80 порт за что отвечает: Почему только порт 80 для веб-сервисов?

13.06.2021 alexxlab

Содержание

Порты, используемые для подключения — Configuration Manager

05/04/2021
Чтение занимает 18 мин

В этой статье

Область применения: Configuration Manager (Current Branch)

В этой статье перечислены сетевые порты, которые использует Configuration Manager. В некоторых подключениях используются порты без возможности настройки, а некоторые поддерживают настраиваемые порты, которые можно указать. При использовании каких-либо технологий фильтрации портов проверьте, доступны ли требуемые порты. К таким технологиям относятся брандмауэры, маршрутизаторы, прокси-серверы и IPsec.

Примечание

Если реализуется поддержка интернет-клиентов посредством использования мостов SSL, то, помимо требований к портам, может также потребоваться разрешить некоторые HTTP-команды и заголовки в брандмауэре.

Порты, которые можно настроить

Configuration Manager позволяет настроить порты для связи следующих типов.

Прокси-точка регистрации — точка регистрации
Клиентско-сайтовые системы со службами IIS
Между клиентом и Интернетом (как параметры прокси-сервера)
Между точкой обновления программного обеспечения и Интернетом (как параметры прокси-сервера)
Между точкой обновления программного обеспечения и сервером WSUS
Между сервером сайта и сервером базы данных сайта
Между сервером сайта и сервером базы данных WSUS
Точки служб отчетов

Примечание
В SQL Server Reporting Services вы настраиваете порты для точки служб отчетов. Эти порты используются Configuration Manager при подключении к точке служб отчетов. Обязательно просмотрите эти порты, которые определяют IP-фильтрацию для политик IPsec и при настройке брандмауэров.

Портом HTTP, который служит для связи клиента с системой сайта, по умолчанию является порт 80, а портом HTTPS — порт 443. Эти порты можно изменить во время настройки или в свойствах сайта.

Порты без возможности настройки

Configuration Manager не позволяет настроить порты для связи следующих типов.

Между сайтом и сайтом
Между сервером сайта и системой сайта
Между консолью Configuration Manager и поставщиком SMS
Консоль Configuration Manager — Интернет
Подключения к облачным службам, например Microsoft Intune и облачным точкам распространения

Порты, используемые клиентами и системами сайта

В следующих разделах приводятся подробные сведения о портах, используемых для соединений в Configuration Manager. Стрелки в заголовке раздела указывают направление соединения:

--> означает, что один компьютер инициирует соединение, а другой всегда отвечает.
<--> означает, что любой компьютер может инициировать соединение.

Точка синхронизации каталога аналитики активов

--> Microsoft

Описание:	Протокол UDP	TCP
HTTPS	—	443

Точка синхронизации каталога аналитики активов

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> клиент

Прокси-сервер пробуждения также использует сообщения эхо-запросов ICMP от одного клиента к другому. Клиенты используют эти сообщения для проверки того, активен ли другой клиент в сети. Протокол ICMP иногда называют командами проверки связи. Он не имеет номера протокола UDP или TCP и потому не указан в следующей таблице. Тем не менее, для успешной связи прокси пробуждения промежуточные сетевые устройства в подсети и брандмауэры на этих клиентских компьютерах должны пропускать трафик ICMP.

Описание:	Протокол UDP	TCP
Пробуждение по локальной сети	9 ^{Примечание 2 Доступен альтернативный порт}	—
Прокси пробуждения	25536 ^{Примечание 2 Доступен альтернативный порт}	—
Одноранговый кэш среды предустановки Windows (вещание)	8004	—
Одноранговый кэш среды предустановки Windows (скачивание)	—	8003

Дополнительные сведения см. в разделе Одноранговый кэш среды предустановки Windows.

Клиент

--> модуль политики службы регистрации сетевых устройств Configuration Manager

Описание:	Протокол UDP	TCP
HTTP		80
HTTPS	—	443

Клиент

--> облачная точка распространения

Описание:	Протокол UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в статье Порты и поток данных.

Клиент

--> шлюз управления облаком (CMG)

Описание:	Протокол UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе Порты и поток данных.

Клиент

--> точка распространения (стандартная или по запросу)

Описание:	Протокол UDP	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}
Экспресс-обновления	—	8005 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> точка распространения, настроенная для многоадресной рассылки (стандартная или по запросу)

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Протокол многоадресной рассылки	63 000–64 000	—

Клиент

--> точка распространения, настроенная для PXE (стандартная или по запросу)

Описание:	Протокол UDP	TCP
DHCP	67 и 68	—
TFTP	69 ^{Примечание 4}	—
Протокол BINL	4011	—

Важно!

Если вы включаете брандмауэр на основе узла, правила должны разрешать серверу отправлять и получать данные через эти порты. Когда вы включаете поддержку PXE для точки распространения, Configuration Manager может включить правила входящего трафика (получения) в брандмауэре Windows. Он не настраивает правила исходящего трафика (отправки).

Клиент

--> резервная точка состояния

Описание:	Протокол UDP	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> контроллер домена глобального каталога

Клиент Configuration Manager не обращается к серверу глобального каталога, когда он является компьютером рабочей группы или настроен для связи только с Интернетом.

Описание:	Протокол UDP	TCP
Глобальный каталог LDAP	—	3268

Клиент

--> точка управления

Описание:	Протокол UDP	TCP
Клиентское уведомление (связь по умолчанию перед возвратом к HTTP или HTTPS)	—	10123 ^{Примечание 2 Доступен альтернативный порт}
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> точка обновления программного обеспечения

Клиент

--> точка миграции состояния

Описание:	Протокол UDP	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}
Протокол SMB	—	445

Точка подключения шлюза управления облачными клиентами

--> облачная служба шлюза управления облачными клиентами

Configuration Manager использует эти соединения для создания канала шлюза управления облачными клиентами. Дополнительные сведения см. в разделе Порты и поток данных.

Описание:	Протокол UDP	TCP
TCP — TLS (предпочтительно)	—	10140–10155
HTTPS (резервирование с помощью одной виртуальной машины)	—	443
HTTPS (резервирование с помощью двух или нескольких виртуальных машин)	—	10124–10139

Точка подключения шлюза управления облачными клиентами

--> точка управления

Описание:	Протокол UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе Порты и поток данных.

Точка подключения шлюза управления облачными клиентами

--> точка обновления программного обеспечения

Порт зависит от конфигурации точки обновления программного обеспечения.

Описание:	Протокол UDP	TCP
HTTPS	—	443/8531
HTTP	—	80/8530

Дополнительные сведения см. в разделе Порты и поток данных.

Консоль Configuration Manager

--> клиент

Описание:	Протокол UDP	TCP
Удаленное управление (элемент управления)	—	2701
Удаленный помощник (RDP и RTC)	—	3389

Консоль Configuration Manager

--> Интернет

Описание:	Протокол UDP	TCP
HTTP	—	80
HTTPS	—	443

Консоль Configuration Manager использует доступ к Интернету для следующих действий.

Скачивание обновлений программного обеспечения из Центра обновления Майкрософт для пакетов развертывания.
Элемент отзыва на ленте.
Ссылки на документацию в консоли.

Консоль Configuration Manager

--> точка служб отчетов

Консоль Configuration Manager

--> сервер сайта

Описание:	Протокол UDP	TCP
RPC (исходное соединение с WMI для поиска системы поставщика)	—	135

Консоль Configuration Manager

--> поставщик SMS

Примечание для службы администрирования

Любое устройство, которое вызывает службу администрирования в поставщике SMS, использует HTTPS-порт 443. Дополнительные сведения см. в разделе Что такое служба администрирования?

Модуль политики службы регистрации сетевых устройств Configuration Manager

--> точка регистрации сертификатов

Описание:	Протокол UDP	TCP
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Точка обслуживания хранилища данных

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка распространения (стандартная или по запросу)

--> точка управления

Точка распространения взаимодействует с точкой управления в следующих сценариях:

для отчета о состоянии предварительно подготовленного содержимого;
для отчета об использовании сводных данных;
для отчета по проверке содержимого;
для отчета о состоянии скачивания пакетов (только для точек распространения по запросу).

Точка Endpoint Protection

--> Интернет

Описание:	Протокол UDP	TCP
HTTP	—	80

Точка Endpoint Protection

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Прокси-точка регистрации

--> точка регистрации

Описание:	Протокол UDP	TCP
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Точка регистрации

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Коннектор Exchange Server

--> Exchange Online

Описание:	Протокол UDP	TCP
Удаленное управление Windows по протоколу HTTPS	—	5986

Коннектор Exchange Server

--> локальный сервер Exchange Server

Описание:	Протокол UDP	TCP
Удаленное управление Windows по протоколу HTTP	—	5985

Компьютер Mac

--> прокси-точка регистрации

Описание:	Протокол UDP	TCP
HTTPS	—	443

Точка управления

--> контроллер домена

Описание:	Протокол UDP	TCP
Протокол LDAP	389	389
Защищенный протокол LDAP (LDAPs, для подписывания и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Точка управления

<--> сервер сайта

^{Примечание 5}

Описание:	Протокол UDP	TCP
Сопоставитель конечных точек RPC	—	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}
Протокол SMB	—	445

Точка управления

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Мобильное устройство

--> прокси-точка регистрации

Описание:	Протокол UDP	TCP
HTTPS	—	443

Точка служб отчетов

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка подключения службы

--> Azure (шлюз управления облачными клиентами)

Описание:	Протокол UDP	TCP
HTTPS для службы развертывания шлюза управления облачными клиентами	—	443

Дополнительные сведения см. в разделе Порты и поток данных.

Сервер сайта

<--> точка синхронизации каталога аналитики активов

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> клиент

Описание:	Протокол UDP	TCP
Пробуждение по локальной сети	9 ^{Примечание 2 Доступен альтернативный порт}	—

Сервер сайта

--> облачная точка распространения

Описание:	Протокол UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в статье Порты и поток данных.

Сервер сайта

--> точка распространения (стандартная или по запросу)

^{Примечание 5}

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> контроллер домена

Описание:	Протокол UDP	TCP
Протокол LDAP	389	389
Защищенный протокол LDAP (LDAPs, для подписывания и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка регистрации сертификатов

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка подключения шлюза управления облачными клиентами

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка Endpoint Protection

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка регистрации

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> прокси-точка регистрации

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> резервная точка состояния

^{Примечание 5}

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> Интернет

Сервер сайта

<--> выдающий центр сертификации (ЦС)

Эта связь используется при развертывании профилей сертификатов с помощью точки регистрации сертификатов. Эта связь используется не для всех серверов сайтов в иерархии. Она применяется только для сервера сайта на верхнем уровне иерархии.

Описание:	Протокол UDP	TCP
Сопоставитель конечных точек RPC	135	135
RPC (DCOM)	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> сервер, на котором размещена общая папка библиотеки удаленного содержимого

Вы можете переместить библиотеку содержимого в другое место хранения, чтобы освободить место на жестком диске на сервере центра администрирования или сервере первичного сайта. Дополнительные сведения см. в разделе Настройка библиотеки удаленного содержимого на сервере сайта.

Описание:	Протокол UDP	TCP
Протокол SMB	—	445

Сервер сайта

<--> точка подключения службы

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка служб отчетов

^{Примечание 5}

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> сервер сайта

Описание:	Протокол UDP	TCP
Протокол SMB	—	445

Сервер сайта

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Во время установки сайта, который использует удаленный экземпляр SQL Server для размещения базы данных сайта, откройте следующие порты между сервером сайта и SQL Server.

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> SQL Server для WSUS

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 3 Доступен альтернативный порт}

Сервер сайта

--> поставщик SMS

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> точка обновления программного обеспечения

^{Примечание 5}

Сервер сайта

<--> точка миграции состояния

^{Примечание 5}

Описание:	Протокол UDP	TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135

Поставщик SMS

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка обновления программного обеспечения

--> Интернет

Точка обновления программного обеспечения

--> вышестоящий сервер WSUS

SQL Server

--> SQL Server

Во время межсайтовой репликации базы данных необходимо, чтобы SQL Server на одной стороне напрямую подключался с SQL Server родительского или дочернего сайта.

Описание:	Протокол UDP	TCP
Служба SQL Server	—	1433 ^{Примечание 2 Доступен альтернативный порт}
Служба SQL Server Service Broker	—	4022 ^{Примечание 2 Доступен альтернативный порт}

Совет

Configuration Manager не требует обозревателя SQL Server, который использует порт UDP 1434.

Точка миграции состояния

--> SQL Server

Описание:	Протокол UDP	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Примечания для портов, используемых клиентами и системами сайта

Примечание 1. Порт прокси-сервера

Этот порт нельзя настраивать, однако его можно разрешить на прокси-сервере.

Примечание 2. Доступен альтернативный порт

Для этого значения можно определить альтернативный порт в Configuration Manager. Если вы определили пользовательский порт, используйте этот настраиваемый порт в сведениях IP-фильтра для политик IPsec или для настройки брандмауэров.

Примечание 3. Службы Windows Server Update Services (WSUS)

Начиная с Windows Server 2012, WSUS по умолчанию использует порт 8530 для HTTP и порт 8531 для HTTPS.

После установки можно изменить порт. Нет необходимости использовать один номер порта во всей иерархии сайтов.

Если для HTTP используется порт 80, для HTTPS необходимо использовать порт 443.
Если используется другой HTTP-порт (например, 8530), номер HTTPS-порта должен быть больше на 1 (8531).
Примечание
При настройке точки обновления программного обеспечения на использование протокола HTTPS HTTP-порт также должен быть открыт. Незашифрованные данные, такие как лицензионное соглашение для конкретных обновлений, используют HTTP-порт.
Этот сервер сайта подключается к экземпляру SQL Server, на котором размещается SUSDB, если включены следующие параметры для очистки WSUS:
- Добавление некластеризованных индексов в базу данных WSUS для улучшения производительности очистки WSUS
- Удаление устаревших обновлений из базы данных WSUS

Если с помощью диспетчера конфигурации SQL Server вы изменили порт по умолчанию на другой порт SQL Server, проверьте, может ли сервер сайта установить подключение с использованием указанного порта. Configuration Manager не поддерживает динамические порты. По умолчанию именованные экземпляры SQL Server используют динамические порты для подключения к ядру СУБД. При использовании именованного экземпляра необходимо вручную настроить статический порт.

Примечание 4. Управляющая программа TFTP

Системная служба управляющей программы TFTP является составной частью служб развертывания Windows (WDS), и для нее не требуется имя пользователя или пароль. Служба управляющей программы TFTP реализует поддержку протокола TFTP, определенного следующими RFC:

RFC 1350: TFTP
RFC 2347 — расширение параметра;
RFC 2348 — размер блока;
RFC 2349 — интервал времени ожидания и размер передачи.

Протокол TFTP предназначен для поддержки бездисковой загрузки. Управляющие программы TFTP ожидают передачи данных через порт UDP 69, но отвечают через динамически выделяемый верхний порт. Если включить этот порт, служба TFTP сможет принимать входящие запросы TFTP, но выбранный сервер не сможет отвечать на эти запросы. Невозможно разрешить выбранному серверу отвечать на входящие запросы TFTP, пока сервер TFTP не будет настроен на ответ через порт 69.

Точка распространения с поддержкой PXE и клиент в Windows PE выбирают динамически выделяемые верхние порты для передачи данных по протоколу TFTP. Корпорация Майкрософт выделяет для этих портов диапазон от 49152 до 65535. Дополнительные сведения см. в статье Обзор служб и требования к сетевым портам в Windows.

Однако во время загрузки PXE динамически выделяемый верхний порт, используемый для передачи данных по протоколу TFTP, выбирается сетевым адаптером устройства. Сетевой адаптер устройства не привязан к динамически выделяемым верхним портам, определенным корпорацией Майкрософт. Он привязан только к портам, определенным в документе RFC 1350. Это может быть любой порт в диапазоне от 0 до 65535. За дополнительными сведениями о том, какие динамически выделяемые верхние порты использует сетевой адаптер, обратитесь к изготовителю устройства.

Примечание 5. Обмен данными между сервером сайта и системами сайта

По умолчанию передача данных между сервером сайта и системами сайта является двусторонней. Сервер сайта инициирует соединение для настройки системы сайта, а затем большинство систем сайта вновь подключаются к серверу сайта для передачи информации о состоянии. Точки служб отчетов и точки распространения не передают сведения о состоянии. Если в свойствах системы сайта включить параметр Сервер сайта должен инициировать подключения к этой системе сайта, после установки системы сайта она не будет инициировать подключение к серверу сайта. Вместо этого сервер сайта начинает обмен данными. Он использует учетную запись установки системы сайта для проверки подлинности на сервере системы сайта.

Примечание 6. Динамические порты

Динамические порты используют диапазон номеров портов, определяемый версией операционной системы. Эти порты также называются временными. Дополнительные сведения о применяемых по умолчанию диапазонах портов см. в статье Обзор служб и требования к сетевым портам в Windows.

Другие порты

В следующих разделах приводятся дополнительные сведения о портах, используемых в Configuration Manager.

Клиент-серверные общие папки

Клиенты используют SMB при подключении к общим UNC-папкам. Пример.

Ручная установка клиента, в которой задано свойство командной строки /source: для CCMSetup.exe.
Клиенты Endpoint Protection, загружающие файлы определений по UNC-пути.

