких дополнительных пакетов. Прежде чем проверять с помощью Netcat, открыт ли порт, давайте посмотрим на две наиболее важные настройки Netcat:

  • z — это параметр, который гарантирует, что в конце проверки соединение будет закрыто или, в противном случае, программа будет продолжать работать в цикле до тех пор, пока мы вручную не завершим ее с помощью control + C, точно так же, как пинг в Linux.
  • v — параметр, который проверяет, открыт порт или закрыт.

Чтобы проверить порт, нам нужно ввести в терминал следующее:

nc -zv {IP} {PUERTO}

Например, чтобы проверить порт 443 на нашем роутере мы наберет:

nc -zv 192.168.10.1 443

На следующем изображении вы можете увидеть, как открывается этот порт:

Если мы протестируем сайт RedesZone и порт 443, мы получим аналогичную информацию:

В случае, если он закрыт, мы должны указать это:

Как вы видели, очень легко проверить, открыт или закрыт порт, с помощью Netcat, очень простой утилиты, которая предустановлена ​​в Linux. В дополнение к командам «z» и «v» у нас также есть другие доступные аргументы, которые позволят нам узнать больше информации. Если мы запустим следующую команду, появится справка:

nc -h

Как видите, у нас много аргументов в пользу расширения функциональности.

Показать открытые порты с помощью Nmap

Nmap — это программа, которая по преимуществу обнаруживает хосты, а также проверяет, открыты ли разные порты. Эта программа не предустановлена ​​в операционных системах Linux, но ее можно установить непосредственно из репозиториев в следующем порядке:

sudo apt install nmap

После установки, чтобы узнать, открыт ли конкретный порт, вы должны ввести следующую команду:

nmap -p {PUERTO} {IP}

На следующем изображении вы можете увидеть, как будет выглядеть открытый порт:

Если порт закрыт или отфильтрован брандмауэром, появится:

Если мы хотим просканировать все порты определенного хоста или диапазона портов, нам нужно будет указать диапазон портов следующим образом:

nmap -p {PUERTO}-{PUERTO} {IP}

Например:

nmap -p 1-65535 192.168.10.1

Как видите, проверить открытые порты с помощью Nmap очень просто, кроме того, мы сможем сканировать все хосты домашней или рабочей локальной сети, чтобы сканировать различные порты позже.

Проверьте брандмауэр в Linux

Если мы хотим проверить, есть ли у нас открытый порт для приема подключений, первое, что нужно проверить, — это статус брандмауэра в нашей операционной системе Linux. По умолчанию на всех серверах Linux действует разрешающая политика, то есть все пакеты принимаются политикой. Мы можем изменить эту политику на ограничительную и даже добавить новые таблицы, цепочки и правила, чтобы разрешить или запретить трафик.

Если в нашем Linux-терминале мы ставим следующее:

iptables -L

Все цепочки и правила мы получим из таблицы iptables «filter», в случае использования Nftables необходимо указать следующую команду:

nft list ruleset

Очень важная рекомендация по безопасности заключается в том, что все порты на сервере Linux должны быть закрыты, таким образом, когда мы запускаем службу для прослушивания определенного порта, он не будет доступен, если мы не разрешим это в брандмауэре. Нам нужно будет детально проверить, открыт ли тот или иной порт, чтобы наши услуги были доступны из-за границы.

Просмотр статуса TCP- и UDP-подключений

Если нас интересует состояние всех протоколов TCP, UDP, ICMP и других протоколов нашей операционной системы, широко используемым инструментом всегда был netstat, однако этот инструмент вышел на второе место благодаря новому «ss», который легко и быстро предоставит нам большой объем информации. Этот инструмент отвечает за проверку всех открытых или закрытых сокетов на нашем сервере Linux, и мы можем видеть статистику указанных открытых или закрытых сокетов. Если вы использовали инструмент netstat в прошлом, мы уверены, что вам понравится этот новый инструмент «ss».

Инструмент «ss» уже предустановлен в операционных системах Linux как часть самой системы, как и в случае с «ping», «traceroute» и многими другими инструментами. Если мы откроем консоль как в пользовательском режиме, так и в режиме суперпользователя, нам нужно запустить:

ss

Как только мы выполним этот заказ, мы увидим следующее:

Мы увидим статус соединения (ESTAB), а также полученные и отправленные пакеты, локальный адрес и порт, а также удаленный адрес и используемый порт. Мы собираемся использовать большое количество портов для различных программ и служб, которые мы установим в операционной системе.

Если мы хотим видеть состояние всех портов (сокетов), мы можем установить следующий порядок:

ss -a

Если вы хотите видеть только те порты, которые «слушают», вы должны ввести следующую команду:

ss -l

На следующем изображении вы можете увидеть пример «ГОТОВЫ» портов для приема входящих соединений:

В случае, если мы хотим отобразить соединения TCP, нам нужно будет использовать аргумент «-t», а в случае, если мы хотим отобразить соединения UDP, нам нужно будет использовать аргумент «-u».

ss -t
ss -u

Команда «ss» действительно полезна для отображения всех установленных соединений, а также для прослушивания в нашей операционной системе Linux.

Как вы видели, у нас есть разные методы, чтобы узнать, открыт или закрыт порт на удаленном хосте, а также на нашем локальном компьютере, в зависимости от того, что нас интересует, мы будем использовать тот или иной инструмент, наиболее важным из которых является то, что все неиспользуемые порты должны быть закрыты в целях безопасности через брандмауэр, таким образом мы избежим проблем с безопасностью и эксплуатации уязвимостей сервера.

Открытие портов на виртуальную машину с помощью портала Azure — виртуальные машины Azure

  • Статья
  • 3 минуты на чтение
  • 7 участников

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: ✔️ ВМ Linux ✔️ ВМ Windows ✔️ Гибкие масштабируемые наборы

Вы открываете порт или создаете конечную точку для виртуальной машины (ВМ) в Azure, создавая сетевой фильтр в подсети или в сетевом интерфейсе виртуальной машины. Вы помещаете эти фильтры, которые контролируют как входящий, так и исходящий трафик, в группу безопасности сети, присоединенную к ресурсу, который получает трафик.

В примере в этой статье показано, как создать сетевой фильтр, использующий стандартный TCP-порт 80 (предполагается, что вы уже запустили соответствующие службы и открыли все правила брандмауэра ОС на виртуальной машине).

После создания виртуальной машины, настроенной для обслуживания веб-запросов через стандартный TCP-порт 80, вы можете:

  1. Создайте группу безопасности сети.

  2. Создайте правило безопасности для входящего трафика, разрешающее трафик, и назначьте значения для следующих параметров:

    • Диапазоны портов назначения : 80

    • Диапазоны исходных портов : * (допускается любой исходный порт)

    • Значение приоритета : введите значение меньше 65 500 и выше по приоритету, чем правило запрета входящих подключений по умолчанию.

  3. Свяжите группу безопасности сети с сетевым интерфейсом или подсетью виртуальной машины.

Хотя в этом примере используется простое правило для разрешения HTTP-трафика, вы также можете использовать группы и правила безопасности сети для создания более сложных сетевых конфигураций.

Войдите в Azure

Войдите на портал Azure по адресу https://portal.azure.com.

Создать группу безопасности сети

  1. Найдите и выберите группу ресурсов для виртуальной машины, выберите Добавить , затем найдите и выберите Группа безопасности сети .

  2. Выбрать Создать .

    Откроется окно Создать группу безопасности сети .

  3. Введите имя для вашей группы безопасности сети.

  4. Выберите или создайте группу ресурсов, затем выберите расположение.

  5. Выберите Создать , чтобы создать группу безопасности сети.

Создать правило безопасности для входящего трафика

  1. Выберите новую группу безопасности сети.

  2. Выберите Правила безопасности для входящих подключений в меню слева, затем выберите Добавить .

  3. При необходимости можно ограничить диапазоны портов Source и Source или оставить значение по умолчанию Any .

  4. При необходимости можно ограничить Destination или оставить значение по умолчанию Any .

