Проблема
Проблема Брандмауера Windows (Windows Firewall) полягає не в тому, як закрити всі порти, а в тому, як відкрити тільки необхідні. І головне, що відразу хрін зрозумієш, як обмежити підключення до деяких портів по IP адресам клієнтів. Окремо вирішити ці завдання не складно, але щоб було разом — не зустрів жодного розумного керівництва, тому й написано цю замітку. Також знайдене рішення не передбачає установки стороннього фаєрвола.
Недоліки Брандмауера Windows:
- Якщо створити забороняюче правило для всіх портів, а потім дозвільні для необхідних, то вони не потрапляють до білого списку, т.к. забороняючі правила пріоритетніші за дозвільних. Тобто. якщо заборона підключення по порту існує, то дозвіл на цей порт працювати вже не буде.
— Немає пріоритетів правил, як у нормальних фаєрволах, щоб спочатку вказати відкриті портиа останнім задати забороняюче правило для всіх інших.
Припустимо, є VPS на вінді, але хостер не має зовнішнього фаєрвола, яким можна прикритися. Свіжовстановлена вінда стирчить назовні як мінімум 135/tcp, 445/tcp, 49154/tcp та 3389/tcp (якщо включений RDP) портами навіть у публічній мережі (Public network), що потребує виправлення.
Алгоритм
Є три типи портів, це:
— Загальнодоступні порти, які мають бути відкриті для Інтернету. Нехай будуть 80 та 443 (http та https)
— Порти, що фільтруються, доступні тільки з певних IP адрес. Візьмемо 3389 (RDP)
— Всі інші повинні бути закриті
Потрібно:
1. Створити правило, що забороняє все, крім трьох вищезазначених портів.
2. Для загальнодоступних робити більше нічого не потрібно.
3. Для фільтрованого створити дозвіл, вказавши білі адреси.
Секрет у цьому, що з забороні всіх портів треба явно вказати дозволені. Інакше, як було зазначено вище, не вдасться відкрити потрібні.
Приклад
Завдання 1: залишити відкритими для всього інтернету 80, 443 та 3389 порти. Решту закрити.
1. Створити нове правило для вхідних підключень
2. Тип правила (Rule Type). Настроювані (Custom)
3. Програма (Program). Усі програми (All programs)
4. Протокол та порти (Protocol and Ports). Тип протоколу (Protocol type) – TCP. Локальний порт (Local port) - Спеціальні порти (Specific Ports). У полі вписати діапазон портів, за винятком 80, 443 та 3389. Повинно виглядати так – 1-79, 81-442, 444-3388, 3390-65535
5. Область (Scope). Локальний (local) - Будь-яка IP-адреса (Any IP address). Віддалена (remote) — Будь-яка IP-адреса (Any IP address).
6. Дія (Action). Блокувати з'єднання (Block the connection).
7. Профіль (Profile). Вибрати на власний розсуд. Якщо не впевнений, то вибрати все.
8. Ім'я (Name). Назвати його, наприклад, Block_TCP.
Тепер вказані порти відкриті для всього інтернету, але, як мінімум, не безпечно відкривати всім порт RDP і бажано обмежити підключення лише з IP-адрес.
Завдання 2: залишити відкритими для всього інтернету 80 та 443 порти. Обмежити підключення на порт 3389 лише з дозволених IP-адрес. Решту закрити.
Кроки 1-8 аналогічні попереднього завдання, тобто. створюється правило, що дозволяє коннект по трьох зазначених портах.
Для фільтрації по IP треба створити друге правило:
9. Створити нове правило для вхідних підключень
10. Тип правила. Настроювані
11. Програма. Усі програми
12. Протокол та порти. Тип протоколу – TCP. Локальний порт – спеціальні порти. Вписати порт 3389
13. Область. Локальний - Будь-яка IP-адреса. Віддалений — Вказані IP-адреси. Сюди вписати білий список IPшників або підмереж, яким дозволено коннект по даному порту
14. Дія. Дозволити підключення.