Описание:	Протокол UDP	TCP
Протокол SMB	—	445

Подключения к SQL Server

Для обмена данными с компонентом SQL Server Database Engine, а также для межсайтовой репликации можно использовать порты SQL Server по умолчанию или указать другие порты.

Для межсайтовых связей используются:
- Компонент SQL Server Service Broker, который по умолчанию использует порт TCP 4022.
- Служба SQL Server, которая по умолчанию использует порт TCP 1433.
Для обмена данными между системой базы данных SQL Server и различными ролями системы сайта Configuration Manager по умолчанию используется порт TCP 1433.
Configuration Manager использует одинаковые порты и протоколы для обмена данными с каждой репликой группы доступности SQL Server Always On, в которой размещена база данных сайта, как если бы реплика была отдельным экземпляром SQL Server.

Если при использовании Azure база данных сайта располагается за внутренней или внешней подсистемой балансировки нагрузки, настройте следующие компоненты:

исключения брандмауэра в каждой реплике;
Правила балансировки нагрузки

Настройте следующие порты.

SQL по TCP: TCP 1433
SQL Server Service Broker: TCP 4022
SMB: TCP 445
Сопоставитель конечных точек RPC: TCP 135

Предупреждение

Configuration Manager не поддерживает динамические порты. Именованные экземпляры SQL Server по умолчанию используют динамические порты для подключения к ядру СУБД. При использовании именованного экземпляра необходимо вручную настроить статический порт для передачи данных внутри сайта.

Следующие роли систем сайта соединяются напрямую с базой данных SQL Server.

Роль точки регистрации сертификатов
Роль точки регистрации
Точка управления
Сервер сайтов
Точка служб отчетов
Поставщик SMS
SQL Server --> SQL Server

Если на сервере SQL Server размещены базы данных нескольких сайтов, каждая база данных должна использовать отдельный экземпляр SQL Server. Для каждого экземпляра должен быть настроен уникальный набор портов.

Если вы включаете брандмауэр на основе узла в экземпляре SQL Server, разрешите правильные порты. Кроме того, настройте сетевые брандмауэры между компьютерами, который обмениваются данными с SQL Server.

См. дополнительные сведения о настройке сервера SQL Server для прослушивания определенного TCP-порта.

Обнаружение и публикация

Для обнаружения и публикации сведений о сайтах Configuration Manager использует следующие порты.

Протокол LDAP — 389
Защищенный протокол LDAP (LDAPs, для подписывания и привязки): 636
Глобальный каталог LDAP — 3268
Сопоставитель конечных точек RPC — 135
RPC: динамически назначаемые старшие порты ТСР
TCP: 1024: 5000
TCP: 49152: 65535

Внешние подключения, устанавливаемые Configuration Manager

Локальные клиенты и системы сайтов Configuration Manager могут устанавливать следующие внешние подключения.

Требования к установке для систем сайтов, поддерживающих интернет-клиенты

Примечание

Этот раздел относится только к управлению интернет-клиентами. Он не относится к шлюзу управления облачными клиентами. Дополнительные сведения см. в разделе Управление клиентами в Интернете.

Точки управления и точки распространения в Интернете, поддерживающие интернет-клиенты, точка обновления программного обеспечения, а также резервная точка состояния используют следующие порты для установки и восстановления.

Сервер сайта --> система сайта: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.
Сервер сайта --> система сайта: динамические TCP-порты RPC.
Сервер сайта <--> система сайта: протокол SMB с использованием порта 445 TCP.

Для установки пакетов и приложений в точках распространения требуются следующие порты RPC.

Сервер сайта --> точка распространения: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.
Сервер сайта --> точка распространения: динамические TCP-порты RPC.

Используйте протокол IPSec для защиты обмена данными между сервером сайта и системами сайта. Если необходимо ограничить динамические порты, используемые с RPC, можно использовать средство конфигурации Microsoft RPC (rpccfg.exe). С помощью этого средства можно сконфигурировать ограниченный диапазон портов для этих пакетов RPC. Дополнительные сведения см. в статье Настройка RPC для использования определенных портов и защита этих портов с помощью IPsec.

Важно!

Перед установкой этих систем сайта проверьте, что на сервере системы сайта запущена служба удаленного реестра и что указана учетная запись установки системы сайта, если система сайта находится в другом лесу Active Directory без отношений доверия. Например, служба удаленного реестра используется на серверах с системами сайта, такими как точки распространения (стандартные и по запросу) и удаленные экземпляры SQL Server.

Порты, используемые при установке клиента Configuration Manager

Порты, используемые Configuration Manager при установке клиента, зависят от метода развертывания:

Порты, используемые при миграции

Сервер сайта, выполняющий миграцию, использует определенные порты для подключения к соответствующим сайтам в исходной иерархии. Дополнительные сведения см. в разделе Требуемые настройки для миграции.

Порты, используемые сервером Windows Server

В приведенной ниже таблице перечислены некоторые основные порты, используемые Windows Server.

Описание:	Протокол UDP	TCP
DNS	53	53
DHCP	67 и 68	—
Разрешение NetBIOS-имен	137	—
Служба датаграмм NetBIOS	138	—
Служба сеанса NetBIOS	—	139
Проверка подлинности по протоколу Kerberos	—	88

Дополнительные сведения см. в следующих статьях:

Схема

На следующей схеме показаны подключения между основными компонентами на типичном сайте Configuration Manager. В настоящее время он включает не все подключения.

Дальнейшие действия

Поддержка прокси-сервера

Требования для доступа к Интернету

Хак с самого начала — «Хакер»

Так вот начнем. Как же надо
хакать и с чего начать? Для начала попробуй
просканировать несколька IP по разным
портам. Ты увидишь, что некоторые компьютеры
отвечают, а некоторые нет. Некоторые компьютеры
ответят и только некоторые, возможно некоторые
из найденых будут плохо защищенными и ждать пока
ты из взломаешь.

Небольшое отступление: Ты
скажешь что это за фигня такая — порты и прочая
лабуда ? Порт — это адрес определенного сервиса
запущенного на данном компьютере в интернете.
Также их очень часто называют TCP/IP (Transfer Control
Protocol/Internet Protocol) порты, так как на них может
обратиться другой пользователь из
интернета.Примером может служить принтер или
модем — они ведь тоже обращаются с компьютером
через свои порты.Как только человек выходит в
интернет, он сразу же получает свой уникальный IP
адрес (например: ppp103-3-5.dialup.glasnet.ru).После этого
любой желающий может воспользоваться твоими
ресурсами (которые доступны) также, как и те его
ресурсами. Для того, чтобы воспользоваться
услугами, необходимо указать IP:port чтобы
воспользоваться той или иной услугой (к примеру
195.34.34.30:21 — для того, чтобы попасть на FTP сервер zone.ru)

Теперь ты возможно
приконнектишься к какому нибедь сервакук порту 23
(порт telnet`a) (для тех кто в танке: пуск => выполнить
=> telnet ip:port. Если не указывать порт, то по
умолчанию это 23 порт).Если ты нормально
приконнектишься, то увидишь приглашение с
просьбой ввести логин и пароль. Но поскольку ты
не знаешь логина/пароля, то сервер через
некоторое время пошлет тебя подальше. Если тебе
нечего делать, то можешь попытаться поперебирать
пароли, а когда надоест, можешь читать дальше.

Если попробовать
приконнектиться к серверу не через 21 порт, а
через какие нибудь другие порты, то при большом
везении сервер тебе скажет что ты
приконнектился удачно и ты сможешь легко найти
нужную комбинацию. Это самый простой способ
взламывания серверов.Можно проявить себя как
«Белый хакер в шляпе» — посылаешь письмо
сисадмину и уходишь с этого сервера (типа
незаконно и все в таком духе). Ну а если ты никогда
не слышал про 273-275 статью УК РФ, то… ну я думаю ты
сам догадаешься что тебе делать ;-))

Небольшое отступление: Сервак —
компьютер подключенный к интернету.Сервис —
программа запущенная на серваке на определенном
порту.Каждая такая программа должна отвечать на
определнные программы. Если ты дашь этой
программе правильную комманду, то она должна
что-то сделать для тебя. Самый простейший пример —
сервис «ЭХО» или по другому — генератор
символов (порт 19).Если ты приконнектишься
телнетом по этому порту к компьютеру у которого
запущен этот сервис, эта программа будет
реагировать на любой нажатый тобой символ и
будет показывать его в окне телнета. Все что тебе
нужно — приконнектиться к серваку на котором
запущен нужный тебе сервис. Другой пример — это
сервис поиска нужного человека в сети (Finger). Если
ты задашь этой программе искать какого либо
человека с другого хоста и при этом программа finger
запущена на сервере, а также пользователь не
сделал так, чтобы его эта программа не находила,
то ты получишь об этом пользователи очень
много полезной инфы.

Какие сервисы запущены на
каких портах и откуда об этом узнать ? Порты
находятся в диапазоне от 1 до 1024 и называются
«хорошо известные порты» (well-known) Подробней о
этом можно почитать в RFC стандартах (http://www.internetnorth.com.au/keith/networking/rfc.html).
Также списаок использованных портов можно
посмотреть в файле на компьютере, который
называется «services». В втоем любимом МастДАЕ (10
раз МастДАЙ !) он находится в C:\_твой_MUSTDIE_\SERVICES\ В NT
(тоже МастДАЙ, но получше) это
C:\WINNT\SYSTEM32\DRIVERS\ETC\SERVICES Ну а в ЮНИХЕ это /etc/services/
(хотя если у тя стоит ЮНИХ я думаю те это
объяснять не надо). Эти порту называются хорошо
известными, так как он используются для наиболее
распростроненных сервисов (WWW, Ё-mail, FTP, news, telnet и
так далее) SMTP — отправка почты 25 порт, POP3 — прием
почты 110 порт, WWW — 80 порт FTP — 21 …
Хороший ФАК (в смысле ЧАВО — ЧАсто задаваемые
ВОпросы, а не то что ты подумал !) (правда
англицкий) по TCP/IP портам лежит по адресу http://www.technotronic.com/tcpudp.html

Ты можешь быть сбит с толку тем,
то что существует куча прог для сканирования
всего, чего только возможно и хакеры ими ооочень
часто пользуются. НО ! При этом ты можешь
нарваться на неприятности, так как у сисадминов
есть привычка (далеко не лучшая в твою пользу)
просматривать логи всех коннектов и по каким
портам а так же попытки взлома ихнего сервера.
Некоторые сисадмины свободно разрешают сканить
ихние серверы, а некоторые увидев что-нибудь не
ладное сразу откапывают твоего сисадмина и
жалуются ему какой ты нехороший (в
исключительных случаях это может окончиться тем,
что тебя отключит из инета твой пров навсегда !). В
США сканирование разрешено и сами сисадмины
часто сканят друг друга в целях нахождения дырок.
Но от греха подальше если кого-нить
собираешьсясканить из добрых побуждений — лучше
попроси разрешение или хотя бы уведоми об этом
сисадмина.

Так что же такое дырки в
сиистемах о которых столько говорят? Дырка —
что-нибудь в системе, которое позволяет
кому-нибудь контролировать систему в обход
сисадмина.Существует очень много типов дырок.Это
может быть неправильно сконфигурированная
программа, ошибка в самой программе… Наглядным
примером плохо сконфигурированной программы
может служить старая версия программы sendmail —
если сиадмин оставлял команды wiz и debug или дли
директории неправильные права доступа на FTP
сервере, то любой желающий мог скачать файл
паролей ;-)) В таких слуаях вся вина лежит на
сисадминах, так как ошибка допущена при
конфигурировании, а не из-за самой программы.
Другой очень известный и распрастроненный баг —
расшаривание ресурсов в МастДае когда это
совершенно не нужно или пустой пароль на полный
доступ. Из ошибок программ самые
распространенные — переполнение буфера обмена у
программ созданных для интернета. Очень часто
это используют для того, чтобы перехватить
контроль над серваком и потом делать с ним все
что твоей душе угодно. Ну а теперь перейдем к
очень известному сейчас виду атак — Эксплоитам.
Ты уже наверно не раз слышал об этой атаке, но не
врубал что это такое и как этим пользоваться. Так
вот. Эксплоит — это программа написанная на Си++,
используящая дырки в
системе для получения прав рута (root) — самого
главного человека, которому доступно ВСЕ !!! К
примеру это так называемая FTP-Bounce дырка,
заключаемая в том, что FTP сервер (служит для
скачки/закачки файлов с сервера/на сервер)
настроен так, чтобы переадрисовывать запрос
пользователя на другой компьютер. По идее эта
фича вообще нафиг не нужна (в смысле для
сисадминов — нам она как раз таки и нужна ;-)))Это
только создает возможность взлома, так как эта
фича позволяет
любому человек просканить порты другого
компьютера и представиться компьютеру FTP
сервером с которого идет по типу переадресация и
этот человек получит «ключи от квартиры где
деньги лежат». Вообще эксплоиты наиболее
практические и довольно таки легко применяются
(если голова с руками растет откуда надо). С
эксплоитом можно хорошо поиздеваться над
сисадмином а также над его системой (ой — а зачем
вот эти файлы — они тут вааааще не нужны ! ;-)) ).
Эксплоит хорош еще тем, что он не ломает систему
(сам справишься !) а только дает тебе «ключи».
Как ты знаешь сейчас серваки стоят как минимум на
трех типах платформ : NT, VMS и UNIX. Их куча разных
версий и типов — UNIX делится на BSD, AIX, SCI, Sun OS, Irix и
(наверно) твой любимый ЛИНУХ. Ну и конечно же
каждая версия глючит по разному и по этому под
разные типы и версии существуют эксплоиты так
сказать «нужного калибра», ведь как ты
понимаешь эксплоит
сделанный под NT не будет пахать под UNIX, а
сделанный для Sun OS не будет пахать под Линух (ну
хакеру не проблема переделать эксплоит для одной
версии «на лету» для другой — на то он и
хакер).Ну а разные версии не будут пахать так как
очень часто вообще меняют прогу которая стоит,
только оставляют тоже имя и номер версии
чуть-чуть переделывают. Ну и конечно же все дырки
рано или поздно фиксят и нужно стараться
пользоваться новыми эксплоитами. Ну а теперь
самое главное — как же найти эти дырки ?

Ну для начала посмотри что у
тебя из сервисов есть на компе — набери команду
netstat -a (в Пуск => выполнить) и ты увидишь что-то
типа этого :
Active Connections
Proto Local Address       Foreign
Address      State
TCP
localhost:1027      0.0.0.0:0           LISTENING
TCP
localhost:135       0.0.0.0:0           LISTENING
TCP
localhost:135       0.0.0.0:0           LISTENING
TCP
localhost:1026      0.0.0.0:0           LISTENING
TCP
localhost:1026      localhost:1027
ESTABLISHED
TCP
localhost:1027      localhost:1026
ESTABLISHED
TCP
localhost:137       0.0.0.0:0           LISTENING
TCP
localhost:138       0.0.0.0:0           LISTENING
TCP    localhost:nbsession
0.0.0.0:0           LISTENING
UDP    localhost:135       *:*
UDP    localhost:nbname     *:*
UDP    localhost:nbdatagram *:*

Хммм … вроде ничего
интересного. Ну начнем разгребать что это такое
появилось:

Мы видим что у Local Adres (твой комп)
прослушиваются порты 135, 137, 138 и ‘nbsession’ (вообщем
это 139 порт прослушивается … ну можешь
напесатать netstat -an чтобы увидеть не название
портов, а их номера. Ну насчет этих портов можешь
не беспокоиться — это часть Microsoft Networking и они
нужны для поддержки LAN (локалки, ну в смысле
локадьной сети). Теперь зайди в инет и топай хмммм
… допустим на www.uxx.com, хотя нет, лучше на www.happyhacker.org. Одновременно
телнеться на какой-нить сервак (ну допустим www.whitehouse.gov). Теперь снова жми
netstat -a и вот что у тебя примерно должно
получиться:
Active Connections
Proto Local Address      Foreign
Address     State
TCP    localhost:1027
0.0.0.0:0           LISTENING
TCP    localhost:135
0.0.0.0:0           LISTENING
TCP    localhost:135
0.0.0.0:0           LISTENING
TCP    localhost:2508
0.0.0.0:0           LISTENING
TCP    localhost:2509
0.0.0.0:0           LISTENING
TCP    localhost:2510
0.0.0.0:0           LISTENING
TCP    localhost:2511
0.0.0.0:0           LISTENING
TCP    localhost:2514
0.0.0.0:0           LISTENING
TCP    localhost:1026
0.0.0.0:0           LISTENING
TCP    localhost:1026
localhost:1027      ESTABLISHED
TCP    localhost:1027
localhost:1026      ESTABLISHED
TCP    localhost:137
0.0.0.0:0           LISTENING
TCP    localhost:138
0.0.0.0:0           LISTENING
TCP    localhost:139
0.0.0.0:0           LISTENING
TCP    localhost:2508
zlliks.505.ORG:80   ESTABLISHED
TCP    localhost:2509
zlliks.505.ORG:80   ESTABLISHED
TCP    localhost:2510
zlliks.505.ORG:80   ESTABLISHED
TCP    localhost:2511
zlliks.505.ORG:80   ESTABLISHED
TCP    localhost:2514
whitehouse.gov:telnet  ESTABLISHED

Ну теперь посмотрим что в этот
раз за лабуду выдало. Ну те же порты что и по
начало, вот только добавилось несколько новых
активных портов — 4 коннекта с zllinks.505.ORG по 80 порту
и коннект с whitehouse.gov телнетом.Это полная
статистика того, что происходит с твоим компом и
инетом. Так ты узнал настоящее имя сервака
www.happyhacker.org (zlliks.505.ORG) По идее у тебя должен
возникнуть вопрос — а какого черта есть порты, у
которых номера болше 1024 ??? Так вот, если ты
помнишь начало статьи, то я там говорил, что эти
порты ждут коннекта к ним. Но вот если эта
программа коннетиться куда-нить, то ей помимо
своего порта еще нужен какой-нибудь порт для
приема информации, и этот порт берется за
пределами этих 1024 портов. Так понятно ? К примеру
брацзер может открыватьдо четырех портов — с 2508
по 2511. Теперь ты возможно захочешь посканить
порты друга ? Лучший способ сделать это и не
бояться быть выкинутым из инета своим
провайдером — подпроси друга (подругу) набрать
netstat -r.Тады у него появится около того:
Route Table
Active Routes:
Network Address Netmask       Gateway
Address Interface       Metric
0.0.0.0
0.0.0.0        198.59.999.200
198.59.999.200      1
127.0.0.0
255.0.0.0      127.0.0.1
127.0.0.1           1
198.59.999.0    255.255.255.0
198.59.999.200  198.59.999.200       1
198.59.999.200 255.255.255.255
127.0.0.1       127.0.0.1           1
198.59.999.255 255.255.255.255 198.59.999.200
198.59.999.200      1
224.0.0.0
224.0.0.0      198.59.999.200
198.59.999.200      1
255.255.255.255 255.255.255.255 198.59.999.200
0.0.0.0             1
Active Connections
Proto Local
Address         Foreign
Address        State
TCP
lovely-lady:1093      mack.foo66.com:smtp
ESTABLISHED

Gateway Address и Interface покажут
ему твой реальный IP (ну или IP сервера, если ты
сидишь через локальную сеть). Учти если твой друг
сидит в локалке, то пржде 10 раз подумай чем его
сканить, а то сисадминам очень не нравится, когда
какой недохакер (как они считают) пытается их
поломать и могут пойти на все меры лишь бы
отомстить и поразвлечься (иногда самое
безобидное — синий экран)

Не открывайте порты в мир — вас поломают (риски) / Хабр

Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list’ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps’ы спрашивают: «Зачем?!?»

Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.

Ошибка конфигурации
DDoS по IP
Брутфорс
Уязвимости сервисов
Уязвимости стека ядра
Усиление DDoS атак

Ошибка конфигурации

Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!

Пример намеренно утрированный с целью пройтись по всем граблям:

Ничего нет более постоянного, чем временное — не люблю эту фразу, но по субъективным ощущениям, 20-40% таких временных серверов остаются надолго.
Сложный универсальный пароль, который используется во многих сервисах — зло. Потому что, один из сервисов, где использовался этот пароль, мог быть взломан. Так или иначе базы взломанных сервисов стекаются в одну, которая используется для [брутфорса]*.
Стоит добавить, что redis, mongodb и elastic после установки вообще доступны без аутентификации, и часто пополняют коллекцию открытых баз.
Может показаться, что за пару дней никто не насканит ваш 3306 порт. Это заблуждение! Masscan — отличный сканер, и может сканировать со скоростью 10М портов в секунду. А в интернете всего 4 миллиарда IPv4. Соответственно, все 3306-ые порты в интернете находятся за 7 минут. Карл!!! Семь минут!
«Да кому это надо?» — возразите вы. Вот и я удивляюсь, глядя в статистику дропнутых пакетов. Откуда за сутки 40 тысяч попыток скана с 3-х тысяч уникальных IP? Сейчас сканят все кому не лень, от мамкиных хакеров до правительств. Проверить очень просто — возьмите любую VPS’ку за $3-5 у любого** лоукостера, включите логирование дропнутых пакетов и загляните в лог через сутки.

Включение логирования

В /etc/iptables/rules.v4 добавьте в конец:
-A INPUT -j LOG —log-prefix «[FW — ALL] » —log-level 4

А в /etc/rsyslog.d/10-iptables.conf
:msg,contains,»[FW — » /var/log/iptables.log
& stop

DDoS по IP

Если злоумышленник знает ваш IP, он может на несколько часов или суток заддосить ваш сервер. Далеко не у всех лоукост-хостингов есть защита от DDoS и ваш сервер просто отключат от сети. Если вы спрятали сервер за CDN, не забудьте сменить IP, иначе хакер его нагуглит и будет DDoS’ить ваш сервер в обход CDN (очень популярная ошибка).

Уязвимости сервисов

Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.
Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС. Из опыта, обновления из официального репозитория крайне редко ломают прод.

Брутфорс

Как описал выше, есть база с полу миллиардом паролей, которые удобно набирать с клавиатуры. Другими словами, если вы не сгенерировали пароль, а набрали на клавиатуре рядом расположенные символы, будьте уверены* — вас сбрутят.

Уязвимости стека ядра.

Бывает**** и такое, что даже не важно какой именно сервис открывает порт, когда уязвим сам сетевой стек ядра. То есть абсолютно любой tcp/udp-сокет на системе двухлетней давности подвержен уязвимости приводящий к DDoS.

Усиление DDoS-атак

Напрямую ущерба не принесет, но может забить ваш канал, поднять нагрузку на систему, ваш IP попадет в какой-нибудь black-list*****, а вам прилетит абуза от хостера.

Неужели вам нужны все эти риски? Добавьте ваш домашний и рабочий IP в white-list. Даже если он динамический — залогиньтесь через админку хостера, через веб-консоль, и просто добавьте еще один.

Я 15 лет занимаюсь построением и защитой IT-инфраструктуры. Выработал правило, которое всем настоятельно рекомендую — ни один порт не должен торчать в мир без white-list’a.

Например, наиболее защищенный web-сервер*** — это тот, у которого открыты 80 и 443 только для CDN/WAF. А сервисные порты (ssh, netdata, bacula, phpmyadmin) должны быть как минимум за white-list’ом, а еще лучше за VPN. Иначе вы рискуете быть скомпрометированным.

У меня все. Держите свои порты закрытыми!

(1) UPD1: Здесь можно проверить свой крутой универсальный пароль (не делайте этого не заменив этот пароль на рандомные во всех сервисах), не засветился ли он в слитой базе. А тут можно посмотреть сколько сервисов было взломано, где фигурировал ваш email, и, соответственно, выяснить, не скомпрометирован ли ваш крутой универсальный пароль.
(2) К чести Amazon — на LightSail минимум сканов. Видимо, как-то фильтруют.

(3) Еще более защищенный web-сервер это тот, что за выделенным firewall’ом, своим WAF, но речь о публичных VPS/Dedicated. not actually what happens, but this is the conceptual model a lot of people have in mind.

Это интуитивно понятно, потому что с точки зрения клиента он имеет адрес IP и подключается к серверу по адресу IP:PORT. Поскольку клиент подключается к порту 80, то и его порт должен быть be 80? Это разумная вещь, чтобы думать, но на самом деле не то, что происходит. Если бы это было правильно, мы могли бы обслуживать только одного пользователя на иностранный адрес IP. Как только подключается удаленный компьютер, он подключает порт 80 к порту 80, и никто другой не может подключиться.

Необходимо понять три вещи:

1.) на сервере процесс прослушивает порт. Как только он получает соединение, он передает его другому потоку. Связь никогда не забивает прослушивающий порт.

2.) Соединения однозначно определяется OS по следующим 5-ти: (местные-IP, локальный-порт, пульт-IP, удаленный порт, протокол). Если какой-либо элемент в кортеже отличается, то это совершенно независимое соединение.

3.) Когда клиент подключается к серверу, он выбирает случайный, неиспользуемый порт источника высокого порядка . Таким образом, один клиент может иметь до ~64k подключений к серверу для одного и того же порта назначения.

Итак, это действительно то, что создается, когда клиент подключается к серверу:

    Local Computer   | Remote Computer           | Role
    -----------------------------------------------------------
    0.0.0.0:80       | <none>                    | LISTENING
    127.0.0.1:80     | 10.1.2.3:<random_port>    | ESTABLISHED

Глядя на то, что происходит на самом деле

Во-первых, давайте используем netstat, чтобы увидеть, что происходит на этом компьютере. Мы будем использовать порт 500 вместо 80 (потому что на порту 80 происходит целая куча вещей, так как это общий порт, но функционально это не имеет значения).

    netstat -atnp | grep -i ":500 "

Как и ожидалось, вывод будет пустым. Теперь давайте запустим веб-сервер:

    sudo python3 -m http.server 500

Теперь вот результат повторного запуска netstat:

    Proto Recv-Q Send-Q Local Address           Foreign Address         State  
    tcp        0      0 0.0.0.0:500             0.0.0.0:*               LISTEN      -

Итак, теперь есть один процесс, который активно слушает (состояние: LISTEN) на порту 500. Местный адрес-0.0.0.0, который является кодом для «listening for all». Простая ошибка-прослушивание по адресу 127.0.0.1, который будет принимать соединения только с текущего компьютера. Таким образом, это не соединение, это просто означает, что процесс запросил bind() к порту IP, и этот процесс отвечает за обработку всех подключений к этому порту. Это намекает на ограничение, что на каждый компьютер может быть только один процесс, прослушивающий порт (есть способы обойти это с помощью мультиплексирования, но это гораздо более сложная тема). Если веб-сервер прослушивает порт 80, он не может совместно использовать этот порт с другими веб-серверами.

Итак, теперь давайте подключим пользователя к нашей машине:

    quicknet -m tcp -t localhost:500 -p Test payload.

Это простой скрипт (https://github.com/grokit/dcore/tree/master/apps/quicknet), который открывает сокет TCP, отправляет полезную нагрузку (в данном случае»тестовую полезную нагрузку»), ждет несколько секунд и отключается. Повторное выполнение netstat во время этого процесса показывает следующее:

    Proto Recv-Q Send-Q Local Address           Foreign Address         State  
    tcp        0      0 0.0.0.0:500             0.0.0.0:*               LISTEN      -
    tcp        0      0 192.168.1.10:500        192.168.1.13:54240      ESTABLISHED -

Если вы подключитесь к другому клиенту и снова выполните netstat, то увидите следующее:

    Proto Recv-Q Send-Q Local Address           Foreign Address         State  
    tcp        0      0 0.0.0.0:500             0.0.0.0:*               LISTEN      -
    tcp        0      0 192.168.1.10:500        192.168.1.13:26813      ESTABLISHED -

… то есть клиент использовал для соединения другой случайный порт. Таким образом, между адресами IP никогда не возникает путаницы.

👆Проброс портов и настройка роутера для внешнего доступа | Роутеры (маршрутизаторы) | Блог

Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.

Зачем открывать доступ извне?

Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Кто я, где я, какого я цвета?

С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.

В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.

Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.

Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.

Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.

Что такое порты и зачем их бросать?

Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).

Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.

Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.

Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.

Игровые порты: что, куда бросаем?

Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.

У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.

Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.

В следующей таблице приведены некоторые игры и используемые ими порты на ПК:

Fortnite	Overwatch	PUBG	Tekken 7	WoT
TCP: 5222, 5795:5847	TCP: 80, 1119, 3724, 6113	TCP: 27015:27030, 27036:27037	TCP: 27015:27030, 27036:27037	TCP: 80, 443, 5222, 5223, 6881, 6900:6905, 50010:50014
UDP: 5222, 5795:5847	UDP: 5060, 5062, 6250, 3478:3479, 12000:64000	UDP: 4380, 27000:27031, 27036	UDP: 4380, 27000:27031, 27036	UDP: 53, 1900, 3432, 3478, 3479, 5060, 5062, 6881, 12000:29999, 30443, 32800:32900

Настраиваем проброс портов

Пробросы настраиваются в админ-панели роутера на вкладке «Виртуальные серверы», «NAT», «Переадресация портов», «Трансляция сетевых адресов» и т. п. Они могут быть вложенными во вкладки «Интернет», «Переадресация», «Брандмауэр» или «Безопасность». Все зависит от марки и модели роутера.

Вам нужно определить, какие порты и какой протокол (UDP или TCP) использует программа, для которой вы настраиваете правило. Также следует задать статический IP-адрес для устройства, на которое пробрасывается порт — это делается в настройках DHCP и подробно разбиралось в статье про родительский контроль. Все эти данные следует ввести в соответствующие поля.

Некоторые роутеры позволяют задать также и внешний IP-адрес (или диапазон адресов). Так что если вы знаете IP-адрес, с которого будет идти обращение к вашему устройству (например, адрес игрового сервера), то его следует также ввести на странице — это повысит безопасность соединения.

Теперь все обращения с адреса 132.12.23.122 к порту 3074 вашего роутера он автоматически «перебросит» к вашей приставке PlayStation.

Больше пробросов для разных задач!

Аналогично производится настройка для других программ — и это могут быть не только игры:

задав порт и настроив удаленное управление для uTorrent, можно управлять его загрузками из любой точки мира с помощью браузера;
проброс портов часто требуется для специализированных программ удаленного управления компьютером; более простые, «гражданские» программы могут работать без этого — подробнее о них можно прочитать в этой статье;
для запуска на домашнем компьютере ftp-сервера потребуется открыть и пробросить управляющий порт 21 и отдельный диапазон портов для передачи данных;
пробросив порт 554 на домашнюю IP-камеру, которая умеет передавать видео по протоколу RTSP, можно будет подключиться к ней любым видеоплеером с поддержкой RTSP, вроде VLC;
проброс порта 3389 позволит задействовать службу RDP (Remote Desktop Protocol) в Windows для получения удаленного доступа к рабочему столу компьютера.

DDNS — зачем нужен и как настроить

Если IP-адрес постоянный, то его можно запомнить. Но если он меняется, запоминать его тяжело. Для решения этой проблемы предназначены службы динамического DNS. Вам будет достаточно запомнить определенное доменное имя.

Сервисы DDNS бывают платные и бесплатные, с разным набором возможностей и характеристик. Но пользоваться лучше теми, которые предусмотрел производитель роутера — когда внешний IP-адрес роутера поменяется, они с DDNS сами договорятся, без вашей помощи. Найдите вкладку «DDNS» или «Динамический DNS» в веб-интерфейсе вашего роутера. В пункте «сервис-провайдер» или «DDNS-сервис» вам будет предложен список из нескольких сервисов, можете выбрать любой. Многие производители роутеров имеют собственные DDNS-сервисы — довольно ограниченные в настройках, зато бесплатные. Это DLinkDDNS.com для роутеров D-Link, KeenDNS для роутеров Zyxel, «Облако ТР-Link» для роутеров TP-Link и т. п.

Определившись с будущим сервисом DDNS, нужно зайти на его сайт и создать аккаунт. Бесплатные DDNS-сервисы производителей роутеров могут потребовать ввести серийный номер устройства или как-то иначе подтвердить, что вы работаете с роутером их производства — у каждого производителя по-разному.

Далее вам предложат задать доменное имя для своего домашнего сервера — обычно это домен третьего уровня (то есть vash_vybor.DDNS-service.com). После этого уже можно вернуться в веб-интерфейс и настроить привязку созданного аккаунта к своему роутеру.

Удаленное управление роутером

Во всех прочих руководствах рекомендуется запрещать удаленное управление роутером. Но здесь желательно его разрешить — будет крайне обидно, если вы, например, при пробросе портов упустили какую-то мелочь и не можете из-за этого «достучаться» до сети, будучи в командировке или в отпуске. Удаленное управление роутером позволит внести необходимые исправления и получить доступ.

Разрешите «Удаленный доступ» в веб-интерфейсе и задайте правила удаленного доступа. Так, если вам известен постоянный IP-адрес компьютера, с которого вы будете производить настройку, его следует задать — это увеличит безопасность вашей сети.

Если же вы хотите получить возможность доступа к роутеру с любого устройства, подключенного к Интернету, это тоже можно сделать, но обязательно задайте сложный пароль на доступ к веб-интерфейсу — иначе ваша локальная сеть станет «легкой добычей» для хакеров.

VPN как крайний выход

Если провайдер выдает «серый» адрес и никак не желает давать «белый», даже за деньги, придется использовать VPN.

Обычно VPN-сервисы предоставляют выход в сеть через сервер в любой точке мира — Private Internet Access, TorGuard, CyberGhost VPN, Game Freedom и т. п. Бесплатных среди них нет, но для удаленного доступа к своему компьютеру или командных игр вам «внешний» сервер и не нужен. Достаточно создать «виртуальную сеть» из своего домашнего компьютера и, например, рабочего. Или ноутбука для поездок, с которого вы ходите получать доступ к домашней сети. Или всех компьютеров ваших игровых друзей. Достаточно выбрать какую-нибудь из бесплатных VPN-утилит, например, Hamachi, Remobo, NeoRouter и т. д. И запустить ее на всех компьютерах, которые нужно объединить.

Прелесть в том, что это можно сделать без настройки роутера, с самого «серого» адреса и под самым «злобным» файрволом. Можно соединить в сеть и больше двух компьютеров, хотя в бесплатных версиях их количество ограничено.

Кроме того, в Интернете существует множество открытых (без пароля) VPN, созданных специально для игр — вам остается только найти VPN вашей любимой игры, подключиться к ней с помощью одной из вышеупомянутых утилит — и играть. Чуть сложнее дело обстоит с играми, в которых требуется подключение к игровому серверу.

Существуют VPN-сети с запущенными серверами популярных игр, но пользователей на них в разы меньше, чем на открытых серверах. Кроме того, такие сервера есть не для всех игр. Сыграть в World of Tanks или World of Warcraft с помощью таких утилит не получится, придется раскошеливаться на полноценный VPN-сервис. Но об этом — в следующий раз.

Внешние интерфейсы компьютера для подключения устройств

Независимо от производителя Вашей модели, независимо HP, Canon, Samsung или любого другого, при установке нужно выбрать порт принтера, к которому тот подключен кабелем. Система может предложить на выбор несколько вариантов, но задача пользователя знать какой из них нужно использовать. Для дальнейшего удачного завершения процесса подключения важно правильно определить имя порта.

Мы собрали все актуальные и действенные способы быстро узнать нужную информацию для правильной установки принтера. Особое внимание уделено популярному варианту подключения посредством USB кабеля, который уже давно вытеснил устаревшие LPT и COM интерфейсы.

Какой тип подключения используете?

Всего голосов: 1529

18.03.2019

* — добавлен посетителем

Вы или с вашего IP уже голосовали.

Что такое порты компьютера?

Внешние разъемы компьютера еще называют коммуникационными портами, так как они отвечают за связь между компьютером и периферийными устройствами. Как правило, основа порта размещается на материнской плате.

Все внешние интерфейсы компьютера делятся на два вида, в зависимости от их вида и протокола, используемого для связи с центральным процессором. Это последовательные и параллельные порты.

Последовательный (serial) порт — это интерфейс, через который устройства могут быть подключены с использованием последовательного протокола. Этот протокол позволяет передавать один бит данных за один раз по одной линии. Наиболее распространенный тип последовательного порта — D-sub, который позволяет передавать сигналы RS-232.

Параллельный порт работает немного по-другому, обмен данными между периферийным устройством осуществляется параллельно с помощью нескольких линий связи. Большинство портов для современных устройств — параллельны. Дальше мы рассмотрим более подробно каждый тип внешних интерфейсов компьютера, а также их предназначение.

Ввод и общие порты

В современных компьютерах последовательные порты практически уже не используются они были вытеснены более современными параллельными портами, которые имеют лучшую производительность работы. Но на многих материнских платах все еще есть разъемы для этих интерфейсов. Это сделано для совместимости со старыми устройствами, такими как мыши и клавиатуры.

PS/2

Разъем PS/2 был разработан корпорацией IBM для подключения мыши и клавиатуры. Он начал использоваться начиная с устройства персонального компьютера IBM/2. От имени этого компьютера и было образовано имя порта. Интерфейс имеет специальную маркировку — фиолетовый для клавиатуры и зеленый для мыши.

Как вы можете видеть, это разъем на шесть контактов, вот его схема:

Даже несмотря на то что цоколи и раскладка контактов для мыши и клавиатуры одинаковы, компьютер не обнаружит устройство, если вы подключите его не в тот разъем. Как я уже говорил, на данный момент PS/2 уже вытеснен другой технологией. Теперь подключение к компьютеру периферийных устройств чаще всего выполняется по USB.

Последовательный порт (Serial Port)

Несмотря на то, что последовательными портами называется целая группа портов, включая PS/2, есть еще одно значение у этого термина. Он используется для обозначения интерфейса совместимого со стандартом RS-232. К таким интерфейсам относятся DB-25 и DE-9.

DB-25 — это вариант разъема D-Sub изначально разработанный в качестве основного порта для соединения по протоколу RS-232. Но большинство устройств используют не все контакты.

Затем был разработан DE-9, который работал по тому же протоколу, а DB-25 стал использоваться чаще для подключения принтера вместо параллельного порта. Сейчас DE-9 — это основной последовательный порт, работающий по протоколу RS-232. Его также называют COM портом. Этот разъем все еще иногда применяется для подключения мыши, клавиатуры, модемов, ИБЛ и других устройств, работающих по этому протоколу.

Сейчас интерфейсы подключения устройств компьютеру DB-25 и DE-9 применяются все реже, потому что их вытесняет USB и другие порты.

Параллельный порт Centronics или 36-pin порт

Порт Centronics или 36-pin был разработан для связи компьютера и принтера по параллельному протоколу. Он имеет 36 контактов и перед началом широкого применения USB был достаточно популярен.

Что такое сетевой порт сайта, компьютера или другого устройства — список портов по умолчанию

13.12.18 Разное 2798

Довольно часто можно услышать про использование сетевых портов, но не все понимают, что это такое. Для чего нужны порты обычному пользователю можно догадаться не сразу, а найти понятный ответ в сети бывает непросто.

Для начала дадим определение — что такое сетевой порт с технической точки зрения. Это натуральное число 0 до 65535, которое записывается в заголовках протоколов транспортного уровня сетевой модели OSI. Оно используется для определения программы или процесса-получателя пакета в пределах одного IP-адреса. Но такое определение понятно только специалистам, а работать с портами бывает приходиться и обычным пользователям – например, необходимо освободить занятый порт.

Рассмотрим простое определение сетевого порта. Всем известно, что для доступа к ресурсам в сети используются IP-адреса. Такой адрес есть у любого устройства — компьютера, телефона, сервера и т.д. Но на одном IP-адресе могут быть доступны разные сервисы – могут работать различные программы для выполнения разных функций. Например, на сервере с одним IP может быть размещен сайт и установлены дополнительные программы, помимо этого сайта. Как в таком случае получить доступ к конкретному сервису? Всё просто – указать при обращении не только IP-адрес, но и порт. Сайту отводится один порт, каждому другому сервису назначается другой уникальный порт. В результате по одному IP-адресу доступно множество сервисов.

При обращении к сайту браузер обычно не указывает порт в строке адреса, он подставляет его автоматически. Например, запрос к сайту https://example.com на самом деле выглядит как https://example.com:443. Порт в URL-адресе указывается после двоеточия, в данном примере 443 – для https (если бы использовался http – порт был бы 80).

Просканировать и проверить порты можно при помощи специальных сервисов в интернете или при помощи стандартных утилит ОС. Некоторые порты зарезервировала для себя корпорация IANA, которая отвечает за правильное функционирование сетевых протоколов. Это короткие номера идентификаторов, диапазон чисел от 0 до 1023 (всего – 1024).

Список портов по умолчанию для популярных протоколов:

21 – ftp;
22 – ssh;
23 – telnet;
25 – smtp;
43 – whois;
53 – dns;
68 – dhcp;
80 – http;
110 – pop3;
115 – sftp;
119 – nntp;
123 – ntp;
139 – netbios;
143 – imap;
161 – snmp;
179 – bgp;
220 – imap3;
389 – ldap;
443 – https;
993 – imaps;
1723 – pptp;
2049 – nfs;
3306 – mysql;
3389 – rdp;
5060 – sip;
8080 – http (альтернативный).

Как видно из списка, если порт занят, можно использовать альтернативный. Порт 80 и 8080 — разница здесь не существенна, просто если порт 80 занят, можно дописать еще число 80 и получится порт 8080.

Частый вопрос — как открыть закрытый порт? Это делается в настройках файрволла (брандмауэр) компьютера или сервера. Обычно достаточно открыть его дополнительные параметры и там создать правила для входящих подключений, в которых потребуется выбрать нужный протокол и прописать нужные порты. А как освободить занятый порт? Для этого необходимо узнать какой программой он занят и просто закрыть ее или указать в ее настройках другой порт.

← Как посмотреть локальное видео в браузере без проигрывателя

Разработать систему управления образованием для школы, СУЗа, ВУЗа или другого заведения →

Комментарии (0)

Для комментирования войдите или зарегистрируйтесь.

Аудиопорты

Аудио порты используются для подключения акустических систем и других устройств вывода звука к компьютеру. Звуковые сигналы могут передаваться в аналоговой или в цифровой форме, в зависимости от используемого разъема.

Разъем 3,5 мм

Этот порт наиболее часто используется для подключения наушников или устройств с поддержкой объемного звучания. Разъем состоит из шести гнезд и есть на любом компьютере для вывода аудио, а также подключения микрофона.

Гнезда имеют такую цветовую маркировку:

S/PDIF / TOSLINK

Цифровой интерфейс передачи аудио от Sony / Phillips используется в различных устройствах воспроизведения. Его можно использовать для коаксиального RCA аудиокабеля и оптоволоконного TOSLINK.

Большинство домашних компьютеров содержат этот интерфейс подключения через TOSLINK (Toshiba Link). Такой порт может поддерживать 7.1-канальный объемный звук с помощью только одного кабеля.

Открытие и закрытие

Как я уже и говорил ранее – данную функцию выполняет сама система или установленные программы. Но вы сами можете изменять или добавлять некоторые правила. По сути вам нужно указать сетевой порт, а также приложение или программу, для которой это правило будет действовать. Если же вы будете производить настройку на роутере, то нужно будет указывать IP адрес устройства переадресации.

Для начала вам нужно определиться с тем – какой «вход» вы хотите открыть и для чего. Номер и название приложение вы можете посмотреть в том PDF файле, который я прикрепил выше. Покажу на примере игры World of Warcraft. Будем открывать официально зарезервированный номерной «вход» – 3724. Вообще в играх чаще всего используется именно UDP порт, который работает в потоковой передаче данных. Но вам нужно смотреть именно в столбец с портом: там будет подсказка, какой протокол надо использовать в выбранном приложении (TCP или UDP).

В Windows нужно открыть меню «Пуск» и перейти в «Панель управления».
Заходим в «Брандмауэр»

«Дополнительные параметры»

Слева в окне нажимаем «Правила для входящих подключений». Вы сразу тут увидите очень много правил под каждое установленное приложение.

В окошке справа выбираем «Создать правило…». Так как мы будем открывать порт для игры, то выбираем вторую галочку.

Создаем UDP правило и вводим только номер, указанные в том PDF файлике – в моем случае это: 3724 (я показываю на примере игры WOW у вас может быть совершенно другой номер). Вы также можете указать диапазон номеров. Для TCP и UDP лучше создать два правила отдельно.

Оставляем значение по умолчанию «Разрешить подключение».

ПРИМЕЧАНИЕ! Таким образом вы можете закрыть определенный «вход», выбрав «Блокировать подключение».

Далее идут правила профилей – можно оставить все. Самое главное, чтобы при подключении к удаленному ресурсу через интернет был включен «Публичный» профиль.

В самом конце вводим название и описание. В название я советую добавлять номер порта, который вы открыли, чтобы потом его не потерять.

Видео интерфейсы

Порт VGA

Этот порт есть в большинстве компьютеров. Он размещен на видеокарте и предназначен для подключения экранов, проекторов и телевизоров высокой четкости. Это порт типа D-Sub разъем, состоящий из 15 контактов, размещенных в три ряда. Разъем называется DE-15.

Порт VGA — это основной интерфейс для связи между компьютерами и более старыми ЭЛТ-мониторами. Современные ЖЖ-дисплеи и светодиодные мониторы поддерживают VGA, но качество изображения снижается до разрешения 648×480.

В связи с увеличением использования цифрового видео, порты VGA заменяются на HDMI и Display. В некоторых ноутбуках тоже есть порты VGA, для подключения внешних мониторов. Вот его схема:

Digital Video Interface (DVI)

DVI — это высокоскоростной цифровой интерфейс для обеспечения связи между видеокартой и экраном компьютера. Он был разработан для минимизации потерь при передачи видео сигнала и замены технологии VGA.

Есть несколько типов DVI разъемов, это DVI-I, DVI-D и DVI-A. DVI-I — это порт с возможностью передаче как цифровых, так и аналоговых сигналов. DVI-D поддерживает только цифровые сигналы, DVI-A — только аналоговые. Цифровые сигналы могут передавать видео с разрешением 2560х1600.

Кроме того, было разработано несколько модификаций. Apple разработала Mini-DVI, который выглядит очень похоже на VGA и намного меньше, чем обычный DVI:

Затем был еще Micro-DVI, он еще меньше чем Mini-DMI и по размеру похож на разъем USB и способен передавать только цифровые сигналы:

Display Port

Display Port это цифровой интерфейс, который был разработан для замены VGA и DVI и может передавать не только видео, но и аудио сигналы. Последняя версия может передавать видео с разрешением до 7680х4320.

Display Port имеет 20-контактный разъем, который намного меньше чем DVI и позволяет передавать более высокое разрешение видео. Вот схема размещения контактов:

Разъем RCA

Порт RCA может передавать аудио и видео сигнал с помощью трех кабелей. Видео сигнал передается по желтому кабелю и поддерживается максимальное разрешение до 576i. Красный и белый порт используются для передачи аудио сигнала.

Component Video

Интерфейс Component Video разделяет видеосигнал на несколько каналов и позволяет получить более высокое качество, чем при использовании RCA. Могут передаваться как аналоговые, так и цифровые сигналы.

S-Video

S-Video используется только для передачи видеосигнала. Качество изображения лучше, чем в двух предыдущих вариантах, но разрешение меньше чем в Component. Этот порт, как правило, черного цвета и есть во всех телевизорах и большинстве компьютеров. Он очень похож на PS/2, но имеет только 4 контакта:

HDMI

HDMI расшифровывается как High Definition Media Interface. Это интерфейс для передачи и приема цифрового видео и аудио сигнала высокой четкости на такие устройства как мониторы компьютера, телевизоры высокой четкости, Blue-Ray плееры, игровые консоли, камеры. Сейчас HDMI считается стандартным портом для передачи видео данных.

Порт HDMI типа A выглядит вот так:

В разъеме используется 19 контактов, а последняя версия 2.0 может передавать видеосигнал с разрешением 4096х2160 и 32 аудиоканала. Схема подключения контактов:

Внешние интерфейсы

Для согласования интерфейсов периферийные устройства подключаются к шине не напрямую, а через свои контроллеры (адаптеры) и порты по следующей схеме:

Контроллеры и адаптеры представляют собой наборы электронных цепей, которыми снабжаются устройства компьютера с целью совместимости их интерфейсов. Контроллеры, кроме этого, осуществляют непосредственное управление периферийными устройствами по запросам микропроцессора.

Порты устройств представляют собой некие электронные схемы, содержащие один или несколько регистров ввода-вывода и позволяющие подключать периферийные устройства компьютера к внешним шинам микропроцессора.

Портами также называют устройства стандартного интерфейса: последовательный

,
параллельный
и
игровой
порты (или интерфейсы).

Последовательный порт обменивается данными с процессором побайтно, а с внешними устройствами – побитно.

Параллельный порт получает и посылает данные побайтно.

К последовательному порту обычно подсоединяют медленно действующие или достаточно удаленные устройства, такие, как мышь и модем. К параллельному порту подсоединяют более «быстрые» устройства – принтер и сканер.

Через игровой порт подсоединяется джойстик. Клавиатура и монитор подключаются к своим специализированным портам, которые представляют собой просто разъемы.

ИТАК: Основные электронные компоненты, определяющие архитектуру процессора, размещаются на основной плате компьютера, которая называется системной или материнской (MotherBoard). А контроллеры и адаптеры дополнительных устройств, либо сами эти устройства, выполняются в виде плат расширения (DаughterBoard – дочерняя плата) и подключаются к шине с помощью разъемов расширения, называемых также слотами расширения (англ. slot – щель, паз).

Принтеры, модемы и другое периферийные оборудование подключается к компьютеру через стандартизированные интерфейсы (порты). В зависимости от способа передачи информации между сопрягаемыми устройствами различают параллельные и последовательные интерфейсы.

Последовательный порт RS-232-С – является стандартом для соединения ЭВМ с различными последовательными внешними устройствами (принтера, сканера, модема, мыши и др.), а также для связи компьютеров между собой. Основными преимуществами использования RS-232C являются возможность передачи на большие расстояния (по стандарту длина соединительного кабеля может доходить до 15 метров) и гораздо более простой кабель (с меньшим количеством проводов). В то же время работать с RS-232C несколько сложнее. Данные в интерфейсе RS-232C передаются в последовательном коде (бит за битом) побайтно. Каждый байт обрамляется стартовым и стоповыми битами. Данные могут передаваться как в одну, так и в другую сторону по разным проводам (дуплексный режим). Скорость передачи — до 14,4 Кбайт/с (115,2 Кбит/с).

Разъем для подключения может содержать 9 или 25 выводов D9, D25.

VGA-порт – 15-контактный разъем. Предназначенный для подключения аналоговых мониторов по стандарту VGA. В настоящее данный интерфейс морально устарел и активно вытесняется цифровыми интерфейсами DVI, HDMI и DisplayPort.

Цифровой интерфейс DVI (Digital Visual Interface) передает видеосигнал в цифровом формате и обеспечивает высокое качество цифрового изображения. Интерфейс хотя и цифровой, однако, имеет совместимость с аналоговым разъемом VGA (передает одновременно сигнал и в цифровом формате, и в аналоговым). Недорогие видеоплаты снабжены DVI-выходом с одноканальной модификацией (Single Link). В данном случае обеспечивается разрешение монитора 1920*1080. Более дорогие модели снабжены двухканальным интерфейсом (Dual Link) и могут поддерживать разрешение до 2560*1600. Для ноутбука разработан интерфейс mini-DVI.