  5. Выберите общую службу из раскрывающегося меню, например HTTP .Вы также можете выбрать Custom , если хотите указать определенный порт для использования.

  6. При необходимости измените Приоритет или Имя . Приоритет влияет на порядок применения правил: чем меньше числовое значение, тем раньше применяется правило.

  7. Выберите Добавить , чтобы создать правило.

Свяжите группу безопасности сети с подсетью

Последний шаг — связать группу безопасности сети с подсетью или определенным сетевым интерфейсом.В этом примере мы свяжем группу безопасности сети с подсетью.

  1. Выберите Subnets в меню слева, затем выберите Associate .

  2. Выберите свою виртуальную сеть, а затем выберите соответствующую подсеть.

  3. Когда закончите, выберите OK .

Дополнительная информация

Вы также можете выполнить действия, описанные в этой статье, с помощью Azure PowerShell.

Команды, описанные в этой статье, позволяют быстро направить трафик на виртуальную машину. Группы безопасности сети предоставляют множество замечательных функций и средств детализации для управления доступом к вашим ресурсам. Дополнительные сведения см. в разделе Фильтрация сетевого трафика с помощью группы безопасности сети.

Для высокодоступных веб-приложений рассмотрите возможность размещения виртуальных машин за балансировщиком нагрузки Azure. Балансировщик нагрузки распределяет трафик по виртуальным машинам с группой безопасности сети, обеспечивающей фильтрацию трафика.Дополнительные сведения см. в разделе Балансировка нагрузки виртуальных машин Windows в Azure для создания высокодоступного приложения.

Следующие шаги

В этой статье вы создали группу безопасности сети, создали входящее правило, разрешающее HTTP-трафик через порт 80, а затем связали это правило с подсетью.

Информацию о создании более подробных сред можно найти в следующих статьях:

открытых уязвимостей портов: в чем проблема?

Если вы проводили какие-либо исследования по улучшению сетевой безопасности, вы, вероятно, слышали одно и то же предложение: закройте открытые порты.

Почему это такая распространенная рекомендация? Являются ли уязвимости открытых портов серьезной проблемой? Что вы можете с ними сделать?

Давайте найдем ответы на ваши вопросы об открытом порте.

Что такое открытые порты?

Если вы уже знакомы с технической стороной портов, смело переходите к следующему разделу. Для всех остальных пояснение для непрофессионала:

.

Все коммуникации, которые происходят через Интернет, передаются через порты.Каждый IP-адрес содержит два типа портов, TCP и UDP, и их может быть до 65 535 для любого заданного IP-адреса. Службы, подключенные к Интернету (например, веб-браузеры, почтовые клиенты и службы передачи файлов), используют определенные порты для получения информации.

Для работы любой службы, подключенной к Интернету, должны быть открыты определенные порты. Однако, когда законные службы используются с помощью уязвимостей кода или вредоносные службы внедряются в систему с помощью вредоносных программ, киберпреступники могут использовать эти службы в сочетании с открытыми портами для получения доступа к конфиденциальным данным.

Закрытие неиспользуемых портов равносильно закрытию двери для киберпреступников. Вот почему рекомендуется закрывать любые порты, которые не связаны с известной законной службой.

Что с ними можно сделать?

Системные администраторы могут сканировать и закрывать открытые порты, через которые осуществляется обмен информацией в их сетях.

Для закрытия открытых портов необходимо знать, какие порты на самом деле требуются службам, работающим в сети. Некоторые из них универсальны — например, порт 80 — это порт для веб-трафика (HTTP).Другие зарезервированы конкретными службами.

Как только администратор узнает, какие порты должны оставаться открытыми, он может провести сканирование, чтобы определить открытые порты, которые могут подвергать их системы кибератакам. В Интернете доступно множество бесплатных инструментов, упрощающих процесс сканирования.

Если порт (1) открыт и (2) не связан ни с одной известной службой в сети, его следует немедленно закрыть.

Как вы можете отслеживать открытые порты?