15. Профіль. Вибрати на власний розсуд. Якщо не впевнений, то вибрати все.
16. Ім'я. Назвати його, наприклад, RDP.
Якщо портів, що фільтруються, кілька, то створюється по одному правилу на кожен порт.
Ну і щоб стати зовсім захищеним - створити правило, що блокує всі з'єднання UDP.
Завдання 2 з консолі
Для хард core щиків наведу друге завдання у вигляді консольних команд:
Netsh advfirewall firewall adr rule dir=in action=block protocol=TCP localport=1-79,81-442,444-3388,3390-65535 name="Block_TCP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP 3389 remoteip=192.168.0.0/24,xxxx name="RDP" netsh advfirewall firewall add rule
Зрештою, у гоївині має виглядати так:
Для правила RDP: 
Для правила Block_TCP:
UPDATE
З'ясувалося, що наведений вище синтаксис командного рядка не працює на WS2008R2, а саме перерахування в будь-якому параметрі, тому довелося розбивати два правила на вісім:
netsh advfirewall firewall add rule dir = in action = block protocol = TCP localport = 1-79 name = "Block_TCP-1" netsh advfirewall firewall add rule dir = in action = block protocol = TCP localport = 81-442 2" netsh advfirewall firewall adr rule dir=in action=block protocol=TCP localport=444-3388 name="Block_TCP-3" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=3390-65535 name=" Block_TCP-4" netsh advfirewall firewall adr rule dir=in action=allow protocol=TCP localport=80 name="HTTP" netsh advfirewall firewall add rule dir=in action=allow protocol=TCP localport=443 name="HTTPS" netsh advfirewall firewall add rule dir = in action = allow protocol = TCP localport = 3389 remoteip = 192.168.0.0/24 name = "RDP-1" netsh advfirewall ="RDP-2"
Якщо Ви затятий геймер або активний користувач файлообмінних мереж типу DC++ і торрент, то знаєте, що для роботи програми-клієнта потрібно додатково відкрити порт. При цьому всі знають що треба це зробити на роутері, а про те, що у операційної системи є ще брандмауер або файрволл чомусь забувають. Ця інструкція присвячена питанню, як відкрити порти на Windows 10.
Щоб це зробити, потрібно спочатку зайти в Панель керування та вибрати розділ "Брандмауер Windows". 
У меню зліва треба вибрати пункт « Додаткові параметри».
З'явиться повний списокправил вбудованого у Віндовс 10 файрволів.
Для того, щоб відкрити порт, треба додати для нього правило. Робиться це за допомогою розділу меню "Дія">>>"Створити правило".
Таким чином буде запущено Майстер створення правила для нового вхідного підключення. Перший крок - вибір типу правила:
Вибираємо варіант "Для порту". Клікаємо на "Далі".
Наступним кроком буде вибір протоколу (TCP або UDP) та вказівка порту, до якого буде застосовано правило:
Тип протоколу для різних ігор і програм може використовуватися і TCP, і UDP, і навіть обидва. Це треба дізнаватися на їхньому форумі підтримки. Переходимо далі.
Третій крок – вибір дії. Оскільки ми хочемо відкрити порт на Windows 10 - ставимо прапорець "Дозволити підключення".
Наступний момент - вибір профілю, для якого буде використано правило. Вибираємо усі три.
На останньому етапі слід прописати ім'я правила. У його якості можна використовувати назву програми або ігри для якої робиться прокидання портів Windows.
Клацаємо на кнопку «Готово».
Правило створено. Воно буде першим у таблиці вже існуючих (читай відкритих портів).
Увага! Якщо у Вас в системі використовується сторонній брандмауер або файрвол, то прокидання порту треба буде робити вже в їхньому налаштуванні. Інакше він буде все одно недоступний з-за.
Коли виникає потреба відкрити порт Windows? Тоді, коли вбудована програма мережевого захистукомп'ютера - брандмауер Windows, відомий також як Firewall, блокує роботу тієї чи іншої програми. Часто під такі заборони потрапляють ігри, які потребують вихід в інтернет, або інші корисні програми. Щоб відкрити порт, виконайте таке.
