Задать вопрос
@nameqaw

Какие порты закрыть для локальной разработки?

Установил на домашнем пк с windows 10: MySQL, Apache HTTP Server, PHP для разработки вебпроектов. XAMPP и Openserver не подходят т.к. там вероятно нет ODBC и других коннекторов. Предварительная настройка этого ПО проведена, но в инструкции по которой настраивал ничего не было сказано про закрытие портов и их безопасность. Инструкций в интернете много, но толковых инструкций очень мало.
Вопросы по портам, какие порты закрыть для локальной разработки, чтобы было безопасно и никто не пытался взломать мой ПК через эти порты, например, перебор паролей MySQL и т.д.
1) При настройке MySQL обязательно надо было добавить установить порт, т.к. с выключенным чекбоксом дальнейшая установка невозможна.
63db7e3c3fac5334128626.jpeg
2) MySQL и Apache HTTP Server создали порты, как проверить - это порты локальные или доступные для всех в интернете и их надо закрыть? Я проверил "netstat -a" и "netstat -n -b" (под спойлером), но мне не известно какие порты действительно видны из интернета для всех, а какие нет?
3) Какие порты закрыть? Как настраивать дальше?
spoiler

C:\Windows\system32>netstat -a

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 0.0.0.0:80 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:135 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:445 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:2008 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:3306 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:5040 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:6045 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:7070 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:33060 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49664 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49665 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49666 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49667 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49668 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49688 DESKTOP-123:0 LISTENING
TCP 0.0.0.0:49707 DESKTOP-123:0 LISTENING
TCP 127.0.0.1:49672 DESKTOP-123:49673 ESTABLISHED
TCP 127.0.0.1:49673 DESKTOP-123:49672 ESTABLISHED
TCP 127.0.0.1:49674 DESKTOP-123:49675 ESTABLISHED
TCP 127.0.0.1:49675 DESKTOP-123:49674 ESTABLISHED
TCP 127.0.0.1:49704 DESKTOP-123:0 LISTENING
TCP 127.0.0.1:49705 DESKTOP-123:0 LISTENING
TCP 192.168.0.104:139 DESKTOP-123:0 LISTENING
TCP 192.168.0.104:7070 DESKTOP-122:62966 ESTABLISHED
TCP 192.168.0.104:49707 relay-daa16496:https ESTABLISHED
TCP 192.168.0.104:49719 20.50.2.36:https CLOSE_WAIT
TCP 192.168.0.104:49744 20.54.37.73:https ESTABLISHED
TCP [::]:80 DESKTOP-123:0 LISTENING
TCP [::]:135 DESKTOP-123:0 LISTENING
TCP [::]:445 DESKTOP-123:0 LISTENING
TCP [::]:3306 DESKTOP-123:0 LISTENING
TCP [::]:33060 DESKTOP-123:0 LISTENING
TCP [::]:49664 DESKTOP-123:0 LISTENING
TCP [::]:49665 DESKTOP-123:0 LISTENING
TCP [::]:49666 DESKTOP-123:0 LISTENING
TCP [::]:49667 DESKTOP-123:0 LISTENING
TCP [::]:49668 DESKTOP-123:0 LISTENING
TCP [::]:49688 DESKTOP-123:0 LISTENING
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5050 *:*
UDP 0.0.0.0:5353 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:50001 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:51244 *:*
UDP 127.0.0.1:65164 *:*
UDP 192.168.0.104:137 *:*
UDP 192.168.0.104:138 *:*
UDP 192.168.0.104:1900 *:*
UDP 192.168.0.104:6112 *:*
UDP 192.168.0.104:51243 *:*
UDP [::]:500 *:*
UDP [::]:4500 *:*
UDP [::]:5353 *:*
UDP [::]:5355 *:*
UDP [::1]:1900 *:*
UDP [::1]:51242 *:*
UDP [fe80::bd3b:4b79:d14e:4cf4%3]:1900 *:*
UDP [fe80::bd3b:4b79:d14e:4cf4%3]:51241 *:*



C:\Windows\system32>netstat -n -b

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP 127.0.0.1:49672 127.0.0.1:49673 ESTABLISHED
[mysqld.exe]
TCP 127.0.0.1:49673 127.0.0.1:49672 ESTABLISHED
[mysqld.exe]
TCP 127.0.0.1:49674 127.0.0.1:49675 ESTABLISHED
[mysqld.exe]
TCP 127.0.0.1:49675 127.0.0.1:49674 ESTABLISHED
[mysqld.exe]
TCP 192.168.0.104:7070 192.168.0.102:62966 ESTABLISHED
[AnyDesk.exe]
TCP 192.168.0.104:49707 51.178.65.231:443 ESTABLISHED
[AnyDesk.exe]
TCP 192.168.0.104:49719 20.50.2.36:443 CLOSE_WAIT
[avp.exe]
TCP 192.168.0.104:49744 20.54.37.73:443 ESTABLISHED
WpnService
[svchost.exe]
  • Вопрос задан
  • 739 просмотров
Подписаться 1 Простой 14 комментариев
Решения вопроса 1
ValdikSS
@ValdikSS
Убедитесь, что все демоны настроены на работу только на локальном адресе (127.0.0.1 или ::1), в этом случае подключение к ним невозможно будет установить извне с помощью обычной маршрутизации. Обычно подобные опции называются bind-address, или как-то похоже.

Также убедитесь, что на компьютере не установлено ПО прокси, доступное извне: оно может обращаться к локальным адресам и позволит потенциальному злоумышленнику получить доступ к локальным программам.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@fpir
На "домашнем ПК с виндой" открытием и закрытием портов в/из вашей локально сети рулит ваш роутер(он-же шлюз). Какую модель угроз вы себе представляете, даже открыв 3389 на компе и оставив винду без авторизации?
Ваш ребёнок зайдёт со своего компа и положит ваш сервер? ну тогда просто поставьте пароль на учётку винды. Или он может брутфорсить пароли и сканировать открытые порты? Тогда да, озаботьтесь стойкостью паролей и закрытием всех портов на брандмауэре.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы