Ve výchozím nastavení se ve všech operačních systémech Windows připojuje pomocí protokolu RDP ( Protokol vzdálené plochy / Vzdálená plocha ) používá port TCP 3389 .

Pokud je váš počítač připojen přímo k internetu (například server VDS) nebo jste na svém hraničním směrovači nakonfigurovali port 3389/RDP na místní síť na počítači nebo serveru se systémem Windows, můžete změnit standardní port RDP 3389 k jakémukoli jinému. Změnou čísla portu RDP pro připojení můžete skrýt svůj server RDP před skenery portů, snížit pravděpodobnost zneužití zranitelností RDP (nejnovější kritická zranitelnost v RDP BlueKeep je popsána v), snížit počet pokusů o vzdálené uhodnutí hesel pomocí RDP (pravidelně nezapomíná), SYN a další typy útoků (zejména s ).

Nahrazení standardního portu RDP lze použít, když za routerem s jednou bílou adresou IP je několik počítačů se systémem Windows, kterým musíte poskytnout externí přístup RDP. Na každém počítači můžete nakonfigurovat jedinečný port RDP a nakonfigurovat přesměrování portů na routeru na místní počítače (v závislosti na čísle portu RDP je relace přesměrována na jeden z interních počítačů).

Při výběru nestandardního čísla portu pro RDP je vhodné nepoužívat čísla portů v rozsahu 1 až 1023 (známé porty) a dynamické porty v rozsahu RPC (49152 až 65535).

Zkusme změnit port, na kterém služba Vzdálená plocha naslouchá připojení 1350 . Pro tohle:

1. Otevřete editor registru a přejděte na pobočku HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp;
2. Nalézt DWORD pojmenovaná hodnota registru PortNumber. Tento parametr určuje port, na kterém služba Vzdálená plocha naslouchá připojení;
3. Změňte hodnotu tohoto portu. Změnil jsem port RDP na 1350 v desítkové hodnotě (Decimal);
4. Pokud je na vašem počítači povolena brána Windows Firewall, musíte vytvořit nové pravidlo, které povolí příchozí připojení k novému portu RDP (pokud překonfigurujete vzdálený server přes RDP bez vytvoření pravidla v bráně firewall, ztratíte přístup k serveru). Povolení příchozího pravidla pro nový port TCP/UDP RDP můžete vytvořit ručně z konzoly „Windows Defender Firewall“ ( firewall.cpl) nebo pomocí: New-NetFirewallRule -DisplayName "Nový port RDP 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow AND: New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 135 Akce povolit
   
5. Restartujte počítač nebo restartujte službu vzdálené plochy pomocí příkazu: net stop termservice & net start termservice
   
6. Chcete-li se nyní připojit k tomuto počítači se systémem Windows přes RDP, v klientovi mstsc.exe musíte zadat port připojení RDP pomocí dvojtečky takto: Your_Computer_Name:1350 nebo IP adresou 192.168.1.100:1350 nebo z příkazového řádku: mstsc .exe /v 192.168.1.100 :1350
   

   Pokud používáte správce připojení RDP ke správě více připojení RDP, číslo portu RDP, které zadáte pro připojení, lze zadat na kartě „Nastavení připojení“.
   

7. V důsledku toho se úspěšně připojíte k ploše vzdáleného počítače pomocí nového čísla portu RDP (pomocí příkazu nenstat –na | Najít „LIST“ se ujistěte, že služba RDP nyní naslouchá na jiném portu).
   