В небольшой сети с относительно небольшим количеством IP-адресов закрытие открытых портов не представляет большой сложности.Однако в больших сетях с постоянным потоком новых устройств мониторинг и управление открытыми портами может занимать очень много времени. Помимо самих портов, следует также отслеживать службы, обменивающиеся информацией через эти порты.

К счастью, поскольку рассматриваемые порты и службы подключены к общедоступному Интернету, их можно сканировать с помощью технологий непрерывного мониторинга, таких как BitSight Security Ratings Platform. BitSight присваивает пользователям буквенную оценку (AF) за уязвимости открытых портов в их сетях.Оценка генерируется автоматически, обновляется ежедневно и отражает эффективность по сравнению с другими организациями в той же отрасли.

Открытие или закрытие портов сервера

Открытие портов сервера для удаленного доступа

ВАЖНО! Открытие доступа к сетевым портам этого приложения представляет серьезную угрозу безопасности. Настоятельно рекомендуется разрешать доступ к этим портам только из доверенных сетей. Если в целях разработки вам нужен доступ из-за пределов доверенной сети, не разрешайте доступ к этим портам через общедоступный IP-адрес.Вместо этого используйте безопасный канал, такой как VPN или туннель SSH. Следуйте этим инструкциям для безопасного и надежного удаленного подключения.

По умолчанию некоторые или все порты облачных серверов AWS закрыты для защиты от внешних атак. В некоторых случаях порты, необходимые для правильной работы определенных приложений, также остаются открытыми по умолчанию.

Если вам нужно получить удаленный доступ к вашему серверу, используя другой порт, вы должны сначала открыть необходимые порты с помощью консоли AWS.Если сервер был запущен с помощью Amazon Lightsail, вместо этого порты следует открывать через панель инструментов Amazon Lightsail.

Использование консоли AWS

ПРИМЕЧАНИЕ. Для серверов, запущенных через панель запуска Bitnami для облака AWS, выберите облачный сервер, который вы хотите изменить, на панели запуска Bitnami и нажмите кнопку «Управление в облачной консоли AWS», чтобы получить доступ к панели управления AWS EC2.

Чтобы открыть другие порты для удаленного доступа, выполните следующие действия:

  • При необходимости используйте селектор региона в правом верхнем углу, чтобы переключиться на регион, в котором был запущен ваш экземпляр.

  • Выберите экземпляр на панели инструментов.

  • В нижней панели щелкните имя группы безопасности, используемой экземпляром.

  • На итоговой странице отобразятся сведения о выбранной группе безопасности. В нижней панели выберите вкладку «Входящие», чтобы отобразить список всех портов, разрешающих входящий трафик.

  • Нажмите кнопку «Редактировать».

  • В появившемся диалоговом окне нажмите кнопку «Добавить правило» и добавьте новое «Пользовательское правило TCP», используя следующие рекомендации:

    • Порт: введите номер порта или диапазон портов, необходимых приложению

      .
    • Источник: используйте «Откуда», чтобы разрешить доступ из любого места, или используйте «Пользовательский IP-адрес» и укажите диапазон IP-адресов

      ПРИМЕЧАНИЕ. Мы рекомендуем разрешать входящие подключения только из известных и надежных диапазонов IP-адресов.Ввод «Где угодно» разрешает доступ любому пользователю в Интернете. Это очень не рекомендуется и может привести к тому, что неизвестные лица получат доступ к вашему приложению и данным.

  • Нажмите кнопку «Сохранить», чтобы сохранить изменения.

В качестве примера просмотрите изображение ниже, на котором показано открытие порта 21 (порт FTP) для доступа.

Ваше правило безопасности вступает в силу немедленно, без перезапуска сервера.

Использование Amazon Lightsail

Чтобы открыть другие порты для удаленного доступа, выполните следующие действия:

  • Войдите в консоль AWS.

  • При необходимости используйте селектор региона в правом верхнем углу, чтобы переключиться на регион, в котором был запущен ваш экземпляр.

  • В меню Amazon Web Services выберите сервис Lightsail и выберите сервер, для которого вы хотите получить учетные данные.

  • На странице сведений о сервере щелкните вкладку «Сеть».