На сегодняшний день существует множество переходников, например, наиболее распространенный – DVI-I/ VGA (доступный по цене). Есть конвертеры, преобразующие выходной цифровой сигнал в аналоговый (например, DisplayPort/VGA), но такой вариант обойдется вам намного дороже.

Однако нужно еще кое-что учитывать при выборе переходника. Некоторые из них лишают имеющийся интерфейс некоторых преимуществ. Например, при подключении HDMI разъем монитора или телевизора к разъему DVI будет отсутствовать звук.

Мультимедийный цифровой интерфейс с высоким разрешением HDMI (High Definition Multimedia Interface) чаще всего используется в устройствах домашнего развлечения (плоские телевизоры, blu-ray-плейеры). Разъем монитора также сохраняет высокое качество исходного сигнала. Вместе с этим интерфейсом была разработана и новая технология HDCP, защищающая контент от точного копирования, например, те же видеоматериалы.

С 2003 года (временя создания) интерфейс несколько раз модифицировали, добавляя поддержку видео и аудиоформатов. Для небольших моделей техники создан миниатюризированный интерфейс. Им комплектуются многие устройства.

DisplayPort (DP) – новый цифровой интерфейс, предназначенный для соединения графических адаптеров с устройствами отображения. Текущая версия разрешает подключение нескольких мониторов при условии их последовательного подключения в цепочку.

На данный момент устройств с таким портом немного, но у DP большое будущее. Его усовершенствованная модель DP++ (такое обозначение можно увидеть на разъемах ноутбуков или компьютеров) позволяет подключать мониторы с HDMI или DVI интерфейсами.

USB

Интерфейс Universal Serial Bus (USB) заменил последовательные и параллельные порты, PS/2 игровые порты и зарядные устройства. Этот порт может применяться для передачи данных, выступать в качестве интерфейса для подключения периферийных устройств и даже использоваться в качестве источника питания. Сейчас существует четыре вида USB: Type-A, Type-B, Type-C, micro-USB и mini-USB. С помощью любого из них может быть выполнено подключение внешних устройств к компьютеру.

USB Type-A

Порт USB Type-A имеет 4-контактный разъем. Существует три различных, совместимых версии — USB 1.1, USB 2.0 и USB 3.0. Последний является общим стандартом и поддерживает скорость передачи данных до 400 Мбит/сек.

Позже был выпущен стандарт USB 3.1, который поддерживает скорость до 10 Гбит/сек. Черный цвет обозначает USB 2.0, а USB 3.0 — помечена синим. Вы можете видеть это на изображении:

Схема подключения контактов:

USB Type-C

Type-C — это последняя спецификация USB и в этот разъем можно вставлять коннектор любой стороной. Планируется, что со временем она заменит Type-A и Type-B.

Порт Type-C состоит из 24 контактов и может пропускать ток до 3А. Эта особенность используется для современной технологии быстрой зарядки.

Сетевые порты

Порт RJ-45

Интерфейс RJ-45 используется для подключения компьютера к интернету по технологии Ethernet. Интерфейс Registered Jack (RJ) используется для организации компьютерные. RJ-45 представляет собой 8-контактный модульный разъем.

Последняя версия Ethernet называется Gigabit Ethernet и поддерживает скорость передачи данных до 10 Гбит/секунду. RJ-45 обычно называется LAN Ethernet порт с типом подключения 8P – 8C. Часто порты оснащены двумя светодиодами для индикации передачи и приема пакетов.

Как я уже говорил, RJ-45 имеет 8 контактов, они изображены на этой схеме:

RJ-11

RJ-11 — это другой тип Registered Jack, который используется в качестве интерфейса для телефона, модема, или ADSL соединения. Компьютеры почти никогда не оснащаются, но это основной интерфейс для всех телекоммуникационных сетей.

RJ-45 и RJ-11 похожи друг на друга, но RJ-11 немного меньше и использует 6 гнезд и 4 контакта (6p-4c) но достаточно было бы схемы 6P-2C. Вот изображение этого разъема:

Также можете сравнить насколько похожи RJ-45 и RJ11:

Проверка занят ли порт на Linux или Unix » Администрирование серверов

Как определить используется порт на Linux или Unix-подобной системах.Как я могу проверить, какие порты прослушиваются на сервере Linux?

Важно, знать, какие порты находятся в официальном списке сетевых интерфейсов сервера. Вам нужно обратить внимание, при открытии портов из-за возможных попыток взлома. Помимо вторжения, для устранения неполадок, может потребоваться, проверить, порт уже используется другим приложением на ваших серверах. Например, вы можете установить сервер Apache и Nginx на той же системе. Поэтому необходимо знать, если Apache или Nginx использует TCP порт # 80/443. Это краткое руководство содержит шаги, как использовать NetStat, Nmap и LSOF команды, чтобы проверить порты в использовании и просмотреть приложение, которое использует порт.

Как проверить порты прослушивания и приложений на Linux:

Откройте приложение терминала т.е. приглашение оболочки.
Выполните любое из следующих команд:
sudo lsof -i -P -n | grep LISTEN sudo netstat -tulpn | grep LISTEN sudo nmap -sTU -O IP-address-Here
sudo lsof -i -P -n | grep LISTEN
sudo netstat -tulpn | grep LISTEN
sudo nmap -sTU -O IP-address-Here

Давайте посмотрим на команды и вывод в деталях.

Вариант № 1: Lsof команда

Синтаксис:

$ sudo lsof -i -P -n $ sudo lsof -i -P -n | grep LISTEN $ doas lsof -i -P -n | grep LISTEN ### [OpenBSD] ###

$ sudo lsof -i -P -n

$ sudo lsof -i -P -n | grep LISTEN

$ doas lsof -i -P -n | grep LISTEN ### [OpenBSD] ###

Пример результата:

Рассмотрим последнюю строку примера:

sshd 85379 root 3u IPv4 0xffff80000039e000 0t0 TCP 10.86.128.138:22 (LISTEN)

SSHD это имя приложения.
10.86.128.138 IP — адрес , к которому SSHd привязан и прослушивается на этом IP
22 TCP — порт, который используется, прослушивается данной программой
85379 это идентификатор процесса SSHd

Вариант № 2: NetStat команда

Вы можете проверить порты прослушивания и приложений с NetStat следующим образом.

NetStat синтаксис Linux

$ netstat -tulpn | grep LISTEN

FreeBSD / MacOS X NetStat синтаксис

$ netstat -anp tcp | grep LISTEN $ netstat -anp udp | grep LISTEN

$ netstat -anp tcp | grep LISTEN

$ netstat -anp udp | grep LISTEN

OpenBSD NetStat синтаксис

$ netstat -na -f inet | grep LISTEN $ netstat -nat | grep LISTEN

$ netstat -na -f inet | grep LISTEN

$ netstat -nat | grep LISTEN

Вариант № 3: Nmap команда

Синтаксис:

$ sudo nmap -sT -O localhost $ sudo nmap -sU -O 192.168.2.13 ##[ list open UDP ports ]## $ sudo nmap -sT -O 192.168.2.13 ##[ list open TCP ports ]##

$ sudo nmap -sT -O localhost

$ sudo nmap -sU -O 192.168.2.13 ##[ list open UDP ports ]##

$ sudo nmap -sT -O 192.168.2.13 ##[ list open TCP ports ]##

Пример результата:

Вы можете комбинировать TCP / UDP сканирование в одну команду:

$ sudo nmap -sTU -O 192.168.2.13

Замечание о пользователях Windows

Вы можете проверить использование порта из операционной системы Windows, используя следующую команду:

netstat -bano | more netstat -bano | grep LISTENING netstat -bano | findstr /R /C:»[LISTING]»

netstat -bano | more

netstat -bano | grep LISTENING

netstat -bano | findstr /R /C:»[LISTING]»

Предоставляем услуги поддержи Linux/Unix серверов

сокетов — как приложение может использовать порт 80 / HTTP без конфликта с браузерами?

сокеты — как приложение может использовать порт 80 / HTTP без конфликта с браузерами? — Переполнение стека

Присоединяйтесь к Stack Overflow , чтобы учиться, делиться знаниями и строить свою карьеру.

Спросил 10 лет, 11 мес назад

Просмотрено 62к раз

Если я правильно понимаю, приложения иногда используют HTTP для отправки сообщений, поскольку использование других портов может вызвать проблемы с брандмауэром.Но как это работает, не конфликтуя с другими приложениями, такими как веб-браузеры? Фактически, как несколько браузеров, запущенных одновременно, не конфликтуют? Все ли они контролируют порт и получают уведомления … можно ли таким образом поделиться портом?

У меня такое чувство, что это глупый вопрос, но я никогда раньше не задумывался о нем, а в других случаях я видел проблемы, когда 2 приложения настроены на использование одного и того же порта.

Создан 02 июн.

Мистер.Мальчик Мальчик

2,1k8484 золотых знака1112 серебряных знаков517517 бронзовых знаков

Имеется 2 порта: исходный порт (браузер) и целевой порт (сервер). Браузер запрашивает у ОС доступный исходный порт (скажем, он получает 33123 ), затем устанавливает сокетное соединение с портом назначения (обычно 80 / HTTP , 443 / HTTPS ).

Когда веб-сервер получает ответ, он отправляет ответ, который имеет 80 в качестве порта источника и 33123 в качестве порта назначения.

Итак, если у вас есть 2 браузера, одновременно обращающихся к stackoverflow.com, у вас будет что-то вроде этого:

  Firefox (localhost: 33123) <-----------> stackoverflow.com (69.59.196.211:80)
Chrome (локальный: 33124) <-----------> stackoverflow.com (69.59.196.211:80)

HoldOffHunger

10.9k66 золотых знаков5252 серебряных знака9999 бронзовых знаков

Создан 02 июня ’10 в 15: 592010-06-02 15:59

Флавий СтефФлавий Стеф

13.2k22 золотых знака2424 серебряных знака2222 бронзовых знака

Исходящие HTTP-запросы не поступают на порт 80.Когда приложение запрашивает сокет, оно обычно получает его случайным образом. Это исходный порт.

Порт 80 предназначен для обслуживания содержимого HTTP (сервером, а не клиентом). Это порт назначения.

Каждый браузер использует свой источник для генерации запросов. Таким образом, пакеты вернутся в нужное приложение.

Создан 02 июн.

Джастин НисснерДжастин Нисснер

221 11 золотой знак 33 серебряных знака 1521 бронзовый знак

Это набор из 5 элементов (IP-протокол, локальный IP-адрес, локальный порт, удаленный IP-адрес, удаленный порт), который идентифицирует соединение.Каждый из нескольких браузеров (или фактически один браузер, загружающий несколько страниц одновременно) будет использовать порт назначения 80, но локальный порт (который назначается O / S) в каждом случае отличается. Следовательно, конфликта нет.

Создан 02 июня ’10 в 15: 522010-06-02 15:52

jchljchl

5,84411 золотых знаков2525 серебряных знаков5151 бронзовый знак

Клиенты обычно выбирают порт от 1024 до 65535.Как с этим справиться, зависит от операционной системы. Я думаю, что клиенты Windows увеличивают значение для каждого нового соединения, клиенты Unix выбирают случайный номер порта.

Некоторые службы полагаются на статический порт клиента, например NTP (123 UDP)

Создан 02 июня ’10 в 15: 522010-06-02 15:52

Юрген Штайнблок

26.6k2121 золотой знак100100 серебряных знаков169169 бронзовых знаков

Браузер — это клиентское приложение, которое вы используете для просмотра контента на веб-сервере , который обычно находится на другом компьютере. Веб-сервер прослушивает порт 80, а не браузер на клиенте.

Создан 02 июня ’10 в 15: 502010-06-02 15:50

ob1ob1

1,9989 серебряных знаков2424 бронзовых знака

Вы должны быть осторожны, проводя различие между «прослушиванием порта 80» и «подключением к порту 80».

Когда вы говорите «приложения иногда используют HTTP для отправки сообщений, поскольку использование других портов может вызвать проблемы с брандмауэром», вы на самом деле имеете в виду «приложения иногда отправляют сообщения на порт 80».

Сервер прослушивает порт 80 и может принимать несколько подключений на этом порту.

Создан 02 июня ’10 в 15: 512010-06-02 15:51

Конерак

37.1k1111 золотых знаков9393 серебряных знака114114 бронзовых знака

Порт 80, о котором вы говорите, — это удаленный порт на сервере, локально браузер открывает высокий порт для каждого установленного соединения.

Каждое соединение имеет номера портов на на обоих концах , один называется локальным портом, другой — удаленным портом.

Брандмауэр

разрешит трафик на порт высокого уровня для браузера, поскольку он знает, что соединение было установлено с вашего компьютера.

Создан 02 июня ’10 в 15: 512010-06-02 15:51

vartecvartec

1k3434 золотых знака206206 серебряных знаков238238 бронзовых знаков

6 Stack Overflow лучше всего работает с включенным JavaScript

Ваша конфиденциальность

Нажимая «Принять все файлы cookie», вы соглашаетесь с тем, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.

Принимать все файлы cookie Настроить параметры

Докер

— Невозможно привязать порт 80

Я использую docker compose для запуска простого проекта веб-сервера, который я создал.Эта конфигурация работала нормально в течение нескольких месяцев, но внезапно перестала работать после того, как я не был в офисе в течение двух недель.

Это работает, когда я отображаю свои порты вот так — 8080: 80 , но я не хочу, чтобы мне приходилось каждый раз вводить порт 8080. Я использовал netstat -a -n -o | findstr / c: 80 , чтобы найти идентификатор процесса, слушающего порт 80, и tasklist / fi "pid eq 4" , чтобы узнать, как называется процесс.

Оказывается, это какой-то системный процесс, поэтому я не знаю, что с этим делать.Я удалил Skype и убедился, что служба публикации в Интернете не включена. Есть ли у кого-нибудь объяснение или идеи, как это исправить?

Заранее спасибо.

, когда я запускаю net stop http и убиваю с его помощью все зависимые службы, порт 80 свободен. Останавливаемые службы: удаленное управление Windows (WS-Management), обнаружение SSDP, диспетчер очереди печати, BranchCache и, конечно же, HTTP. Что из этого могло быть виновником?

Теперь я остановил эти службы одну за другой, и после остановки каждой из них кажется, что за это отвечает BranchCache.дальнейшее тестирование следует

docker-compose.yml

  версия: "3"
Сервисы:
  голос-клиент:
    строить:
      контекст:.
      dockerfile: Dockerfile
    порты:
      - «80:80»

Dockerfile

  ОТ nginx
КОПИРОВАТЬ ./html / usr / share / nginx / html

, когда я запускаю docker-compose up , это мой результат:

  docker-compose up - построить
Удаление vote-client_vote-client_1
Сборка-голосование-клиент
Шаг 1/2: ИЗ nginx
 ---> 42b4762643dc
Шаг 2/2: КОПИРОВАТЬ./ HTML / USR / доля / Nginx / HTML
 ---> Использование кеша
 ---> a1aade2a299e
Успешно построен a1aade2a299e
Отмечено тегом vote-client_vote-client: latest
Воссоздание ошибки c2654f31dcff_vote-client_vote-client_1 ...

ОШИБКА: для c2654f31dcff_vote-client_vote-client_1 Невозможно запустить службу голосовой клиент: сбой драйвера при программировании внешнего подключения на конечной точке голосование-client_vote-client_1 (2188c8607a04ba2388a661504601431d6b30825d595dafae0c318f2d2b0.0: неожиданная ошибка запуска пользователя Promission.0.0: ошибка пользователя.

ОШИБКА: для голосового клиента Невозможно запустить сервис-клиент-голосование: драйвер не смог запрограммировать внешнее подключение на конечной точке vote-client_vote-client_1 (2188c8607a04ba2388a661504601431d6b30825d595dafae0c318f2d2b5685b0): Ошибка при запуске прокси-сервера пользовательского уровня: привязка для 0.0.0.0: 80: непредвиденная ошибка В разрешении отказано
ОШИБКА: обнаружены ошибки при запуске проекта.

Что такое порт? (и почему я должен его блокировать?)

, автор — Скотт Пинзон, обновления — Кори Нахрейнер.

При использовании в строительстве или инженерии термин «брандмауэр» означает то, что кажется: стена, способная противостоять огню. Он вызывает ощущение чего-то непроницаемого, например, листа стали или кирпичной стены. Однако в компьютерных сетях термин «брандмауэр» означает нечто «пористое».Подобно ситечку, через который шеф-повар наливает бульон, брандмауэр останавливает все кости (плохое), но пропускает весь бульон (хороший продукт) — по крайней мере, теоретически.

Но как межсетевой экран узнает, что плохо, а что хорошо? Как он может определить, содержит ли пакет данных атаку или информацию, которую вы с нетерпением ждали? Не может. Брандмауэр просто следует набору правил, часто называемых политикой , которые вы определяете. Вы, , классифицируете типы сетевого трафика как «хороший» или «плохой».«

Прочитав это, вы можете простонать: «Ага! Этот ящик должен был решить мои проблемы с безопасностью! Теперь это ждет, когда я скажу ему, что делать! Что мне делать?» В настоящее время межсетевые экраны следующего поколения (NGFW) позволяют создавать политики с использованием множества атрибутов, включая порты и службы, пользователей и группы, и даже путем определения политик детального доступа для конкретных сетевых приложений (с использованием того, что называется Application Control ). Однако основным механизмом, на который брандмауэры полагаются для разрешения или запрета сетевого трафика, являются портов и служб. Итак, хороший первый шаг в управлении вашим брандмауэром — это быстрое и грязное понимание того, как работают порты и для чего данный порт используется. Эти знания дают вам отправную точку для определения того, какой интернет-трафик разрешить через брандмауэр, а какой запретить.