Kompletní skript PowerShellu pro změnu portu RDP, vytvoření pravidla ve bráně firewall a restartování služby RDP na novém portu může vypadat takto:

New-NetFirewallRule -DisplayName "Nový port RDP $RDPPort" -Příchozí směr –LocalPort $RDPPort -Protokol UDP -Povolit akci

Write-host "Číslo portu RDP změněno na $RDPPort" -ForegroundColor Magenta

Číslo RDP můžete změnit vzdáleně na více počítačích v doméně AD (konkrétní organizační jednotka) pomocí příkazu Invoke-Command a:

Write-host "Zadejte nové číslo portu RDP: " -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host
$PCs = Get-ADComputer -Filter * -SearchBase "CN=DMZ,CN=Počítače,DC=winitpro,DC=ru"
Foreach ($PC v $PCs) (
Invoke-Command -ComputerName $PC.Name -ScriptBlock (
param ($RDPPort)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\" -Název Číslo portu -Hodnota $RDPPort
New-NetFirewallRule -DisplayName "Nový port RDP $RDPPort" -Příchozí směr –LocalPort $RDPPort -Protokol TCP -Povolit akci
New-NetFirewallRule -DisplayName "Nový port RDP $RDPPort" -Příchozí směr –LocalPort $RDPPort -Protokol TCP -Povolit akci
Restart-Service termservice -force
}

Tyto pokyny pro změnu standardního portu RDP jsou vhodné pro jakoukoli verzi Windows, od Windows XP (Windows Server 2003) po Windows 10 (Windows Server 2019).

Běžný úkol: nastavení vzdáleného přístupu k počítači, který je připojen k internetu přes router.

Řešení: proveďte přesměrování portů na routeru. Nazývá se také přesměrování portů zveřejnění přístavu nebo přesměrování portů. V anglické terminologii se používají termíny Přesměrování portů A Port Publishing.

Co je přesměrování portů

Přesměrování portů je mapování konkrétního externího portu brány (routeru, modemu) na požadovaný port cílového zařízení v místní síti (server, pracovní stanice, síťové úložiště, kamera, rekordér atd.)

Ale který port přesměrovat závisí na tom, jak chcete k počítači přistupovat.

Jak nastavit vzdálený přístup přes RDP (vzdálená plocha, terminál)

Připojení RDP jsou vytvořena na portu 3389 cílového počítače. Co je třeba udělat:

Krok 1 Povolit příchozí připojení RDP v počítači

Pozornost! Prostřednictvím vzdálené plochy je možné vytvářet PŘÍCHOZÍ připojení k následujícím edicím operačního systému Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.

Ve Windows XP Starter, Home Edition, ve Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium není možnost příchozích připojení.

K tomu otevíráme Vlastnosti systému(WIN+Break), klikněte na odkaz Další parametry systému:

Přejděte na kartu Vzdálený přístup, přepněte přepínač do polohy Povolit připojení k tomuto počítači, zrušte zaškrtnutí políčka Povolit připojení pouze z počítačů se Vzdálenou plochou s ověřováním na úrovni sítě (doporučeno) a klikněte OK pro použití nastavení:

Krok 2 Vytvořte si na počítači účet, pod kterým se bude uživatel vzdálené plochy připojovat.

Požadavek č. 1. Tento účet musí mít heslo. Podle výchozího nastavení místní bezpečnostní politiky je připojení účtů bez hesla zakázáno prostřednictvím protokolu RDP. V zásadách zabezpečení se nedoporučuje povolovat vzdálený přístup k účtům nechráněným heslem. To vytvoří hrozbu neoprávněného přístupu ze strany vetřelců.

Požadavek č. 2. Pokud uživatel NENÍ správcem místního počítače, musí být přidán do skupiny. To lze provést dvěma způsoby.

Jak umožnit uživateli bez oprávnění správce připojit se ke vzdálené ploše

Metoda jedna.

Klikněte pravým tlačítkem na zástupce systému Tento počítač a vyberte Řízení:

V okně Počítačový management vybrat Místní uživatelé a skupiny => Uživatelé:

Najděte požadovaného uživatele v seznamu a poklepáním otevřete jeho vlastnosti:

Přejděte na kartu Skupinové členství a stiskněte tlačítko Přidat:

Klepněte na tlačítko dodatečně:

Potom tlačítko Vyhledávání:

Vyberte skupinu ze seznamu Uživatelé vzdálené plochy a stiskněte OK:

V oknech Výběr skupiny A Vlastnosti:<пользователь> klikněte OK:

Metoda dva.