  • В разделе «Брандмауэр» нажмите ссылку «Редактировать правила».

  • Нажмите ссылку «Добавить другое» и добавьте «Пользовательское» приложение, следуя следующим инструкциям:

    • Протокол: Выберите «TCP», «UDP» или «ALL».
    • Диапазон портов: введите номер порта или диапазон портов, необходимый приложению

    ПРИМЕЧАНИЕ. Мы рекомендуем разрешать входящие подключения только из известных и надежных диапазонов IP-адресов. Ввод «Все» разрешает доступ любому пользователю в Интернете.Это очень не рекомендуется и может привести к тому, что неизвестные лица получат доступ к вашему приложению и данным.

  • Щелкните ссылку «Сохранить», чтобы сохранить изменения.

В качестве примера просмотрите изображение ниже, на котором показано открытие порта 21 (порт FTP) для доступа.

Ваше правило безопасности вступает в силу немедленно, без перезапуска сервера.

Закрыть порты сервера и запретить удаленный доступ

ПРИМЕЧАНИЕ. Для серверов, запущенных через панель запуска Bitnami для облака AWS, выберите облачный сервер, который вы хотите изменить, на панели запуска Bitnami, и нажмите кнопку «Управление в облачной консоли AWS», чтобы получить доступ к панели управления AWS EC2.Если сервер был запущен с помощью Amazon Lightsail, вместо этого порты следует изменить с помощью панели управления Amazon Lightsail.

Использование консоли AWS

Чтобы закрыть порт сервера и запретить удаленный доступ к этому порту, выполните следующие действия:

  • Выберите экземпляр на панели инструментов.

  • В нижней панели щелкните имя группы безопасности, используемой экземпляром.

  • На итоговой странице отобразятся сведения о выбранной группе безопасности.В нижней панели выберите вкладку «Входящие», чтобы отобразить список всех портов, разрешающих входящий трафик.

  • Нажмите кнопку «Редактировать».

  • В появившемся диалоговом окне щелкните крестик рядом с правилом безопасности для портов, которые вы хотите закрыть. Это удалит правило безопасности, тем самым запретив входящий трафик на этот порт

    .

  • Нажмите кнопку «Сохранить», чтобы сохранить изменения.

Ваше правило безопасности вступает в силу немедленно, без перезапуска сервера.

Использование Amazon Lightsail

Чтобы закрыть порт сервера и запретить удаленный доступ к этому порту, выполните следующие действия:

  • Войдите в консоль AWS.

  • В меню Amazon Web Services выберите сервис Lightsail и выберите сервер, для которого вы хотите получить учетные данные.

  • На странице сведений о сервере щелкните вкладку «Сеть».

  • В разделе «Брандмауэр» нажмите ссылку «Редактировать правила».

  • Щелкните крестик рядом с правилом брандмауэра для портов, которые вы хотите закрыть. Это удалит правило безопасности, тем самым запретив входящий трафик через этот порт.

  • Щелкните ссылку «Сохранить», чтобы сохранить изменения.

Ваше правило безопасности вступает в силу немедленно, без перезапуска сервера.

Учебное пособие по сканеру портов

— Знайте свои порты

Что такое сканер портов

Сканер портов — это программа, которая используется для тестирования сетевой безопасности и устранения неполадок.Онлайн-сканер портов — это сканирование, которое может внешне протестировать ваш сетевой брандмауэр и открыть порты, поскольку оно получено с внешнего IP-адреса. Он работает на основе простой программы сканирования портов, которая размещается в другой системе, обычно с простым в использовании веб-интерфейсом.

Чтобы понять, что делает сканер портов, нам нужно сначала понять основы того, как сеть «работает». Ссылаясь на , сеть может быть локальной сетью в вашем доме или офисе, или это может быть Интернет.

Сеть скомпрометирована системами с адресами и на этих системах у вас есть службы.

Адрес называется «IP-адрес «, и Служба может быть разной, но в основном это программное обеспечение, работающее в системе и доступное по сети через номер порта. Это может быть веб-сервер, сервер электронной почты или игровой сервер.