Змінити налаштування брандмауера можна у відповідному розділі «Панелі керування», звідки потрібно зайти до розділу «Система та безпека», а потім у «Брандмауер Windows». Або натисніть комбінацію «Win+R» і введіть «firewall.cpl» у вікні «Виконати», і ви швидко потрапите на потрібну сторінку. В останніх версіях Windows можна знайти в меню робочого стола, щоб знайти бажану програму або розділ «Панелі керування». Далі вас цікавить лише розділ "Додаткові параметри", що знаходиться в лівій частині вікна налаштувань. Потім у вікні "Брандмауер Windows у режимі підвищеної безпеки" знайдіть "Правила для вхідних підключень" і клацніть по них. З'явиться список вже наявних правил, але вам доведеться створити нове. Щоб зробити це, натисніть кнопку «Створити правило» у вікні «Дії» (в правій частині екрана).
З метою безпеки не забувайте закривати порти, коли вони більше немає необхідності.
Мережеві порти TCP та UDP відповідають за передачу даних у мережі Інтернет. Якщо IP-адресу можна подати у вигляді адреси будинку, то порти – його ворота, і за замовчуванням операційна система відкриває їх лише перевіреним ресурсам. Сервера ж онлайн-ігор та інших програм можуть не входити до списку дозволених та безпечних, але, на щастя, Windows XP дозволяє самостійно відкрити та закрити будь-який порт, якому ви довіряєте. Головне – знати, як це зробити.
А чи закрито порт?
Насамперед варто перевірити, чи закритий порт, який вам необхідний. Для цього зайдіть на веб-сайт 2ip.ru.
Крім інформації про ваші мережевих налаштуваннях, що відображаються на головній сторінці, Ви можете скористатися іншими послугами сайту. Наприклад, такий як "Перевірка порту".
Введіть номер TCP/UDP вашого порту і, якщо виходить повідомлення про те, що він закритий, переходьте до наступного пункту.
Як відкрити порт
В операційній системі Windows XP конфігурування мережі не становить нічого складного. Так що запишіть потрібні вам порти і приступайте до їх відкриття:
За яким протоколом – TCP або UDP, або разом взятим будуть передаватися дані, ви повинні були дізнатися, коли тільки їх записали. Наприклад, повідомляють, щоб відкрили порт 8080 TCP/UDP.
От і все. Описані вище кроки дадуть вам власноруч відкривати та закривати порти у Windows XP залежно від ваших потреб.
Примітки:
- Порти, заблоковані антивірусом, відкриваються з внутрішніх налаштувань. Так як антивірус антивірусу різна, радимо набрати запит у пошуковій системі на кшталт «відкрити порти Kaspersky». Дотримуйтесь вказаних інструкцій і також отримайте повний доступ до потрібних вам сайтів та програм.
- Для того щоб переглянути повний список портів на вашому комп'ютері їх стан, можна скористатися командним рядком. Для цього зайдіть у "Пуск", потім - "Всі програми", "Стандартні" та " Командний рядок». Введіть команду netstat –ano та отримайте всі ваші порти.
- Для того, щоб зняти всі обмеження безпеки і обійти антивіруси, і брендмауер, і інші захисні програми - вимкніть їх. Але в такому випадку ваш комп'ютер зазнає величезного ризику, тому не рекомендується переходити до таких радикальних заходів.
На сьогоднішній день багато користувачів комп'ютера стикаються з проблемою, коли більшість програм або відеоігор вимагають для своєї стабільної роботи відкриття певних портів. Ця стаття розповідає про те, як відкрити порти на Windows 10, хоча можна сказати, що і більше ранніх версіяхОС Windows дана проблемавирішувалася тими самими типовими методами, що будуть описані далі.