Быстрые и грязные порты

Поскольку весь Интернет приходит в вашу систему по одному большому проводу, как ваша сеть отличает потоковое видео от веб-страницы и электронное письмо от звукового файла? Ответ сложен, но отчасти боги компьютерных фанатов (читай: изобретатели интернет-протокола или IP) придумали сервисов и портов .

Что такое услуги? Пять наиболее часто используемых интернет-сервисов:

Доступ к всемирной сети (с использованием протокола передачи гипертекста или HTTP)
Электронная почта (с использованием простого протокола передачи почты или SMTP)
Передача файлов (с использованием протокола передачи файлов или FTP)
Преобразование имени хоста в Интернет-адрес (с помощью службы доменных имен или DNS)
Доступ к удаленному терминалу (например, Telnet, Secure Shell, RDP или VNC)

Чтобы помочь системам понять, что делать с данными, которые в них поступают, боги компьютерных фанатов придумали порты.Термин «порт» может относиться к физическому отверстию в устройстве, куда вы что-то подключаете (например, «последовательный порт» или «порт Ethernet»). Но при использовании в отношении IP-сервисов «порты» не являются физическими. Порты — это хорошо структурированная игра «Давайте притворимся» (компьютерный термин — логическая конструкция ) , на которую пользователи Интернета соглашаются, если хотят поиграть друг с другом. Порты делают то, что делают, просто потому, что первые пользователи Интернета пришли к единому мнению относительно них. Если это кажется абстрактным, помните, что деньги работают точно так же.Почему картина Бенджамина Франклина в зеленых тонах стоит сто долларов США? Потому что все мы согласны с этим. Почему порты работают? Потому что все мы этого хотим.

Итак, какой-то бог-компьютерщик произвольно постановил тоном basso profundo: «Когда мы отправляем информацию в системы друг друга и адресуем ее на порт номер 25, позвольте нам настоящим согласиться с предположением, что информация является данными SMTP, и, таким образом, рассматривать ее как электронную почту. . »

Другой бог-компьютерщик ответил тем же, сказав: «Итак, пусть это будет записано. И когда мы отправляем информацию в системы друг друга и адресуем ее на фиктивный номер порта, ммм, 80, давайте согласимся рассматривать эту информацию как данные HTTP, так что что у нас могут быть веб-страницы.»И другие боги компьютерщиков хором воскликнули:» Да будет так «.

Ладно, не все так просто. На самом деле в нем участвовало множество скучных комитетов, которые десятилетиями разбирались в вещах и записывали их в скучные RFC, но то, что в моей версии не хватает точности, становится более кратким. Я хочу сказать, что порт — это выдуманная, или логическая , конечная точка для соединения, а порты позволяют Интернету обрабатывать несколько приложений по одним и тем же проводам. Ваша система определяет, как частично обрабатывать поступающие к ней данные, глядя на то, для какого порта они предназначены.

Бармен, всем больше портвейна!

Поскольку существует пять широко используемых интернет-сервисов, боги компьютерных фанатов могли бы создать 20 или 30 портов (чтобы оставить место для технологий будущего) и назвали это эпохой. Но очевидно, что создание портов вызывает привыкание, потому что сегодня RFC 1700 и Internet Assigned Number Authority (IANA) определили не менее 1023 официальных «хорошо известных портов», а также множество других неофициальных портов. И , эти — всего лишь подмножество из 65 535 портов.

Для чего нужны все эти порты? Убедитесь в этом сами, просмотрев официальный список IANA.

Но вот ключевая концепция: физически мы все еще имеем дело только с проводом, идущим от вашего интернет-провайдера к вашей машине. IANA может указать, как боги компьютерных фанатов официально намерены использовать портов, но ничто не мешает кому-либо делать с любым портом все, что он хочет. Например, HTTP-трафик (веб-страницы и HTML) по соглашению использует порт 80. Но если я хочу отправить HTTP-данные на ваш порт 8080 или 8888, чтобы посмотреть, что происходит, я могу.Фактически, если мы с вами согласимся использовать 8080 для HTTP-трафика в любом направлении и настроим наши системы в соответствии с этим соглашением, это будет работать.

Вот где начинается самое интересное для всех этих злых хакеров, которые злобно кудахтают, моют руки в воздухе и обдумывают взлом вашей системы.

Порты существуют либо в разрешающем (открытом) режиме, либо в запрещающем (закрытом; заблокированном) режиме. Если ваш почтовый сервер находится в состоянии готовности принимать SMTP-трафик, мы называем это «прослушиванием порта 25.»Это означает, что порт 25 открыт. Основная причина, по которой вы устанавливаете межсетевой экран между Интернетом и вашей системой, заключается в том, чтобы помешать посторонним, пытающимся получить доступ к открытым портам. Приложения на компьютерах вашей сети могут открывать порты, не дожидаясь вашего ведома или Некоторые из них, например программное обеспечение для однорангового обмена файлами или видеоконференцсвязи, открывают порты с целеустремленной одержимостью бешеного бордер-колли. Каждый из этих открытых портов становится еще одной потенциальной дырой в вашей безопасности, доверчиво принимая все, что отправляется до тех пор, пока вы не предпримете активных действий по его блокировке.

А теперь вернемся к злым хакерам. Они рассчитывают, что вы ничего не знаете о портах. Надеясь, что вы оставили что-то «прослушивающее», они экспериментально отправляют код в вашу сеть, адресованный портам, о которых вы никогда не думали (например, порт 31337, потому что в дислексической номенклатуре скриптовых детишек числа выглядят как ElEET — например, » элитный «хакер»). Исследователи опубликовали несколько списков портов, которыми постоянно злоупотребляют хакеры. Найдите такие списки и обратитесь к ним за реальной помощью при интерпретации журналов брандмауэра.

Итак, вот суть всей этой статьи: , если вы оставите порты открытыми, ваша сеть сможет принимать все, что отправляет хакер. Ваша цель — заблокировать каждый порт, который вы можете . Управление брандмауэром в значительной степени означает игру с портами и службами, блокирование целых диапазонов портов — все, что не требуется вашему бизнесу, открыто. Хотя по умолчанию Firebox запрещает все, с того дня, как он был установлен в вашем офисе, кто-то открыл его, то есть проинструктировал его разрешить сетевой трафик через определенные порты на определенных машинах в вашей сети.Был ли брандмауэр открыт выборочно и осторожно? Или кто-то пробормотал: «У меня нет на это времени» и создал правила, чтобы брандмауэр разрешал все, откуда угодно и куда угодно? Если это так, у вас действительно нет брандмауэра. У вас есть дорогое красное пресс-папье.

Теперь, когда я знаю о портах, что мне делать?

Посмотрите записи журнала Firebox, узнайте, в каких полях указаны порты, и отслеживайте сетевой трафик, чтобы увидеть, что ежедневно попадает в вашу систему из внешнего Интернета.Сравните что-нибудь необычное со списком используемых портов.
Узнайте, как вручную разрешать и запрещать службы и порты на брандмауэре, и привыкните к их частой настройке.
Установите регулярное время (не реже двух раз в месяц), когда вы сканируете свою сеть, чтобы найти все открытые порты. Закройте все, что можете. В случае сомнений заблокируйте порт. Худшее, что может случиться, — это сердитый коллега, говорящий: «Я не могу слушать Интернет-радио!» Пятьдесят таких жалоб более желательны, чем один успешный вирус или троянский конь.
После того, как вы познакомитесь с разрешением и запретом внешнего доступа к сетевым портам, подумайте также о фильтрации исходящего трафика, что означает также контроль доступа изнутри наружу из вашей сети. Фильтрация исходящего трафика дополнительно защищает вас от клиентских сетевых атак.

Порты — это фундаментальный строительный блок Интернета и, следовательно, его безопасность. Удачи, исследуя их. Чем больше вы узнаете, тем умнее станет конфигурация вашего брандмауэра. Немного потренировавшись, вы получите не столько швейцарский сыр, сколько стальной барьер, который подразумевает «файрвол».

Ресурсы:

Одна из самых уважаемых книг по этой теме, Firewalls and Internet Security: Repelling the Wily Hacker , написанная Уильямом Чесвиком и Стивом Белловином, полностью опубликована в Интернете на сайте www.wilyhacker.com.

Откройте порты и направьте трафик через брандмауэр

В идеале большинство локальных сетей защищены от внешнего мира. Если вы когда-либо пробовали установить службу, такую как веб-сервер или экземпляр Nextcloud дома, то вы, вероятно, знаете из первых рук, что, хотя служба легко доступна изнутри сети, она недоступна во всем мире. Интернет.

Для этого есть как технические причины, так и причины безопасности, но иногда вы хотите открыть доступ к чему-либо в локальной сети для внешнего мира. Это означает, что вам необходимо правильно и безопасно направлять трафик из Интернета в локальную сеть. В этой статье я объясню, как это сделать.

Локальные и общедоступные IP-адреса

Первое, что вам нужно понять, — это разница между адресом локального интернет-протокола (IP) и общедоступным IP-адресом.В настоящее время большая часть мира (все еще) использует систему адресации под названием IPv4, которая, как известно, имеет ограниченный пул номеров, доступных для назначения сетевым электронным устройствам. Фактически, в мире больше сетевых устройств, чем адресов IPv4, но IPv4 продолжает функционировать. Это возможно из-за локальных адресов.

Все локальные сети в мире используют одинаковых пулов адресов . Например, локальный IP-адрес моего домашнего маршрутизатора — 192.168.1.1. Один из них, вероятно, совпадает с номером вашего домашнего маршрутизатора, но когда я перехожу к 192.168.1.1, я достигаю экрана входа в мой маршрутизатор , а не экрана входа вашего маршрутизатора . Это потому, что ваш домашний маршрутизатор на самом деле имеет два адреса: один общедоступный и один локальный, а общедоступный защищает локальный от обнаружения в Интернете, а тем более от того, чтобы его можно было спутать с чужим 192.168.1.1.

Собственно, поэтому Интернет и называют Интернетом: это «паутина» взаимосвязанных и автономных сетей. Каждая сеть, будь то ваше рабочее место, или ваш дом, или ваша школа, или большой центр обработки данных, или само «облако», представляет собой набор подключенных хостов, которые, в свою очередь, обмениваются данными со шлюзом (обычно маршрутизатором), который управляет трафиком из Интернет и в локальную сеть, а также из локальной сети в Интернет.

Это означает, что если вы пытаетесь получить доступ к компьютеру в сети, отличной от той, к которой вы в данный момент подключены, то знание локального адреса этого компьютера не принесет вам никакой пользы. Вам необходимо знать публичный адрес шлюза удаленной сети. И это еще не все. Вам также необходимо разрешение на прохождение через этот шлюз в удаленную сеть.

Межсетевые экраны

В идеале, даже сейчас вокруг вас должны быть брандмауэры. Вы их не видите (надеюсь), но они там.С точки зрения технологий, брандмауэры имеют забавное название, но на самом деле они немного скучные. Брандмауэр — это просто компьютерная служба (также называемая «демоном»), подсистема, которая работает в фоновом режиме большинства электронных устройств. На вашем компьютере работает множество демонов, в том числе, например, отслеживающий движения мыши или трекпада. Брандмауэр — это демон, запрограммированный на прием или запрещение определенных видов сетевого трафика.

Межсетевые экраны — это относительно небольшие программы, поэтому они встроены в большинство современных устройств.Они работают на вашем мобильном телефоне, на вашем маршрутизаторе и на вашем компьютере. Брандмауэры разработаны на основе сетевых протоколов, и это часть спецификации общения с другими компьютерами о том, что пакет данных, отправленный по сети, должен объявлять определенные фрагменты информации о себе (или быть проигнорированным). Одна вещь, которую содержат сетевые данные, — это номер порта , который является одной из основных вещей, которые брандмауэр использует при приеме или отклонении трафика.

Например,

веб-сайтов размещены на веб-серверах.Когда вы хотите просмотреть веб-сайт, ваш компьютер отправляет сетевые данные, идентифицируя себя как трафик, предназначенный для порта 80 веб-хоста. Брандмауэр веб-сервера запрограммирован на прием входящего трафика, предназначенного для порта 80, поэтому он принимает ваш запрос (а веб-сервер, в свою очередь, отправляет вам веб-страницу в ответ). Однако, если бы вы отправили (случайно или намеренно) сетевые данные, предназначенные для порта 22 этого веб-сервера, вам, скорее всего, будет отказано в брандмауэре (и, возможно, заблокировано на некоторое время).

Это может быть странная концепция для понимания, потому что, как и IP-адреса, порты и межсетевые экраны на самом деле не «существуют» в физическом мире. Это концепции, определенные в программном обеспечении. Вы не можете открыть свой компьютер или маршрутизатор, чтобы физически проверить сетевые порты, и вы не можете посмотреть на номер, напечатанный на чипе, чтобы найти свой IP-адрес, и вы не можете окунуть свой брандмауэр в воду, чтобы его погасить. Но теперь, когда вы знаете, что эти концепции существуют, вы знаете, какие препятствия возникают при переходе с одного компьютера в одной сети на другой в другой сети.

Пришло время обойти эти блокады.

Ваш IP-адрес

Я предполагаю, что у вас есть контроль над своей собственной сетью, и вы пытаетесь открыть свои собственные брандмауэры и направить свой собственный трафик, чтобы разрешить внешний трафик в вашу сеть. Во-первых, вам нужны локальный и общедоступный IP-адреса.

Чтобы узнать свой локальный IP-адрес, вы можете использовать команду ip address в Linux:

$ ip адрес показать | grep "inet"
inet 127.0.0.1/8 область видимости хоста lo
inet 192.168.1.6/27 brd 10.1.1.31 область [...]

В этом примере мой локальный IP-адрес 192.168.1.6. Другой адрес (127.0.0.1) — это специальный адрес «обратной связи», который ваш компьютер использует для обращения к себе изнутри.

Чтобы найти свой локальный IP-адрес в macOS, вы можете использовать ifconfig :

  $ ifconfig | grep "inet" 
 inet 127.0.0.1 netmask 0xff000000 
 inet 192.168.1.6 netmask 0xffffffe0 [...]

А в Windows используйте ipconfig :

  $ ipconfig

Получите общедоступный IP-адрес вашего маршрутизатора на icanhazip.com. В Linux вы можете получить это с терминала с помощью команды curl:

$ curl http://icanhazip.com
93.184.216.34

Держите эти номера под рукой на будущее.

Направление трафика через маршрутизатор

Первое устройство, которое необходимо настроить, — это устройство шлюза. Это может быть большой физический сервер или крошечный маршрутизатор. В любом случае шлюз почти наверняка выполняет преобразование сетевых адресов (NAT), то есть процесс приема трафика и изменения IP-адреса назначения.

Когда вы генерируете сетевой трафик для просмотра внешнего веб-сайта, ваш компьютер должен отправлять этот трафик на шлюз вашей локальной сети, потому что ваш компьютер, по сути, не знает о внешнем мире. Насколько известно вашему компьютеру, весь Интернет — это просто ваш сетевой маршрутизатор, 192.168.1.1 (или любой другой адрес вашего маршрутизатора). Итак, ваш компьютер отправляет все на ваш шлюз. Задача шлюза — смотреть на трафик и определять, куда на самом деле направляется , а затем пересылать эти данные в реальный Интернет.Когда шлюз получает ответ, он пересылает входящие данные обратно на ваш компьютер.

Если ваш шлюз — это маршрутизатор, то, чтобы открыть доступ к вашему компьютеру внешнему миру, вы должны назначить порт в вашем маршрутизаторе, который будет представлять ваш компьютер. Это настраивает ваш маршрутизатор для приема трафика на определенный порт и направления всего этого трафика прямо на ваш компьютер. В зависимости от марки маршрутизатора, который вы используете, этот процесс имеет несколько разных имен, включая переадресацию портов или виртуальный сервер, а иногда даже настройки брандмауэра.

Все устройства разные, поэтому я не могу точно сказать, что вам нужно щелкнуть, чтобы изменить настройки. Обычно вы получаете доступ к домашнему маршрутизатору через веб-браузер. Адрес вашего маршрутизатора иногда печатается в нижней части маршрутизатора и начинается с 192.168 или 10.

Перейдите к адресу вашего маршрутизатора и войдите в систему с учетными данными, которые вы предоставили при подключении к Интернету. Часто это просто admin с числовым паролем (иногда этот пароль также печатается на маршрутизаторе).Если вы не знаете логин, позвоните своему интернет-провайдеру и узнайте подробности.

В графическом интерфейсе перенаправьте входящий трафик для одного порта на порт (обычно самый простой) локального IP-адреса вашего компьютера. В этом примере я перенаправляю входящий трафик, предназначенный для порта 22 (используемого для SSH-подключений) моего домашнего маршрутизатора, на мой настольный компьютер.