  IP-адрес выглядит следующим образом: 192.168.1.3

Служба будет работать на 192.168.1.1.1.3 и слушать на порту. Примеры портов;

  • веб-сервер: порт 80
  • почтовый сервер (smtp): порт 25
  • Почтовый сервер
  • (pop3): порт 110
  • игровой сервер: порт 49001

Существует множество ресурсов, которые охватывают дополнительные технические детали сканирования портов и различные типы сканирования портов. В этом руководстве мы собираемся придерживаться основ.

Недостающая часть этого введения в основы сети — это имя хоста , запись DNS или доменное имя .Это ссылка на IP-адрес с использованием более легкого для запоминания имени. Например, что легче запомнить: 74.125.237.17 или www.google.com?

Когда вы вводите www.google.com в свой браузер, вы перенаправляетесь через систему доменных имен на 74.125.237.17 через порт 80. Порт 80 создается браузером автоматически. Если вы наберете https:// в браузере, вы перейдете на другой порт 443. Так как это стандартный порт для зашифрованного протокола SSL .

Вот некоторые распространенные порты, которые вы найдете при использовании сканера портов:

  •  25 Электронная почта (SMTP)
  •  53 Сервер доменных имен
  •  80 Веб-сервер (HTTP)
  •  110 Сервер электронной почты (POP3)
  •  143 Сервер электронной почты (IMAP)
  •  443 Веб-сервер (HTTPS)
  •  445 Протокол связи Windows (общий доступ к файлам и т. д.)
  •  8080 Прокси-сервер

Более полный список портов можно найти в Википедии.

Тестирование домашнего маршрутизатора или малого бизнеса на наличие открытых портов

На приведенной ниже диаграмме у нас есть ряд устройств за типичным широкополосным маршрутизатором. Важно понимать, открыты ли какие-либо порты в интерфейсе, обращенном к Интернету, поскольку они доступны любому пользователю в Интернете. Открытые порты на широкополосном маршрутизаторе могут быть портами управления на маршрутизаторе, которые позволяют удаленному пользователю изменять конфигурацию маршрутизатора. Другой формой открытого порта на широкополосном маршрутизаторе являются порты, которые перенаправляются во внутренние системы.

Что такое переадресация портов

Переадресация портов позволяет внутренним узлам предоставлять услуги на устройстве, подключенном к Интернету. Переадресация портов часто используется в играх или для размещения чего-либо, например, веб-сервера или почтового сервера в широкополосном интернет-соединении.

Сканер портов Nmap — лучший в мире сканер портов. Он очень точен, стабилен и имеет больше возможностей, чем мы собираемся здесь описать. Для получения дополнительной информации и инструкций по установке перейдите на страницу nmap.

Образец сканирования Nmap с сайта HackerTarget.com

 Запуск Nmap 7.60 ( https://nmap.org ) 16.09.2021 23:10 UTC
Интересные порты на 123.123.123.123:
Не показано: 997 отфильтрованных портов
ПОРТОВАЯ СЛУЖБА ВЕРСИЯ
25/tcp открыть smtp
80/tcp открыть http Apache httpd
443/tcp закрыт https
Информация о сервисе: ОС: Linux

Обнаружение службы выполнено. Пожалуйста, сообщайте о любых неверных результатах на странице https://nmap.org/submit/.
Сделано Nmap: 1 IP-адрес (1 хост включен) просканирован в 64.27 секунд

Мы просканировали IP-адрес: 123.123.123.123 
.

Какие выводы можно сделать из результатов сканирования портов?

Открыть порт

Открытый порт позволяет установить полное трехстороннее TCP-соединение. Сканер портов в этом случае нашел порт, который ответил как доступный для сканирования, и соединение было установлено. Вторичные данные из открытого порта известны как баннер , это текстовый ответ, который включает тип, а иногда и версию прослушивающего сервера.

Закрытый порт

Закрытый порт указывает, что сканирование порта на этом порту было разрешено через брандмауэр (или устройство NAT), но ни один порт не прослушивался. Вместо этого устройство ответило TCP RST или RESET.

