Jaki port powinienem otworzyć, aby umożliwić zdalny pulpit?

Odpowiedzi:

158

Pulpit zdalny wymaga otwartego portu 3389 TCP.

Można zmienić port używany przez serwer terminali (lub komputer, do którego uzyskiwany jest dostęp), zobacz ten artykuł pomocy technicznej Microsoft: „Jak zmienić port nasłuchiwania dla pulpitu zdalnego”

splattne
źródło
10
Możesz również mieć inny port, jeśli korzystasz z przekierowania portów. Port prywatny to 3389, jak wspomniano powyżej, chyba że go zmienisz, a port publiczny może być dowolny. Mam mój ustawiony na 10000, więc kiedy łączę się za pomocą Podłączania pulpitu zdalnego, muszę wpisać mycomputer.com:10000
Joseph
2
Zaktualizowany link do artykułu pomocy technicznej MS: support.microsoft.com/en-us/help/306759 . Dla porównania klucz rejestru to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
Mark Berry
@ MarkBerry Mówi RDP tcp ... czy nie powinienem blokować 3389 na udp?
deadManN
@deadManN - Większość zapór ogniowych i routerów blokuje wszystkie porty przychodzące, chyba że je otworzysz, więc jeśli masz taką domyślną regułę, dla RDP wystarczy dodać wyjątek dla TCP 3389.
Mark Berry
Zauważ, że RDP, szczególnie na domyślnym porcie 3389, jest coraz częściej celem hakowania, np. Przez GoldBrute. Ponadto w ciągu ostatnich dwóch miesięcy ujawniono dwie luki w zabezpieczeniach RDP: CVE-2019-0708 i CVE-2019-9510. Łatka, nie używaj RDP ani 2FA dla RDP.
Mark Berry
12

Oprócz otwarcia portu 3389 dla UDP i TCP musiałem edytować regułę zapory ogniowej systemu Windows i ustawić opcję przejścia Edge na zezwolenie. Lubię to:

wprowadź opis zdjęcia tutaj

Lone Coder
źródło
Która to wersja systemu Windows i jak się tam dostałeś?
Brian Z
2
@BrianZ To jest Windows 7/8/10. Aby się tam dostać, po prostu otwórz menu Start wyszukiwania „Firewall” i kliknij „Ustawienia zaawansowane” na lewym panelu, kliknij Inbound Rulesna lewym panelu i na głównym panelu znajdź Remote Desktop - User Mode (TCP-In)i Remote Desktop - User Mode (UDP-In)Zezwól na przejście krawędzi dla obu z nich.
Shayan
Działa dla mnie bez tego ustawienia, dlaczego uważasz, że to konieczne?
noce
8

Jeśli nie chcesz używać 3389 zewnętrznie, otwórz inny port zewnętrznie, ale wskaż 3389 na adres IP komputera, na którym chcesz RDC. Jest to pomocne w przypadku routingu wielu systemów za pomocą RDC. Jest to również miłe, ponieważ nie wymaga żadnych modyfikacji rejestru.

Gromer
źródło
7

Jedynym wyjątkiem od poprzedniej odpowiedzi (3389) jest korzystanie z programu Small Business Server za pośrednictwem Remote Web Workplace.

W tym przypadku NAT serwera to połączenie między tobą a portem serwera 80 (HTTP) lub 443 (HTTPS), a następnie z komputerem wewnętrznym; więc wymagane jest tylko 80/443.

Brandon
źródło
4

Jakie porty powinienem otworzyć dla zdalnego pulpitu - Odpowiedź: Brak .
Otwarcie RDC na Internet to ZŁA POMYSŁ. Skanery portów szybko wybiorą otwarte 3389 i spróbują przerwać logowanie. https://www.grc.com/port_3389.htm

Alan
źródło
4
W porządku, ale otwarcie portu na konkretny adres IP wcale nie jest złą praktyką. PO nie określił, że zamierzeniem było otwarcie się na ogół społeczeństwa.
Luke Alderton
2

Jeśli chodzi o bezpieczeństwo i masz router z Linuksem (np. OpenWrt), nie dodawaj żadnego wpisu NAT dla 3389 w tym przypadku.

Użyj routera jako serwera skoku i utwórz port SSH do przodu.

  1. Sshd routera nasłuchuje na 22 portach sieci LAN.
  2. nasłuchuje również na porcie A dla sieci WAN (jedynej odsłoniętej), tylko z uwierzytelnianiem za pomocą klucza publicznego, więc żadne próby użycia hasła z użyciem siły brute force.
  3. utwórz parę kluczy publiczny / prywatny, umieść klucz prywatny na urządzeniach klienckich, skopiuj klucz publiczny na router (do pliku uprawnione_ klucze)
  4. utwórz tunel ze swoich urządzeń klienckich: ssh -p [port A] -L: [port B]: RDP-box: 3389 root @ router (możesz zapisać to w konfiguracji SSH lub profilach terminali, aby ułatwić korzystanie z nich w przyszłości)
  5. połącz RDP z localhost: [port B]
gpanda
źródło
1

Powinieneś otworzyć TCP i UDP 3389 (chyba że podałeś niestandardowy port).

Chociaż zaakceptowana odpowiedź (tylko TCP 3389) była w tym czasie poprawna, nie jest już aktualna. W 2012 r. Microsoft wprowadził transport RDP UDP. W zależności od sieci może to znacznie poprawić wydajność sesji RDP. Zobacz ten link firmy Microsoft, aby uzyskać bardziej szczegółowe wyjaśnienie: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-Transports/ba- p / 247478

jlp2097
źródło
0

możemy ustawić niestandardowe numery portów RDP przy użyciu następującej ścieżki >> HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Adithyan kv7
źródło