Який порт я повинен відкрити, щоб дозволити віддалений робочий стіл?


121

Який порт (и) слід відкрити / NAT, щоб дозволити мені використовувати віддалений робочий стіл?

Відповіді:


158

Віддалений робочий стіл вимагає відкриття порту TCP 3389.

Можна змінити порт, який використовується термінальним сервером (або ПК, до якого звертається), див. Цю статтю підтримки Microsoft: "Як змінити порт прослуховування для віддаленого робочого столу"


10
Ви також можете мати інший порт, якщо ви використовуєте переадресацію портів. Приватний порт - це 3389, як було сказано вище, якщо ви не змінюєте його, і публічний порт може бути будь-яким. У мене встановлено значення 10000, тому під час підключення за допомогою підключення до віддаленого робочого столу я повинен ввести mycomputer.com:10000
Джозеф

2
Оновлене посилання на статтю підтримки MS: support.microsoft.com/en-us/help/306759 . Для довідки, ключ реєстру є HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
Марк Беррі

@MarkBerry Він говорить, що RDP tcp ... я не повинен блокувати 3389 на udp?
мертвийManN

@deadManN - Більшість брандмауерів та маршрутизаторів блокують усі вхідні порти, якщо ви не відкриєте їх, тому якщо у вас це є правило за замовчуванням для RDP, вам потрібно лише додати виняток для TCP 3389.
Позначте Беррі

Зауважте, що RDP, особливо на порту за замовчуванням 3389, все частіше стає мішенню для злому, наприклад, GoldBrute. Також було виявлено дві вразливості RDP за останні два місяці: CVE-2019-0708 та CVE-2019-9510. Виправити, не використовувати RDP або використовувати 2FA для RDP.
Марк Беррі

12

На додаток до відкриття порту 3389 для UDP та TCP, мені довелося редагувати правило брандмауера Windows і встановити можливість обходу Edge. Подобається це:

введіть тут опис зображення


Яка версія Windows це і як ви потрапили туди?
Брайан Z

2
@BrianZ Це Windows 7/8/10, і щоб потрапити туди, просто відкрийте меню «Пуск» для пошуку «Брандмауера» та натисніть «Розширені налаштування» на панелі зліва, натисніть на Inbound Rulesпанель ліворуч та на головній панелі знайти Remote Desktop - User Mode (TCP-In)і Remote Desktop - User Mode (UDP-In)Дозволити обхід ребер для обох.
Шаян

Це працює для мене без цієї обстановки, чому ви стоншуєте це потрібно?
ночі

8

Якщо ви не хочете використовувати 3389 зовнішньо, відкрийте інший порт зовні, але вкажіть його на 3389 на IP-адресі машини, на якій потрібно RDC. Це корисно для маршрутизації багатьох систем з RDC. Це також приємно, оскільки він не потребує жодних редагувань реєстру.


7

Єдиним винятком із попередньої відповіді (3389) є використання сервера малого бізнесу через віддалене робоче місце на веб-сайті.

У цьому випадку NAT-сервер з'єднання між вами та портом сервера 80 (HTTP) або 443 (HTTPS), а потім до внутрішнього комп'ютера; тому потрібно лише 80/443.


4

Які порти потрібно відкрити для віддаленого робочого столу - Відповідь: Ні .
Відкриття RDC в Інтернеті - це BAD IDEA. Порти сканери досить швидко підберуть відкритий 3389 і спробують зламати вашу реєстрацію. https://www.grc.com/port_3389.htm


4
Досить справедливо, але відкриття порту на конкретну IP-адресу зовсім не є поганою практикою. ОП не уточнив, що відкриття для широкої громадськості було намір.
Люк Олдертон

2

Якщо безпека стосується і у вас є маршрутизатор на базі Linux (наприклад, OpenWrt), тоді не додайте жодного запису NAT для 3389 у цьому випадку.

Використовуйте роутер як сервер стрибків і створіть порт SSH вперед.

  1. Sshd маршрутизатора прослуховує 22-портову мережу.
  2. він також слухає на порту A для мережі WAN (єдиний, що піддається впливу), лише з аутентифікацією відкритого ключа, тому ніяких спроб пароля не застосовувати.
  3. створіть пара відкритих / приватних ключів, покладіть приватний на пристрої клієнта, скопіюйте його на свій роутер (у файл дозволених ключів)
  4. встановіть тунель з клієнтських пристроїв: ssh -p [порт A] -L: [порт B]: поле RDP: 3389 root @ router (ви можете зберегти це в конфігурації SSH або в термінальних профілях для зручності використання в майбутньому)
  5. підключити RDP від ​​localhost: [порт B]

1

Вам слід відкрити TCP та UDP 3389 (якщо ви не вказали спеціальний порт).

Хоча прийнята відповідь (лише TCP 3389) на той час була правильною, вона актуальна зараз. У 2012 році Microsoft представила UDP транспорт RDP. Залежно від вашої мережі, це може значно підвищити продуктивність вашого сеансу RDP. Дивіться це посилання від Microsoft для більш детального пояснення: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-Transports/ba- р / 247478


0

ми можемо встановити індивідуальні номери портів RDP, використовуючи наступний шлях >> HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStation \ RDP-Tcp

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.