Отфильтрованный порт

Отфильтрованные порты — это те, которые вообще не отвечали, и они типичны для ответа брандмауэра. Фактический брандмауэр просто отбрасывает пакет сканирования портов и никак не отвечает.

Из-за пределов брандмауэра сканер портов может проверить каждый порт на IP-адресе сервера.Всего на каждом IP-адресе имеется 65535 TCP-портов . Также есть порты 65535 по протоколу UDP.

В заключение

Теперь, когда вы понимаете, что такое сканер портов, вы можете перейти на нашу страницу тестирования онлайн-сканирования Nmap и запустить бесплатное сканирование портов. Преимущество использования нашего сервера заключается в том, что он является внешним по отношению к вашей сети и увидит то, что увидит любой другой внешний злоумышленник в Интернете. Вы также можете установить Nmap самостоятельно и запустить его в своей сети, вы, скорее всего, увидите результат, отличный от результата внешнего сканирования.

Знайте, когда ваша поверхность атаки изменится

Сканирование Hosted Nmap

позволяет сканировать любой IP-адрес для поиска открытых служб и конфигурации брандмауэра.

Как открыть порт 80 на CentOS

Если вы планируете размещать веб-сайты на CentOS 7, вы можете установить программное обеспечение веб-сервера, такое как Apache или Nginx. Веб-сервер, такой как Apache, по умолчанию работает на порту 80. То есть, если вы переходите на IP-адрес или имя хоста или доменное имя вашего сервера из веб-браузера, веб-сервер должен отправить вам веб-страницу.На сервере CentOS 7 должно быть установлено множество подобных служб. Например, веб-сервер работает на порту 80, DNS-сервер работает на порту 53, SSH-сервер работает на порту 22, сервер MySQL работает на порту 3306 и так далее. Но вы не хотите, чтобы другие подключались к этим сервисам. Если кто-то получит доступ к вашему SSH-серверу, то он/она сможет управлять вашим сервером, например, остановить некоторые службы, установить новые службы, изменить ваш пароль и может произойти много непредвиденных вещей. Вот почему программа брандмауэра используется, чтобы позволить посторонним подключаться к определенному порту и блокировать другие.Для веб-сервера порт 80.
.
В этой статье я покажу вам, как открыть порт 80 и заблокировать все остальные порты в CentOS 7 с помощью firewalld. Давайте начнем.

Установка веб-сервера

В этом разделе я покажу вам, как установить веб-сервер на CentOS 7. Я включил этот раздел, чтобы вы могли получить реальный опыт в том, о чем я говорю.

Наиболее широко используемым программным обеспечением веб-сервера является Apache. Apache доступен в официальном репозитории пакетов CentOS 7.

Чтобы установить веб-сервер Apache, выполните следующую команду:

Нажмите «y», а затем нажмите для продолжения.

Должен быть установлен веб-сервер Apache.

Теперь выполните следующую команду, чтобы проверить, работает ли HTTP-сервер Apache:

$ sudo systemctl статус httpd

Как видно из приведенного ниже снимка экрана, HTTP-сервер Apache не запущен.

Вы можете запустить HTTP-сервер Apache с помощью следующей команды:

$ sudo systemctl start httpd

Вы хотите, чтобы HTTP-сервер Apache запускался автоматически при загрузке системы.Вы можете добавить HTTP-сервер Apache в автозагрузку с помощью следующей команды:

$ sudo systemctl включить httpd

HTTP-сервер Apache добавлен в автозагрузку.

Теперь откройте веб-браузер и перейдите по адресу http://localhost

.

Вы должны увидеть следующую страницу, как показано на снимке экрана ниже.

Проверка открытых портов с помощью nmap

Сначала проверьте IP-адрес вашего сервера CentOS 7 с помощью следующей команды:

Как вы можете видеть на снимке экрана ниже, IP-адрес моего сервера CentOS 7 — 192.168.10.97

Вы можете проверить наличие всех открытых портов с помощью утилиты nmap с другого компьютера следующим образом:

Как видите, сейчас открыт только порт 22. Что нас интересует, так это открытие только порта 80 и закрытие остальных.