Вы можете перенаправить любой порт, который хотите. Например, если вы размещаете веб-сайт на запасном компьютере, вы можете перенаправить трафик, предназначенный для порта 80 вашего маршрутизатора, на порт 80 хоста вашего веб-сайта.

Направление трафика через сервер

Если ваш шлюз является физическим сервером, вы можете направлять трафик с помощью firewall-cmd. Используя опцию rich rule , вы можете настроить сервер для прослушивания входящего запроса по определенному адресу (вашему общедоступному IP-адресу) и конкретному порту (в этом примере я использую 22, который является портом, используемым для SSH), а затем направьте этот трафик на IP-адрес и порт в локальной сети (локальный адрес вашего компьютера).

  $ firewall-cmd --permanent --zone = public \ 
 --add-rich-rule 'семейство правил = "ipv4" целевой адрес = "93.184.216.34 "порт пересылки порт = 22 протокол = TCP к порту = 22 адрес к адресу = 192.168.1.6 '

Установите брандмауэр

Большинство устройств имеют брандмауэры, поэтому вы можете обнаружить, что трафик не может пройти на ваш локальный компьютер даже после перенаправления портов и трафика. Возможно, есть брандмауэр, блокирующий трафик даже в вашей локальной сети. Брандмауэры предназначены для обеспечения безопасности вашего компьютера, поэтому не поддавайтесь желанию полностью деактивировать брандмауэр (за исключением устранения неполадок).Вместо этого вы можете выборочно разрешить трафик.

Процесс изменения персонального брандмауэра зависит от вашей операционной системы.

В Linux уже определено множество служб. Посмотреть доступные:

$ sudo firewall-cmd --get-services
amanda-client amanda-k5-client bacula bacula-client
bgp bitcoin bitcoin-rpc ceph cfengine condor-collector
ctdb dhcp dhcpv6 dhcpv6-client dns elasticsearch-
[...] ssh Steam-streaming svdrp [...]

Если служба, которую вы пытаетесь разрешить, присутствует в списке, вы можете добавить ее в свой брандмауэр:

  $ sudo firewall-cmd --add-service ssh - постоянный

Если вашей службы нет в списке, вы можете добавить порт, который хотите открыть вручную:

  $ sudo firewall-cmd --add-port 22 / tcp --permanent

Открытие порта в вашем брандмауэре зависит от вашей текущей зоны . Дополнительные сведения о брандмауэрах, firewall-cmd и портах см. В моей статье Сделайте Linux сильнее с брандмауэрами и загрузите нашу памятку по брандмауэрам для быстрого ознакомления.

Этот шаг предназначен только для открытия порта на вашем компьютере, чтобы трафик, предназначенный для него через определенный порт, принимался. Вам не нужно перенаправлять трафик, потому что вы уже сделали это на своем шлюзе.

Выполните соединение

Вы настроили шлюз и локальную сеть для маршрутизации трафика за вас. Теперь, когда кто-то за пределами вашей сети переходит на ваш общедоступный IP-адрес, предназначенный для определенного порта, он будет перенаправлен на ваш компьютер через тот же порт.Вам решать, контролировать и защищать свою сеть, поэтому используйте свои новые знания с осторожностью. Слишком много открытых портов может выглядеть как приглашение для злоумышленников и ботов, поэтому открывайте только то, что вы собираетесь использовать. И, самое главное, получайте удовольствие!

Что такое открытый порт и опасны ли они?

В кибербезопасности термин открытый порт относится к номеру порта TCP или UDP, который настроен для приема пакетов. Напротив, порт, который отклоняет соединения или игнорирует все пакеты, является закрытым портом.

Порты являются неотъемлемой частью коммуникационной модели Интернета.Обмен данными через Интернет осуществляется через порты. Каждый IP-адрес содержит два типа портов, UDP и TCP, и до 65 535 портов каждого из них для любого данного IP-адреса.

Службы, использующие Интернет (например, веб-браузеры, веб-страницы и службы передачи файлов), полагаются на определенные порты для приема и передачи информации. Разработчики используют протоколы передачи файлов (FTP) или SSH для запуска зашифрованных туннелей между компьютерами для обмена информацией между хостами.

Если служба запущена на определенном порту, вы не можете запускать на нем другие службы.Например, запуск Apache после того, как вы уже запустили Nginx на порту 80, приведет к сбою операции, поскольку порт уже используется.

Открытые порты становятся опасными, когда законные службы используются через уязвимости безопасности или вредоносные службы вводятся в систему с помощью вредоносных программ или социальной инженерии, киберпреступники могут использовать эти службы вместе с открытыми портами для получения несанкционированного доступа к конфиденциальным данным.

Закрытие неиспользуемых портов снижает риск безопасности за счет уменьшения количества векторов атак, которым подвержена ваша организация.

Опасны ли открытые порты?

Существует распространенное заблуждение, что открытый порт опасен. Это во многом обусловлено непониманием того, как работают открытые порты, почему они открыты, а какие не должны открываться.

Быстрый поиск в Google выдаст сотни страниц, предлагающих закрыть открытые порты. И этот совет часто уместен, но нельзя сказать, что открытый порт опасен.

Как указано выше, открытые порты необходимы для связи через Интернет.

Открытые порты могут быть опасны, если служба, прослушивающая порт, неправильно настроена, не исправлена, уязвима для эксплойтов или имеет плохие правила сетевой безопасности. Особую опасность представляют порты-червяки, которые по умолчанию открыты в некоторых операционных системах, например протокол SMB, который использовался эксплойтом нулевого дня под названием EternalBlue, который привел к появлению червя-вымогателя WannaCry.

Открытые порты не опасны по умолчанию, скорее, именно то, что вы делаете с открытыми портами на системном уровне, и какие службы и приложения доступны на этих портах, должно побуждать людей отмечать их опасными или нет.

Причина, по которой люди называют закрытые порты, потому что менее открытые порты уменьшают поверхность для атаки.

Почему злоумышленники сканируют открытые порты?

Злоумышленники используют открытые порты для поиска потенциальных уязвимостей. Чтобы запустить эксплойт, злоумышленнику необходимо найти уязвимость.

Чтобы найти уязвимость, злоумышленнику необходимо отследить все службы, работающие на компьютере, включая протоколы, которые он использует, какие программы их реализуют, а в идеале — версии этих программ.

Для этого злоумышленники обычно полагаются на обнаружение общедоступного порта с помощью сканирования портов.

Например, Nmap будет снимать отпечатки пальцев и сообщать о программном обеспечении и приложениях, обнаруженных на сервере, иногда с информацией о версии. Устаревшие версии могут иметь общеизвестные уязвимости (например, перечисленные в CVE), на которые может нацеливаться такое программное обеспечение, как metasploit.

Какие обычно бывают открытые порты?

Существует множество сканеров портов, некоторые из которых созданы для конкретных задач, другие включены в средства непрерывного мониторинга безопасности.Независимо от того, как вы их используете, имейте в виду, что сканирование портов необходимо для обнаружения открытых портов.

Кроме того, в различных операционных системах будет открыто несколько портов по умолчанию. В Windows, OS X и Linux работают разные основные демоны, поэтому порт, открытый на одном, может быть закрыт на другом.

Наиболее распространенные порты:

FTP (21)

‍ FTP или протокол передачи файлов используется для передачи файлов через Интернет. ‍

SSH (22)

‍ SSH или Secure Shell выполняет задачу удаленного подключения к серверу или хосту, позволяя выполнять ряд команд и перемещать файлы.

Telnet (23)

‍ Telnet устанавливает соединение между сервером и удаленным компьютером.

SMTP (25)

‍ SMTP или простой протокол передачи почты обеспечивает безопасную передачу сообщений электронной почты по сети.

WHOIS (43)

‍ Используется для регистрации права собственности на доменные имена и IP-адреса ‍

DNS (53)

‍ DNS или система доменных имен использует реляционные базы данных для связывания имен хостов компьютеров или сетей на их соответствующие IP-адреса.

DHCP (67, 68)

‍ DHCP или протокол динамической конфигурации хоста автоматически назначают информацию, связанную с IP-адресом, клиентам в сети. Эта информация может состоять из маски подсети, IP-адреса и т. Д. Порт 67 выполняет задачу приема запросов адреса от DHCP и отправки данных на сервер, в то время как порт 68 отвечает на все запросы DHCP и пересылает данные клиенту.

TFTP (69)

‍ TFTP или упрощенный протокол передачи файлов — это простой протокол передачи файлов с блокировкой, который позволяет клиенту получать файл с удаленного хоста или помещать файл на него.Одно из его основных применений — на ранних этапах загрузки узлов из локальной сети.

HTTP (80)

‍ Назначено веб-серверам и напрямую связано с протоколом передачи гипертекста.

POP3 (110)

‍ POP3 или протокол почтового отделения используется почтовыми клиентами для получения данных с удаленных почтовых серверов.

SFTP (115)

‍ SFTP или Secure File Transfer Protocol, это отдельный протокол, упакованный с SSH, который работает аналогичным образом через защищенное соединение

IMAP (143)

‍ IMAP или Интернет-сообщения Протокол доступа извлекает электронные письма с удаленного сервера без необходимости их загрузки.

SNMP (161)

‍ SNMP или простой протокол сетевого управления используется для сбора и организации информации об управляемых устройствах в IP-сетях и для изменения этой информации с целью изменения поведения устройства.

HTTPS (443)

‍ Позволяет подключаться к Интернету, устанавливая безопасное соединение между веб-страницами и браузером.

LPD (515)

‍ LPD или Line Printer Daemon Protocol — это сетевой протокол печати для отправки заданий на удаленный принтер.

rsync (873)

‍ rysnc используется для передачи и синхронизации файлов между компьютером и внешним жестким диском, а также между компьютерами в сети путем сравнения времени модификации и размера файлов. ‍

IMAP SSL (993)

‍ Протокол IMAP, поддерживающий шифрование SSL.

POP3 SSL (955)

‍ Протокол POP3, поддерживающий шифрование SSL.

SOCKS (1080)

‍ SOCKS или SOCKet Secure — это Интернет-протокол, который обменивается сетевыми пакетами между клиентом и сервером через прокси-сервер.

Прокси (3128)

‍ В настоящее время порт часто используется прокси.

MySQL (3306)

‍ Используется базами данных MySQL.

RDP (3389)

‍ Протокол RDP или удаленного рабочего стола устанавливает соединение с удаленным компьютером, позволяя получить к нему доступ из любой точки мира.

PostgreSQL (5432)

‍ Используется базами данных PostgreSQL. ‍

VNC (5900)

‍ Графическая система совместного использования рабочего стола, которая использует протокол удаленного буфера кадра (RFB) для удаленного управления другим компьютером.

TeamViewer (5938)

‍ Запатентованное программное обеспечение для удаленного управления, совместного использования рабочего стола, онлайн-встреч, веб-конференций и передачи файлов между компьютерами.

HTTP (8080)

‍ Альтернативный порт для HTTP.

Как открытые порты влияют на конфиденциальность, целостность и доступность?

Открытые порты могут повлиять на конфиденциальность, целостность и доступность вашей организации:

Конфиденциальность: Открытые порты и программы, которые прослушивают и отвечают на них, могут раскрыть информацию о системе или сетевой архитектуре.Они могут утечь баннеры, версии программного обеспечения, контент, существование самой системы и ее тип.
Целостность: Без средств управления открытым портом программное обеспечение может открыть любой порт-кандидат и немедленно беспрепятственно обмениваться данными. На это часто полагаются законные программы, а также различные типы вредоносных программ.
Доступность: Ваша сеть и службы, работающие на открытых портах, по-прежнему обрабатывают входящий трафик, даже если запросы недействительны.Это может привести к атакам типа «отказ в обслуживании».

Как я могу контролировать свои открытые порты?

В небольшой сети с относительно небольшим количеством IP-адресов поиск и закрытие открытых портов не является сложной задачей. Однако, как вы, вероятно, знаете, в более крупных сетях с потоком контента новых устройств мониторинг и управление открытыми портами может занять чрезвычайно много времени.

В дополнение к самим портам необходимо отслеживать и базовые службы, использующие эти порты.

Хорошая новость заключается в том, что эти открытые порты и службы обращены к общедоступному Интернету, поэтому их можно сканировать с помощью технологии непрерывного мониторинга, такой как платформа оценки безопасности UpGuard.

Наша платформа явно проверяет почти 200 служб, работающих через тысячи портов, и сообщает о любых службах, которые мы не можем идентифицировать, а также о любых открытых портах, в которых службы не обнаружены.

Уязвимы ли ваши открытые порты для киберугроз?

В UpGuard мы можем защитить ваш бизнес от утечки данных, выявить все утечки ваших данных и помочь вам постоянно контролировать состояние безопасности всех ваших поставщиков.

UpGuard также поддерживает соответствие множеству структур безопасности, включая новые требования, установленные Указом Байдена по кибербезопасности.

НАЖМИТЕ ЗДЕСЬ , чтобы получить БЕСПЛАТНЫЙ рейтинг надежности!

Использовать сетку маршрутизации в режиме роя

Расчетное время чтения: 8 минут

Режим роя Docker Engine упрощает публикацию портов для сервисов. им доступны ресурсы вне роя. Все узлы участвуют в входная сетка маршрутизации . Сетка маршрутизации позволяет каждому узлу в рое принимать соединения на опубликованных портах для любой службы, запущенной в рое, даже если на узле не запущена задача.Сетка маршрутизации направляет все входящие запросы к опубликованным портам на доступных узлах в активный контейнер.

Чтобы использовать входящую сеть в рое, вам необходимо иметь следующие порты открываются между узлами роя до того, как вы включите режим роя:

Порт 7946 TCP / UDP для обнаружения контейнерной сети.
Порт 4789 UDP для входящей сети контейнера.

Вы также должны открыть опубликованный порт между узлами роя и любыми внешними ресурсы, такие как внешний балансировщик нагрузки, которым требуется доступ к порту.

Вы также можете обойти сетку маршрутизации для данного услуга.

Опубликовать порт для службы

Используйте флаг --publish для публикации порта при создании службы. цель используется для указания порта внутри контейнера, а опубликованный используется для укажите порт для привязки к сетке маршрутизации. Если оставить опубликовано порт, случайный порт с большим номером привязывается для каждой служебной задачи. Ты нужно осмотреть задачу на определение порта.

  $ docker service create \
  --name <ИМЯ-СЕРВИС> \
  --publish published = , target =  \
  <ИЗОБРАЖЕНИЕ>

Примечание : старая форма этого синтаксиса представляет собой строку, разделенную двоеточиями, где опубликованный порт является первым, а целевой порт — вторым, например -p 8080: 80 . Новый синтаксис предпочтительнее, потому что его легче читать и обеспечивает большую гибкость.

— это порт, через который роя делает сервис доступным.Если вы его опустите, будет привязан случайный порт с большим номером. — это порт, на котором контейнер прослушивает. Этот параметр требуется.

Например, следующая команда публикует порт 80 в контейнере nginx для порт 8080 для любого узла в рое:

  $ docker service create \
  --name my-web \
  --publish published = 8080, target = 80 \
  --replicas 2 \
  nginx

Когда вы обращаетесь к порту 8080 на любом узле, Docker направляет ваш запрос на активный контейнер.На самих узлах роя порт 8080 может фактически не быть привязан, но сетка маршрутизации знает, как маршрутизировать трафик и предотвращает любой порт конфликты не происходят.

Сетка маршрутизации прослушивает опубликованный порт для любого IP-адреса, назначенного узел. Для IP-адресов с внешней маршрутизацией порт доступен из вне хозяина. Для всех остальных IP-адресов доступ доступен только с внутри хоста.

Вы можете опубликовать порт для существующей службы, используя следующую команду:

  $ сервисное обновление докеров \
  --publish-add published = , target =  \
  <СЕРВИС>

Вы можете использовать docker service inspect для просмотра опубликованного порта службы.Для экземпляр:

  $ docker service inspect --format = "{{json .Endpoint.Spec.Ports}}" my-web

[{"Протокол": "tcp", "TargetPort": 80, "PublishedPort": 8080}]

Выходные данные показывают (помеченный TargetPort ) из контейнеров и (помечено как PublishedPort ), где узлы прослушивают запросы на службу.

Опубликовать порт только для TCP или только для UDP

По умолчанию, когда вы публикуете порт, это порт TCP.Ты можешь специально опубликуйте порт UDP вместо порта TCP или в дополнение к нему. Когда вы публикуете и TCP, и UDP порты. Если вы опустите спецификатор протокола, порт опубликован как порт TCP. Если вы используете более длинный синтаксис (рекомендуется), установите для ключа протокола значение tcp или udp .

только TCP

Длинный синтаксис:

  $ docker service create --name dns-cache \
  --publish published = 53, target = 53 \
  DNS-кеш

Краткий синтаксис:

  $ docker service create --name dns-cache \
  -p 53:53 \
  DNS-кеш

TCP и UDP

Длинный синтаксис:

  $ docker service create --name dns-cache \
  --publish published = 53, target = 53 \
  --publish published = 53, target = 53, protocol = udp \
  DNS-кеш

Краткий синтаксис:

  $ docker service create --name dns-cache \
  -p 53:53 \
  -p 53: 53 / UDP \
  DNS-кеш

только UDP

Длинный синтаксис:

  $ docker service create --name dns-cache \
  --publish published = 53, target = 53, protocol = udp \
  DNS-кеш

Краткий синтаксис:

  $ docker service create --name dns-cache \
  -p 53: 53 / UDP \
  DNS-кеш

Обойти сетку маршрутизации

Вы можете обойти сетку маршрутизации, чтобы при доступе к привязанному порту на данный узел, вы всегда обращаетесь к экземпляру службы, запущенной на этот узел.Это называется режимом хоста . Есть несколько вещей, которые нужно сохранить в уме.