Otevřete vlastnosti systému (Win+Break), klikněte Extra možnosti:

Přejděte na kartu Vzdálený přístup a stiskněte tlačítko Vyberte uživatele:

Klepněte na tlačítko Přidat:

Klikněte dodatečně:

A Vyhledávání:

V seznamu vyberte uživatelský účet, kterému chcete udělit práva vzdáleného přístupu, a klikněte OK:

Nyní klikněte OK v následujících dvou oknech:

Krok 3 Vytvořte na routeru pravidlo přesměrování, podle kterého se při požadavku na daném portu spojení přesměruje na port 3389 požadovaného počítače.

V routerech D-Link může být volána požadovaná sekce Virtuální server, jako v D-Link DIR-615:

Také to může být nazváno Přesměrování portů, jako například v DIR-300:

Podstata je stejná:

1. Pravidlu dáváme libovolný název;
2. Otevřete na routeru nestandardní port, který není obsazený (pole Veřejný přístav);
3. Uvádíme IP adresu cílového počítače v síti, kam má vzdálený uživatel přejít (pole IP adresa);
4. Uvádíme číslo portu, přes který aplikace nebo služba běží na počítači. V našem případě pro službu Remote Desktop Server je to port 3389 (pole Soukromý přístav).

Pokud váš ISP přidělí vašemu routeru dynamickou adresu, můžete pohodlně používat službu Dynamic DNS. D-Link má vlastní službu, kde si můžete zdarma zaregistrovat internetovou adresu (tedy doménu) a přes ni nastavit přístup ke svému routeru a místní síti.

Chcete-li nakonfigurovat dynamický DNS, přejděte do části ÚDRŽBA, vyberte podsekci Nastavení DDNS a klikněte na odkaz Přihlásit se... přejít na web a zaregistrovat si doménu. Poté nastavte synchronizaci domény s IP adresou routeru v oblasti NASTAVENÍ DYNAMICKÉHO DNS a uložte nastavení tlačítkem Uložit nastavení:

Poté se můžete připojit ne pomocí IP adresy, ale pomocí adresy jako vaše-adresa.dlinkddns.com:port

Kontrola připojení k počítači přes vzdálenou plochu

Spusťte klienta Remote Desktop Server:

V terénu Počítač Zadejte adresu a port oddělené dvojtečkou. V terénu Uživatel zadejte své uživatelské jméno a klikněte na tlačítko Připojit:

Toto vzdálené připojení může poškodit místní nebo vzdálený počítač. Před připojením se ujistěte, že je vzdálený počítač spolehlivý.

Zaškrtněte políčko a klikněte na tlačítko Připojit:

Nyní zadejte uživatelské heslo, zaškrtněte políčko Zapamatujte si přihlašovací údaje, pokud nechcete pokaždé zadávat heslo, a stiskněte OK:

Poté se může zobrazit zpráva:

Nelze ověřit pravost vzdáleného počítače. Chcete se přesto připojit?

Zde můžete zaškrtnout políčko Již nepožadujte připojení k tomuto počítači a stiskněte Ano:

Wi-Fi router se konfiguruje ve svém ovládacím panelu přes webové rozhraní. Ke změnám konfigurace lze tedy přistupovat prostřednictvím libovolného prohlížeče. Chcete-li to provést, stačí otevřít stránku 192.168.0.1 nebo 192.168.1.1 (v závislosti na modelu routeru). Dále budete muset zadat své uživatelské jméno a heslo. Ve výchozím nastavení jsou oba tyto parametry nastaveny na admin.

Pokud výchozí uživatelské jméno a heslo nefungují a vy jste tato data nezměnili, je možné, že je změnil průvodce při připojování nebo nastavování internetu. Z bezpečnostních důvodů někteří poskytovatelé mění výchozí přihlašovací údaje. V tomto případě je lze nalézt ve smlouvě nebo ve spodní části routeru na samostatné nálepce.