Открытие порта 80 и закрытие остальных

Сначала проверьте все разрешенные службы с помощью следующей команды:

$ sudo firewall-cmd —list-all

Как видите, dhcpv6-клиент и службы ssh разрешены извне.У вас может быть больше или меньше разрешенных услуг.

Теперь вам нужно отключить их одну за другой.

Вы можете удалить службу ssh с помощью следующей команды:

$ sudo firewall-cmd —remove-service=ssh —постоянный

Вы можете удалить службу dhcpv6-client с помощью следующей команды:

$ sudo firewall-cmd —remove-service=dhcpv6-client —permanent

Теперь добавьте службу HTTP или порт 80 с помощью следующей команды:

$ sudo firewall-cmd —add-service=http —постоянный

Когда вы закончите, перезапустите firewalld с помощью следующей команды:

$ sudo firewall-cmd —reload

Теперь, если вы снова проверите службы firewalld:

$ sudo firewall-cmd —list-all

Вы должны увидеть только разрешенную службу http , как отмечено на снимке экрана ниже.

Теперь вы можете выполнить сканирование портов с помощью nmap с другого компьютера:

$ sudo nmap -sT 192.168.10.97

Вы должны видеть открытым только порт 80, как показано на снимке экрана ниже.

Вы также можете проверить, можете ли вы получить доступ к веб-серверу, если откроете браузер и введете IP-адрес веб-сервера.

Я могу получить доступ к веб-серверу из браузера, как показано на снимке экрана ниже.

Вот как вы открываете порт 80 и блокируете все остальные порты в CentOS 7.Спасибо, что прочитали эту статью.

Руководство по открытию и закрытию портов в CentOS 6/7

Ищете команды для открытия и закрытия портов на вашем Linux-компьютере? Это очень просто и не требует специальных знаний. Это небольшое руководство покажет вам, как открывать и закрывать порты в CentOS 6/7.

Давайте начнем с того, как мы можем открывать и закрывать порты на вашем сервере Linux с помощью CentOS 6/7.

Требования

  • Корневой доступ к серверу

Процедура

Открытый порт в CentOS 6

  1. Войдите в корень вашего сервера
  2. Выполните следующие команды для открытия порта 5555
    /sbin/iptables -D INPUT -p tcp --destination-port 5555 -j DROP
    /sbin/service iptables save
    9050 -S 9504 iptables

Закрыть порт в CentOS 6

  1. Войдите в корень вашего сервера.
  2. Выполните следующие команды для закрытия порта 5555
    /sbin/iptables -A INPUT -p tcp --destination-port 5555 -j DROP
    /sbin/service iptables save

    050 -S 901 iptables

Открытый порт в CentOS 7

  1. Войдите в корень вашего сервера.
  2. Выполните следующие команды для открытия 5555
    firewall-cmd --zone=public --permanent --add-port=5555/tcp
    firewall-cmd --reload

Закрыть порт в CentOS 7

  1. Войдите в корень вашего сервера.
  2. Выполните следующие команды для закрытия 5555
    firewall-cmd --zone=public --permanent --remove-port=5555/tcp
    firewall-cmd --reload

На этом мы заканчиваем руководство по открытию и закрытию портов на сервере CentOS.

Как проверить, открыт ли конкретный порт?

  • В терминале введите следующую команду, чтобы проверить открытый порт. Например, мы попытались проверить порт 22 на нашем сервере.
    netstat-lntu | grep 22

    Если порт открыт, будут показаны сведения о порте вместе с используемым протоколом.
    Если вы не видите никаких выходных данных, это означает, что порт не открыт или не работает на вашем Linux-компьютере
  • Если вы хотите проверить все открытые порты, выполните следующую команду:
    netstat -lntu

    Это выведет список всех открытых портов или работающих в настоящее время портов, включая TCP и UDP, на вашем Linux-компьютере.

Ознакомьтесь с другими руководствами для Linux/Unix здесь – https://www.basezap.com/category/linux-unix/

.

Добавить комментарий

Ваш адрес email не будет опубликован.