พอร์ตใดที่ฉันควรเปิด / NAT เพื่ออนุญาตให้ฉันใช้ Remote Desktop
ฉันควรเปิดพอร์ตใดเพื่ออนุญาตเดสก์ท็อประยะไกล
คำตอบ:
เดสก์ท็อประยะไกลต้องใช้พอร์ต TCP 3389 เพื่อเปิด
เป็นไปได้ที่จะเปลี่ยนพอร์ตที่ใช้โดยเซิร์ฟเวอร์เทอร์มินัล (หรือ PC ที่เข้าถึงได้) ดูบทความสนับสนุนของ Microsoft นี้: "วิธีเปลี่ยนพอร์ตการฟังสำหรับเดสก์ท็อประยะไกล"
10
คุณสามารถมีพอร์ตอื่นได้หากคุณใช้การส่งต่อพอร์ต พอร์ตส่วนตัวคือ 3389 ดังกล่าวข้างต้นเว้นแต่คุณจะเปลี่ยนและพอร์ตสาธารณะสามารถเป็นอะไรก็ได้ ฉันได้ตั้งค่าของฉันเป็น 10,000 ดังนั้นเมื่อฉันเชื่อมต่อโดยใช้การเชื่อมต่อเดสก์ท็อประยะไกลฉันต้องป้อน mycomputer.com:10000
—
Joseph
การเชื่อมโยงการปรับปรุงเพื่อให้บทความสนับสนุน MS: support.microsoft.com/en-us/help/306759
—
Mark Berry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumberสำหรับการอ้างอิงคีย์รีจิสทรีคือ
@Markberry มันบอกว่า RDP tcp ... ฉันไม่ควรบล็อก 3389 ใน udp หรือไม่?
—
deadManN
@deadManN - ไฟร์วอลล์และเราเตอร์ส่วนใหญ่ปิดกั้นพอร์ตขาเข้าทั้งหมดยกเว้นว่าคุณจะเปิดดังนั้นถ้าคุณมีกฎนั้นเป็นค่าเริ่มต้นสำหรับ RDP คุณจะต้องเพิ่มข้อยกเว้นสำหรับ TCP 3389 เท่านั้น
—
Mark Berry
โปรดทราบว่า RDP โดยเฉพาะบนพอร์ตเริ่มต้น 3389 นั้นเป็นเป้าหมายของการแฮ็คมากขึ้นเช่นโดย GoldBrute นอกจากนี้ยังมีช่องโหว่ RDP สองรายการที่เปิดเผยในช่วงสองเดือนที่ผ่านมา: CVE-2019-0708 และ CVE-2019-9510 โปรแกรมแก้ไขไม่ใช้ RDP หรือใช้ 2FA สำหรับ RDP
—
Mark Berry
นอกจากการเปิดพอร์ต 3389 สำหรับ UDP และ TCP แล้วฉันยังต้องไปแก้ไขกฎไฟร์วอลล์ windows และตั้งค่าการแวะผ่านขอบเพื่ออนุญาต แบบนี้:
Windows รุ่นนี้เป็นรุ่นอะไรและคุณไปที่นั่นได้อย่างไร
—
Brian Z
@BrianZ นี่คือ Windows 7/8/10 และไปที่นั่นเพียงเปิดเมนู Start ค้นหา "ไฟร์วอลล์" และคลิกที่ "การตั้งค่าขั้นสูง" บนแผงด้านซ้ายคลิกที่
—
Shayan
Inbound Rulesแผงด้านซ้ายและบนแผงหลัก ค้นหาRemote Desktop - User Mode (TCP-In)และRemote Desktop - User Mode (UDP-In)อนุญาตการใช้การข้ามผ่านขอบทั้งสองอย่าง
มันใช้งานได้สำหรับฉันหากไม่มีชุดนี้ทำไมคุณถึงผอมขนาดนี้จำเป็น
—
คืน
หากคุณไม่ต้องการใช้ 3389 จากภายนอกให้เปิดพอร์ตอื่นภายนอก แต่ให้ชี้ไปที่ 3389 บนที่อยู่ IP ของเครื่องที่คุณต้องการเปิด RDC สิ่งนี้มีประโยชน์สำหรับการกำหนดเส้นทางหลายระบบด้วย RDC มันก็ดีเพราะมันไม่จำเป็นต้องแก้ไขรีจิสตรี