Rada! Nezapomeňte změnit své přihlašovací údaje v nastavení Wi-Fi routeru. Můžete to udělat v nabídce „Systémové nástroje -> Heslo“.

Změna hesla výrazně zabezpečí vaši síť a pomůže zabránit neoprávněnému přístupu nebo resetování. Nastavení se projeví po restartování zařízení.

Pokud je autorizace v ovládacím panelu routeru úspěšná, otevře se stavová stránka, která zobrazuje základní informace o routeru, data bezdrátového vysílání Wi-Fi a stav aktuálního připojení k internetu.

Předkonfigurace pro přesměrování portů

Před přesměrováním je potřeba změnit nastavení distribuce lokálních IP adres v rámci sítě vytvořené routerem TP-Link. Zařízení, na kterém se bude otevřený port v budoucnu používat, musí mít konstantní interní adresu. DHCP je odpovědné za adresování v rámci lokální sítě, takže musíte otevřít nabídku „DHCP -> Seznam klientů DHCP“. V tomto okně se zobrazí seznam zařízení připojených k vaší síti. Vyhledáme požadované zařízení podle názvu a zkopírujeme jeho MAC adresu.

V případě zobrazeném na snímku obrazovky nebylo nalezení požadovaného zařízení obtížné, protože v domácí síti bylo zaregistrováno pouze jedno zařízení. Existují však situace, kdy je k síti připojen značný počet zařízení a název požadovaného počítače není znám nebo se nezobrazuje. V tomto případě můžete adresu počítače zjistit přímo přes operační systém. Nejjednodušší je použít speciální příkaz na příkazovém řádku.

Stisknutím kláves Win+R otevřete okno Spustit nový program. V něm zadejte cmd a klikněte na OK.

Po zadání příkazu getmac obdržíte potřebná data, která budete později potřebovat k přesměrování portů na vašem routeru TP-Link.

Pokud při provádění příkazu dojde k chybě, doporučuje se operaci zopakovat spuštěním příkazového řádku jako správce.

Poté musíte otevřít nabídku „DHCP -> Nastavení DHCP“. Tato stránka zobrazí rozsah IP adres, ve kterých jsou počítače ve vaší síti adresovány. V případě na snímku obrazovky je počáteční adresa: 192.168.0.100, koncová adresa: 192.168.0.199. Tyto údaje budou potřeba v dalším kroku.

Dále musíte otevřít stránku „DHCP -> Rezervace adresy“ a kliknout na tlačítko „Přidat nový...“. Bez dokončení tohoto kroku přesměrování portů na routeru TP-Link nepřinese požadovaný výsledek, protože počítači bude pokaždé přidělena nová místní adresa.

Do pole "MAC Address" vložte kombinaci, kterou jste zkopírovali ze seznamu klientů DHCP nebo z příkazového řádku. Do pole „Reserved IP address“ zadejte jakoukoli adresu, která je v rozsahu určeném v nastavení DHCP routeru TP-Link. Klikněte na tlačítko "Uložit".

V seznamu se objeví přidaná MAC adresa k IP vazbě, ale pro normální provoz rezervace adresy bude potřeba restartovat Wi-Fi router, na což vás systém upozorní.

Router TP-Link můžete programově restartovat v nabídce „Systémové nástroje -> Restartovat“.

Otevření portů na routeru TP-Link

Po dokončení těchto přípravných kroků můžete začít přímo otevírat porty. Chcete-li je otevřít na routeru TP-link, přejděte do nabídky „Přesměrování -> Virtuální servery“ a vyberte přidání nové položky

Vyplňte pole čísly portů. Do pole IP adresa zadejte hodnotu, kterou jste rezervovali pro váš počítač. V případě potřeby vyberte protokol. V poli „Stav“ ponechte zaškrtávací políčko „Povoleno“, aby se nastavení projevilo ihned po restartování Wi-Fi routeru. Pokud chcete přesměrovat standardní porty některé ze služeb, můžete to provést výběrem požadované služby v posledním rozevíracím seznamu. Mezi ručním zadáním a výběrem ze seznamu není zásadní rozdíl, ale tato funkce se může hodit, pokud si nepamatujete číslo portu, který je potřeba otevřít.