Призначення портів
Якщо говорити технологічно правильно, порт – це параметр транспортного протоколу мережі, який забезпечує незалежну пакетну передачу даних для різних програм, що працюють на одному хості. Якщо казати простими словами, то це як номер квартири з адреси паперового листа – без вказівки даного номера, повідомлення (пакет даних) не буде доставлено адресату. Важливо зрозуміти, як відкрити порт на комп'ютері з Windows 10, оскільки оновлений інтерфейс і широкий функціонал системи утруднює цю процедуру.
Використання брандмауера
Для початку розглянемо докладний алгоритм дій, який допоможе зрозуміти, як відкрити порт брандмауер Windows 10, а потім згадаємо основні значення для цього параметра мережі та для чого вони потрібні.
Природно, відразу після всієї процедури створення нове правило поповнить список для вхідних підключень.
Повністю ідентичний алгоритм застосовується під час роботи з правилами вихідних підключень, що створюватимуться від Windows 10, використовуваної власником комп'ютера.
Основні порти та їх призначення
Говорячи про те, як створювати порти, не можна не розповісти про те, якими вони бувають і для чого призначаються певні значення. Прочитавши цю інформацію, можна буде розповісти не тільки про те, як створити правило для конкретного типу підключень, але і про те, як відкрити порт 80 для Windows 10 (або будь-який інший), якщо на це виникне потреба.
| № | Призначення |
| 21 | Потрібний для роботи з FTP-серверами. Дозволяє не тільки здійснювати підключення до сервера та перегляд даних на ньому, але й здійснювати їхнє завантаження/завантаження. |
| 22 | Це параметр для мережевого протоколу SSH, який відповідає за віддалене управлінняОС і уможливлює передачу файлів між різними пристроями. |
| 23 | Допомагає реалізувати мережевий текстовий інтерфейс, спрямований на те ж зовнішнє управління системою. |
| 25 | Основний поштовий протокол SMTP, який, як зрозуміло, потрібен передачі повідомлень через мережу. |
| 53 | Необхідний для роботи DNS (система доменних імен), яка і є верхівкою у створенні назви конкретної мережевої IP-адреси. |
| 79 | Мережевий протокол Finger, який дозволяє отримати інформацію про всіх користувачів на віддаленому комп'ютері. |
| 80 | Вказує на наявність віртуального сервера на конкретній машині. |
| 110 | Протокол POP3, який відповідає за передачу повідомлень між поштовим серверомта комп'ютером. |
| 111 | Sun RPC – система, за допомогою якої можна дистанційно викликати процедури. |
| 119 | NNTP – відповідає за повідомлення між учасниками груп новин. |
| 139 | NetBIOS – загальноприйнятий протокол, призначений для локальних мереж, До яких підключені різні IBM/PC і фірма-виробник при цьому зовсім не позначається на їх спільному функціонуванні. |
| 443 | Про те, як відкрити порт 443 на Windows 10 варто знати, оскільки він відповідає за роботу протоколу HTTPS, що є основним для шифрування сучасних web-сайтів. |
| 513 | Протокол rLogin і знову ж віддалений доступдо систем UNIX, які можуть отримати будь-які користувачі аналогічних систем UNIX. |
Повний перелік параметрів для створення правил
Нарешті залишилася категорія портів, про які також не варто забувати, але найрозумніший спосіб - це їхній підбір у списку, наведеному за цим посиланням: https://ua.wikipedia.org/wiki/Список_портів_TCP_і_UDP. У таблиці наведено всі можливі варіанти і якщо знадобиться, як відкрити порт 25565 на Windows 10, то відразу стає зрозуміло, що йдеться про налаштування гри Minecraft. Там є всі значення для різних системних функцій і більшості популярних інсталюваних додатків.
Природно, налаштування всіх програм та відеоігор індивідуальні, а тому звертатися зі службою брандмауера слід акуратніше. Є ризик, що чергове створене правило призведе до вторгнення в операційну системуз наступним виведенням її з ладу. Або неправильні конфігурації призведуть до того, що деякі програми та відеоігри перестануть функціонувати.
Роутери