ข้อยกเว้นเดียวกับคำตอบก่อนหน้า (3389) คือเมื่อใช้ Small Business Server ผ่าน Remote Web Workplace
ในกรณีนี้เซิร์ฟเวอร์ NAT จะทำการเชื่อมต่อระหว่างคุณกับเซิร์ฟเวอร์พอร์ต 80 (HTTP) หรือ 443 (HTTPS) จากนั้นเชื่อมต่อกับคอมพิวเตอร์ภายใน ดังนั้นจำเป็นต้องมีเพียง 80/443
พอร์ตอะไรที่ฉันควรจะเปิดให้สก์ท็อประยะไกล - คำตอบ: ไม่มี
การเปิด RDC สู่อินเทอร์เน็ตเป็น BAD IDEA สแกนเนอร์พอร์ตจะรับที่เปิด 3389 ได้อย่างรวดเร็วและพยายามที่จะทำลายการเข้าสู่ระบบของคุณ
https://www.grc.com/port_3389.htm
ยุติธรรมพอ แต่การเปิดพอร์ตไปยังที่อยู่ IP ที่เฉพาะเจาะจงนั้นไม่ได้เป็นการปฏิบัติที่ไม่ดีเลยเลยไม่ได้ระบุว่าการเปิดให้ประชาชนทั่วไปมีความตั้งใจ
—
ลุคอัลเดอร์ตัน
หากความปลอดภัยเกี่ยวข้องและคุณมีเราเตอร์ที่ใช้ Linux (เช่น OpenWrt) ดังนั้นอย่าเพิ่มรายการ NAT ใด ๆ สำหรับ 3389 ในกรณีนี้
ใช้เราเตอร์ของคุณเป็นเซิร์ฟเวอร์กระโดดและสร้างพอร์ต SSH ไปข้างหน้า
- sshd ของเราเตอร์ของคุณฟังพอร์ต 22 สำหรับเครือข่าย LAN
- นอกจากนี้ยังฟังพอร์ต A สำหรับเครือข่าย WAN (หนึ่งที่เปิดเผยเท่านั้น) ที่มีการตรวจสอบคีย์สาธารณะเท่านั้นจึงไม่มีความพยายามรหัสผ่านที่ดุร้าย
- สร้างคู่กุญแจสาธารณะ / ส่วนตัวใส่คู่ส่วนตัวบนอุปกรณ์ไคลเอนต์ของคุณคัดลอกสาธารณะลงบนเราเตอร์ของคุณ (ลงในไฟล์ authorized_keys)
- สร้างอุโมงค์จากอุปกรณ์ไคลเอนต์ของคุณ: ssh -p [พอร์ต A] -L: [พอร์ต B]: RDP-box: 3389 root @ เราเตอร์ (คุณสามารถบันทึกสิ่งนี้ในการกำหนดค่า SSH หรือส่วนกำหนดค่าเทอร์มินัลเพื่อใช้งานได้ง่ายในอนาคต)
- เชื่อมต่อ RDP จาก localhost: [พอร์ต B]
คุณควรเปิด TCP และ UDP 3389 (เว้นแต่คุณจะระบุพอร์ตที่กำหนดเอง)
ในขณะที่คำตอบที่ยอมรับ (เฉพาะ TCP 3389) ที่ใช้ถูกต้องในเวลานั้นจะไม่ทันสมัย ในปี 2012 Microsoft ได้แนะนำ UDP transport ของ RDP ทั้งนี้ขึ้นอยู่กับเครือข่ายของคุณนี้สามารถปรับปรุงประสิทธิภาพของเซสชัน RDP ของคุณอย่างมาก ดูลิงก์นี้โดย Microsoft สำหรับคำอธิบายโดยละเอียดเพิ่มเติม: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-Transports/ba- P / 247,478
เราสามารถตั้งค่าหมายเลขพอร์ต RDP แบบกำหนดเองโดยใช้พา ธ ต่อไปนี้ >> เซิร์ฟเวอร์ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal \ WinStations \ RDP-Tcp