Wi-Fi router TP-Link nabízí následující služby, pro které můžete přesměrovat standardní porty:

• GOPHER
• TELNET

Maximální počet, který lze na TP-Linku otevřít: 65535.

V některých případech může být nutné ne jednoduše přeposílat, ale dynamicky otevírat porty v reakci na příchozí událost. Tuto funkci můžete nakonfigurovat v přilehlé nabídce: „Přesměrování -> Spouštění portu“. Nejběžnějším použitím tohoto nastavení je práce se složitými aplikacemi, které přijímají mnoho příchozích připojení (online hry, internetová telefonie a aplikace pro videokonference). Chcete-li vytvořit nový záznam Port Triggering, klikněte na Přidat nový.

Někdy má uživatel situaci, kdy je nutné otevřít jeden nebo druhý počítačový port pro videohry, složité programy nebo speciální internetové klienty. Ale jak můžete zkontrolovat, zda je tento port aktuálně otevřený? Existuje několik možností řešení takových problémů.

I. KONTROLA OTEVŘENÝCH PORTŮ NA MÍSTNÍM POČÍTAČI

Metoda 1. Chcete-li zkontrolovat otevřené porty na vašem místním (vaším) počítači, můžete použít „Příkazový řádek“ operačního systému Windows (

Chcete-li zavolat na tuto linku, musíte stisknout kombinaci kláves Win+R a zadat příkaz „cmd“ a poté kliknout na „OK“.

V okně, které se otevře, zadejte speciální příkaz „netstat -a“ a přečtěte si seznam otevřených portů na vašem počítači.

Metoda 2. Pokud jste připojeni k internetu, můžete zkontrolovat, zda je port otevřený na webu

whatsmyip.org/port-scanner/

Tento zdroj sám určí vaši IP adresu a porty můžete skenovat pomocí speciálního pole “ Vlastní test portu».

Zadejte port, o který máte zájem, a klikněte na „ Zkontrolujte port“, načež obdržíte odpověď, zda je tento port otevřený nebo uzavřený.

II. KONTROLA OTEVŘENÝCH PORTŮ NA VZDÁLENÉM POČÍTAČI

Nyní se podívejme, jak zkontrolovat, zda je port otevřený na vzdáleném počítači nebo serveru. Použijte stejný „Příkazový řádek“ ve Windows, ale nyní napište příkaz telnet ve formátu:

port IP adresy telnet

Stiskněte klávesu Enter. Pokud není položka „Could not open...“ (Nelze otevřít...), pak je požadovaný port otevřený, jinak je uzavřen.

Stručně jsme se podívali na to, jak zkontrolovat, zda je na počítači otevřený port. Pokud máte nějaké dotazy, zeptejte se je v poli komentářů.

Co znamená výsledek kontroly portu?

Postavení Přístav uzavřen

V tuto chvíli není možné se k tomuto portu připojit. Škodlivé programy nebo útočníci nemohou tento port využít k útoku nebo získání důvěrných informací (pomůže vám materiál 4 nejlepší bezplatné antiviry pro Windows 10). Pokud mají všechny neznámé porty stav „zavřeno“, znamená to, že počítač je dobře chráněn před síťovými hrozbami.

Pokud by měl být port otevřený, je to špatný indikátor. Důvodem nedostupnosti portu může být nesprávná konfigurace síťového hardwaru nebo softwaru. Zkontrolujte síťová přístupová práva programu ve firewallu. Ujistěte se, že porty jsou přesměrovány přes router.

Výsledek "port uzavřen" lze také získat, pokud je port otevřený, ale doba odezvy sítě (ping) vašeho počítače je příliš vysoká. Za takových podmínek je prakticky nemožné se k portu připojit.

Postavení Port je otevřen

K tomuto portu se můžete připojit z internetu. Pokud je to to, co potřebujete, skvělé.