Если вы обращаетесь к узлу, на котором не выполняется служебная задача, служба не слушайте этот порт. Возможно, что ничего не слушает, или что слушает совершенно другое приложение.
Если вы планируете запускать несколько сервисных задач на каждом узле (например, когда вы иметь 5 узлов, но запустить 10 реплик), вы не можете указать статический целевой порт.Либо разрешите Docker назначить случайный порт с большим номером (не опубликовано ), или убедитесь, что только один экземпляр службы работает на данный узел, используя глобальную службу, а не реплицируемую, или с использованием ограничений размещения.

Чтобы обойти сетку маршрутизации, необходимо использовать длинную службу --publish и установить режим на хост . Если вы опустите клавишу mode или установите для нее значение ingress , используется сетка маршрутизации.Следующая команда создает глобальную службу с использованием host mode и в обход сетки маршрутизации.

  $ docker service create --name dns-cache \
  --publish published = 53, target = 53, protocol = udp, mode = host \
  --mode global \
  DNS-кеш

Настроить внешний балансировщик нагрузки

Вы можете настроить внешний балансировщик нагрузки для служб роя, либо в в сочетании с сеткой маршрутизации или вообще без использования сетки маршрутизации.

Использование фрезерной сетки

Вы можете настроить внешний балансировщик нагрузки для маршрутизации запросов в рой. услуга.Например, вы можете настроить HAProxy на запросы баланса к службе nginx опубликованы на порт 8080.

В этом случае порт 8080 должен быть открыт между балансировщиком нагрузки и узлами в рой. Узлы роя могут находиться в частной сети, доступной для прокси-сервер, но он не является общедоступным.

Вы можете настроить балансировщик нагрузки для балансировки запросов между каждым узлом в рой, даже если на узле нет запланированных задач.Например, вы может иметь следующую конфигурацию HAProxy в /etc/haproxy/haproxy.cfg :

  по всему миру
        журнал / dev / журнал local0
        log / dev / log local1 уведомление
... отрезать ...

# Настроить HAProxy для прослушивания порта 80
интерфейс http_front
   привязка *: 80
   статистика uri / haproxy? статистика
   default_backend http_back

# Настроить HAProxy для маршрутизации запросов к узлам роя на порту 8080
бэкэнд http_back
   баланс раундробин
   сервер node1 192.168.99.100:8080 проверка
   Серверный узел2 192.168.99.101: 8080 чек
   сервер node3 192.168.99.102:8080 проверка

Когда вы обращаетесь к балансировщику нагрузки HAProxy через порт 80, он перенаправляет запросы на узлы в рое. Сетка маршрутизации роя направляет запрос активной задаче. Если по какой-либо причине планировщик роя отправляет задачи на разные узлы, вы не нужно перенастраивать балансировщик нагрузки.

Вы можете настроить балансировщик нагрузки любого типа для маршрутизации запросов к узлам роя. Чтобы узнать больше о HAProxy, см. Документацию по HAProxy.

Без фрезерной сетки

Чтобы использовать внешний балансировщик нагрузки без сетки маршрутизации, установите --endpoint-mode на dnsrr вместо значения по умолчанию vip . В этом случае нет единый виртуальный IP. Вместо этого Docker настраивает записи DNS для службы таким образом, чтобы DNS-запрос для имени службы возвращает список IP-адресов, а клиент подключается непосредственно к одному из них. Вы несете ответственность за предоставление списка IP-адреса и порты вашего балансировщика нагрузки.Видеть Настройте обнаружение службы.

Узнать больше

руководство, режим роя, рой, сеть, вход, сетка маршрутизации

Сетевые порты для клиентов и потока почты в Exchange

22.03.2021
Читать 9 минут

В этой статье

В этом разделе представлена информация о сетевых портах, которые используются Exchange Server 2016 и Exchange Server 2019 для связи с почтовыми клиентами, почтовыми серверами в Интернете и другими службами, внешними по отношению к вашей локальной организации Exchange.Прежде чем мы перейдем к этому, необходимо понять следующие основные правила:

Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внутренними серверами Lync или Skype для бизнеса, а также между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых и всех типах топологий. Если у вас есть брандмауэры или сетевые устройства, которые потенциально могут ограничивать или изменять этот вид внутреннего сетевого трафика, вам необходимо настроить правила, разрешающие свободный и неограниченный обмен данными между этими серверами: правила, разрешающие входящий и исходящий сетевой трафик на любом порту (включая случайный RPC порты) и любой протокол, который никогда не изменяет биты на проводе.
Пограничные транспортные серверы почти всегда расположены в сети периметра, поэтому ожидается, что вы ограничите сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и вашей внутренней организацией Exchange. Эти сетевые порты описаны в этом разделе.
Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и вашей внутренней организацией Exchange. Также нормально, если вы решите ограничить сетевой трафик между внутренними клиентами и внутренними серверами Exchange.Эти сетевые порты описаны в этом разделе.

Сетевые порты, необходимые для клиентов и служб

Сетевые порты, необходимые почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.

Примечания:

Назначением этих клиентов и служб являются службы клиентского доступа на сервере почтовых ящиков. В Exchange 2016 и Exchange 2019 клиентский доступ (интерфейс) и внутренние службы устанавливаются вместе на одном сервере почтовых ящиков.Для получения дополнительной информации см. Архитектура протокола клиентского доступа.
Хотя на схеме показаны клиенты и службы из Интернета, концепции одинаковы для внутренних клиентов (например, клиенты в лесу учетных записей, обращающиеся к серверам Exchange в лесу ресурсов). Точно так же в таблице нет исходного столбца, потому что источником может быть любое расположение, внешнее по отношению к организации Exchange (например, Интернет или лес учетных записей).
Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.

Назначение	Порты	Комментарии
Зашифрованные веб-соединения используются следующими клиентами и службами: • Служба автообнаружения • Exchange ActiveSync • Веб-службы Exchange (EWS) • Распространение автономной адресной книги (OAB) • Outlook Anywhere (RPC через HTTP) ) • Outlook MAPI через HTTP • Outlook в Интернете (ранее известный как Outlook Web App)	443 / TCP (HTTPS)	Дополнительные сведения об этих клиентах и службах см. В следующих разделах: • Служба автообнаружения в Exchange Server • Exchange ActiveSync • Справочник EWS для Exchange • Автономные адресные книги в Exchange Server • Outlook Anywhere • MAPI через HTTP в Сервер Exchange
Незашифрованные веб-соединения используются следующими клиентами и службами: • Интернет-публикация календаря • Outlook в Интернете (перенаправление на 443 / TCP) • Автообнаружение (откат, когда 443 / TCP недоступен)	80 / TCP (HTTP)	По возможности мы рекомендуем использовать зашифрованные веб-соединения на 443 / TCP, чтобы защитить данные и учетные данные.Однако вы можете обнаружить, что некоторые службы необходимо настроить для использования незашифрованных веб-подключений по 80 / TCP к службам клиентского доступа на серверах почтовых ящиков. Дополнительные сведения об этих клиентах и службах см. В следующих разделах: • Включение публикации календаря в Интернете • Служба автообнаружения в Exchange Server
Клиенты IMAP4	143 / TCP (IMAP), 993 / TCP (безопасный IMAP)	IMAP4 по умолчанию отключен. Дополнительные сведения см. В разделе POP3 и IMAP4 в Exchange Server. Служба IMAP4 в службах клиентского доступа на сервере почтовых ящиков проксирует подключения к внутренней службе IMAP4 на сервере почтовых ящиков.
Клиенты POP3	110 / TCP (POP3), 995 / TCP (безопасный POP3)	POP3 по умолчанию отключен. Дополнительные сведения см. В разделе POP3 и IMAP4 в Exchange Server. Служба POP3 в службах клиентского доступа на сервере почтовых ящиков проксирует подключения к внутренней службе POP3 на сервере почтовых ящиков.
SMTP-клиенты (аутентифицированные)	587 / TCP (аутентифицированный SMTP)	Полученный соединитель по умолчанию с именем «Клиентский интерфейс <имя сервера> » в транспортной службе переднего плана прослушивает прошедшие проверку подлинности отправления клиента SMTP через порт 587. Примечание : Если у вас есть почтовые клиенты, которые могут отправлять только аутентифицированную электронную почту SMTP через порт 25, вы можете изменить привязки сетевого адаптера клиентского соединителя приема, чтобы также прослушивать аутентифицированные отправления электронной почты SMTP через порт 25.

Сетевые порты, необходимые для потока почты

Способ доставки почты в вашу организацию Exchange и из нее зависит от топологии Exchange. Наиболее важным фактором является наличие у вас подписанного пограничного транспортного сервера, развернутого в вашей сети периметра.

Сетевые порты, необходимые для потока почты (без пограничных транспортных серверов)

Сетевые порты, необходимые для потока почты в организации Exchange, имеющей только серверы почтовых ящиков, описаны на следующей схеме и в таблице.

Назначение	Порты	Источник	Пункт назначения	Комментарии
Входящая почта	25 / TCP (SMTP)	Интернет (любой)	Сервер почтовых ящиков	Соединитель получения по умолчанию с именем «Default Frontend <имя сервера почтовых ящиков> » в транспортной службе переднего плана прослушивает анонимную входящую почту SMTP на порту 25. Почта ретранслируется из транспортной службы переднего плана в транспортную службу на сервере почтовых ящиков с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически маршрутизирует почту между серверами Exchange в одной организации. Дополнительные сведения см. В разделе Неявные соединители отправки.
Исходящая почта	25 / TCP (SMTP)	Сервер почтовых ящиков	Интернет (любой)	По умолчанию Exchange не создает никаких соединителей отправки, которые позволяют отправлять почту в Интернет.Соединители отправки необходимо создавать вручную. Дополнительные сведения см. В разделе Создание соединителя отправки для отправки почты в Интернет.
Исходящая почта (если проксируется через транспортную службу переднего плана)	25 / TCP (SMTP)	Сервер почтовых ящиков	Интернет (любой)	Исходящая почта передается через службу транспорта переднего плана только в том случае, если соединитель отправки настроен с прокси-сервером через сервер клиентского доступа в центре администрирования Exchange или `-FrontEndProxyEnabled $ true` в командной консоли Exchange. В этом случае соединитель приема по умолчанию с именем «Outbound Proxy Frontend <имя сервера почтовых ящиков> » в транспортной службе переднего плана прослушивает исходящую почту от транспортной службы на сервере почтовых ящиков. Дополнительные сведения см. В разделе Настройка соединителей отправки для прокси-сервера исходящей почты.
DNS для разрешения имен следующего почтового перехода (без изображения)	53 / UDP, 53 / TCP (DNS)	Сервер почтовых ящиков	DNS-сервер	См. Раздел Разрешение имен в этом разделе.

Сетевые порты, необходимые для потока почты с пограничными транспортными серверами

Подписанный пограничный транспортный сервер, установленный в вашей сети периметра, влияет на поток почты следующим образом:

Исходящая почта из организации Exchange никогда не проходит через транспортную службу переднего плана на серверах почтовых ящиков. Почта всегда проходит от транспортной службы на сервере почтовых ящиков подписанного сайта Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).
Входящие потоки почты от пограничного транспортного сервера к серверу почтовых ящиков на подписанном сайте Active Directory. В частности:
- Почта с пограничного транспортного сервера Exchange 2013 или более поздней версии сначала поступает в транспортную службу переднего плана, а затем передается в транспортную службу на сервере почтовых ящиков Exchange 2016 или Exchange 2019.
- В Exchange 2016 почта с пограничного транспортного сервера Exchange 2010 всегда доставляет почту непосредственно в транспортную службу на сервере почтовых ящиков Exchange 2016.Обратите внимание, что сосуществование с Exchange 2010 не поддерживается в Exchange 2019.

Для получения дополнительной информации см. Поток почты и транспортный конвейер.

Сетевые порты, необходимые для потока почты в организациях Exchange, имеющих пограничные транспортные серверы, описаны на следующей схеме и в таблице.

Назначение	Порты	Источник	Пункт назначения	Комментарии
Входящая почта — из Интернета на пограничный транспортный сервер	25 / TCP (SMTP)	Интернет (любой)	Пограничный транспортный сервер	Соединитель получения по умолчанию с именем «Внутренний соединитель получения по умолчанию <имя пограничного транспортного сервера> » на пограничном транспортном сервере прослушивает анонимную почту SMTP на порту 25.
Входящая почта — пограничный транспортный сервер для внутренней организации Exchange	25 / TCP (SMTP)	Пограничный транспортный сервер	Серверы почтовых ящиков на подписанном сайте Active Directory	Соединитель отправки по умолчанию с именем «EdgeSync — входящий в <имя сайта Active Directory> » ретранслирует входящую почту через порт 25 на любой сервер почтовых ящиков на подписанном сайте Active Directory. Дополнительные сведения см. В разделе Соединители отправки, автоматически создаваемые пограничной подпиской. Соединитель получения по умолчанию с именем «Default Frontend <Имя сервера почтовых ящиков> » в транспортной службе переднего плана на сервере почтовых ящиков прослушивает всю входящую почту (включая почту от пограничных транспортных серверов Exchange 2013 или более поздних версий) на порту 25.
Исходящая почта — внутренняя организация Exchange на пограничный транспортный сервер	25 / TCP (SMTP)	Серверы почтовых ящиков на подписанном сайте Active Directory	Пограничные транспортные серверы	Исходящая почта всегда обходит службу транспорта переднего плана на серверах почтовых ящиков. Почта ретранслируется из транспортной службы на любом сервере почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически маршрутизирует почту между серверами Exchange в одной организации. Соединитель приема по умолчанию с именем «Внутренний соединитель приема по умолчанию <имя пограничного транспортного сервера> » на пограничном транспортном сервере прослушивает почту SMTP на порту 25 от транспортной службы на любом сервере почтовых ящиков на подписанном сайте Active Directory.
Исходящая почта — пограничный транспортный сервер в Интернет	25 / TCP (SMTP)	Пограничный транспортный сервер	Интернет (любой)	Соединитель отправки по умолчанию с именем «EdgeSync — <имя сайта Active Directory> в Интернет» ретранслирует исходящую почту через порт 25 с пограничного транспортного сервера в Интернет.
Синхронизация EdgeSync	50636 / TCP (безопасный LDAP)	Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync	Пограничные транспортные серверы	Когда пограничный транспортный сервер подписан на сайт Active Directory, все серверы почтовых ящиков, существующие на сайте в момент , участвуют в синхронизации EdgeSync.Однако любые серверы почтовых ящиков, которые вы добавляете позже, не автоматически участвуют в синхронизации EdgeSync.
DNS для разрешения имен следующего почтового перехода (без изображения)	53 / UDP, 53 / TCP (DNS)	Пограничный транспортный сервер	DNS-сервер	См. Раздел «Разрешение имен» далее в этом разделе.
Обнаружение открытого прокси-сервера в репутации отправителя (без изображения)	см. Комментарии	Пограничный транспортный сервер	Интернет	По умолчанию репутация отправителя (агент анализа протокола) использует обнаружение открытого прокси-сервера в качестве одного из критериев для расчета уровня репутации отправителя (SRL) исходного сервера обмена сообщениями.Дополнительные сведения см. В разделах «Репутация отправителя» и «Агент анализа протокола». Обнаружение открытого прокси-сервера использует следующие протоколы и порты TCP для тестирования исходных серверов обмена сообщениями для открытого прокси: • SOCKS4, SOCKS5: 1081, 1080 • Wingate, Telnet, Cisco: 23 • HTTP CONNECT, HTTP POST: 6588, 3128 , 80 Кроме того, если ваша организация использует прокси-сервер для управления исходящим интернет-трафиком, вам необходимо определить имя, тип и TCP-порт прокси-сервера, который репутация отправителя требует для доступа к Интернету для обнаружения открытого прокси-сервера. Вы также можете отключить обнаружение открытого прокси-сервера в репутации отправителя. Дополнительные сведения см. В разделе Процедуры проверки репутации отправителя.

Разрешение имени

DNS-разрешение следующего почтового перехода является фундаментальной частью почтового потока в любой организации Exchange. Серверы Exchange, отвечающие за получение входящей почты или доставку исходящей почты, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. И все внутренние серверы Exchange должны иметь возможность разрешать имена внутренних узлов для правильной маршрутизации почты.Существует множество различных способов проектирования инфраструктуры DNS, но важным результатом является обеспечение правильной работы разрешения имен для следующего прыжка на всех ваших серверах Exchange.

Сетевые порты, необходимые для гибридных развертываний

Сетевые порты, необходимые для организации, использующей как локальный Exchange, так и Microsoft 365 или Office 365, рассматриваются в протоколах, портах и конечных точках гибридного развертывания.

Сетевые порты, необходимые для единой системы обмена сообщениями в Exchange 2016

Сетевые порты, необходимые для единой системы обмена сообщениями в Exchange 2013 и Exchange 2016, описаны в разделе Протоколы, порты и службы единой системы обмена сообщениями.