Pokud není znám důvod, proč může být port otevřený, pak stojí za to zkontrolovat spuštěné programy a služby. Možná někteří z nich zcela legálně využívají tento port pro práci se sítí. Existuje možnost, že je port otevřený kvůli provozu neautorizovaného/malwarového softwaru (pomůže vám materiál Jak povolit ochranu před potenciálně nežádoucími programy v programu Windows Defender). V takovém případě se doporučuje prohledat počítač antivirem.

F.A.Q.

Jaké porty? K čemu jsou potřeba?

Porty, které PortScan.ru kontroluje, nejsou fyzické, ale logické porty na počítači nebo síťovém zařízení.
Pokud program nebo služba plánuje pracovat se sítí, otevře port s jedinečným číslem, jehož prostřednictvím může pracovat se vzdálenými klienty/servery. Ve skutečnosti si síťový program vyhradí určité číslo pro sebe, což vám umožní pochopit, že příchozí data jsou určena speciálně pro tento program.

V lidské řeči by to znělo asi takto: „Já, program serveru, otevírám port číslo 1234. Pokud data s číslem portu 1234 přicházejí přes síťový kabel, je to pro mě.“

Jaká čísla portů může program otevřít?

Porty jsou označeny čísly od 0 do 65535 včetně. Žádný jiný port nelze otevřít, a proto ani zkontrolovat. Toto jsou omezení protokolu TCP/IP.

Stojí za zmínku, že klientský program musí vždy znát číslo portu, ke kterému se potřebuje připojit na serveru nebo jiném vzdáleném síťovém zařízení. Z tohoto důvodu jsou porty v rozsahu od 0 do 1023 vyhrazeny pro nejoblíbenější protokoly.

Takže například při surfování na internetu se váš prohlížeč připojí k portu 80 na vzdáleném serveru, na kterém se stránka nachází. V reakci na to prohlížeč obdrží sadu kódu a dat, které si stáhne a zobrazí jako webovou stránku.

Pro jaké situace je možné zkontrolovat otevřené porty?

Kontrola otevřených portů je možná, pokud je vašemu počítači přiřazena externí IP adresa. Více o tom můžete zjistit od svého poskytovatele internetových služeb.

Stojí za zvážení, že pokud je váš počítač připojen k internetu ne přímo, ale prostřednictvím routeru (routeru), pak se výsledky testu vztahují konkrétně na router. Stav portu počítače v takové podsíti je možné zkontrolovat pouze v případě, že je k dispozici přesměrování portů.

Co je přesměrování portů?

Port Forwarding (někdy virtuální servery) je speciální nastavení na routeru, které umožňuje přesměrovat externí požadavky (z internetu) do počítačů v místní síti. V podstatě se jedná o způsob, jak určit, který místní počítač má předávat data a požadavky na připojení, které přicházejí na konkrétní port.

Řekněme, že máte doma herní nebo webový server připojený přes router k internetu. Všechny počítače připojené ke stejnému routeru jsou ve stejné síti, takže se budou moci připojit k tomuto serveru. Zvenčí, z internetu, se však již nebude možné připojit k vašemu serveru bez přesměrování portů.

Pokud je váš počítač připojen k internetu přímo (bez routeru), není přesměrování portů vyžadováno. Všechny vaše otevřené porty musí být přístupné z internetu (samozřejmě s vyhrazenou IP).

Jak zjistím, které porty jsou na mém počítači otevřené?

Pro Windows: Start → „cmd“ → Spustit jako správce → „netstat -bn“
Pro Linux: V terminálu spusťte příkaz: "ss -tln"

Jak zavřít přístav?

Nejprve musíte odstranit příčinu - spuštěný program nebo službu, která tento port otevřela; je potřeba to zavřít/zastavit. Pokud důvod otevřeného portu není jasný, zkontrolujte počítač pomocí antiviru, odstraňte z routeru zbytečná pravidla pro předávání portů a nainstalujte pokročilý firewall.