Как открыть порт на Windows Server?

Question

[kitalev]

Не получается открыть порт для Windows Server 2022
Я новичок в этом, поэтому могу чего-то не понимать
Провод провайдера вставлен в комп с Windows Server, через брандмауэр разрешил подключение по порту, который мне нужен
Программа, которая должна работать по нему тоже включена, но через 2ip всё равно пишет, что порт закрыт
У меня белый айпи адрес, статический

Comments

[Ziptar]

Какой порт, какая программа, в выводе netstat -a она этот порт слушает на внешнем адресе (вторая колонка - внешний ip:нужный порт (либо 0.0.0.0:нужный порт), четвёртая - listening)?

[kitalev]

Ziptar, порт 5995, для локального модуля честного знака
Почему то когда хочу посмотреть каким приложением занят порт 5995, выдаёт 55995 порт
Сам локальный модуль установлен на одном из клиентских пк, а команду вводил на сервере

[RStarun]

Очень вас прошу, пожалуйста, вытащите кабель из компа с Windows Server и больше так не делайте.
Для выполнения работ найдите специально обученного человека.
Если не смотря ни на что хотите сделать сами - купите роутер и настройте на нем NAT для указанного порта.

[Ziptar]

kitalev, [::] - ipv6, 55995 - не 5995

Сам локальный модуль установлен на одном из клиентских пк, а команду вводил на сервере

Каким таким волшебным образом программа, установленная на одной машине, должна слушать порты на другой машине?

[kitalev]

Ziptar, да, понял, что ошибся

[aleks-th]

У вас сервер напрямую чтоли подключен к интернету ?
Поздравляю, вас уже взломали и творят от вашего имени много всяких незаконных действий.

Отключите сервер от провайдера, и никогда так не делайте.

[kitalev]

aleks-th, подскажите пожалуйста, у нас этот сервер на винде, в него вставлено 3 сетевухи, в главную приходит интернет и две другие уходят на коммутаторы и делят сеть на две подсети
Я просто здесь новый сотрудник и я ничего здесь не настраивал
Также у нас загружена сетевуха в которую идёт интернет на отправку, даже ночью(около 100мбит/с), видимо взломали?
Ещё у нас блокируются порты на IPTV, может быть это как-то всё связано?
Как нам лучше тогда сделать, если провод провайдера лучше не вставлять в комп с виндовс сервером? Купить маршрутизатор?

[kitalev]

RStarun, подскажите пожалуйста, у нас этот сервер на винде, в него вставлено 3 сетевухи, в главную приходит интернет и две другие уходят на коммутаторы и делят сеть на две подсети
Я просто здесь новый сотрудник и я ничего здесь не настраивал
Также у нас загружена сетевуха в которую идёт интернет на отправку, даже ночью(около 100мбит/с), видимо взломали?
Ещё у нас блокируются порты на IPTV, может быть это как-то всё связано?
Как нам лучше тогда сделать, если провод провайдера лучше не вставлять в комп с виндовс сервером? Купить маршрутизатор?

[Ziptar]

kitalev, что тут подсказывать, винде противопоказано смотреть в интернет, у неё есть много чего ломать. Чтобы винде можно было смотреть в интернет - её надо к этому тщательно готовить. Что там с сетевухой - почём мы знаем? Может сломали, а может бэкапы у вас по ночам льются куда-то в облако, мало ли.

[RStarun]

kitalev, подключать комп/сервер, тем более на ОС Windows напрямую в сеть интернет настоятельно не рекомендуется. Настолько настоятельно, что прям очень.
Загруженные 100 мбит это, с большой вероятностью, от вас идет атака на какие-нибудь ресурсы. Обычно руководству пофиг на такое, пока не приходит ФСБ и не говорит - зачем вы атаковали сайт ПФР? Хотя может и просто от вас бэкапы в яндекс диск уходят, но маловероятно.
Если у вас комп/сервер проторчал в интернет более 5 минут, то его нужно снести и переставить заново.

Да, вам нужно купить маршрутизатор. А еще нанять человека который его настроит и переустановит сервер. И остальные компы, с учетом истории - тоже.

[kitalev]

Ziptar, у нас бэкапы делаются локально
Раньше не грузилась сетевуха на отправку

[VoidVolker]

Провод провайдера вставлен в комп с Windows Server

Откройте для себя специализированные маршрутизаторы - микротики и иже с ним, а если так хочется иметь в качестве шлюза полноценный ПК - есть OPNSense и PFSense на FreeBSD. Но никак не винсервер.
P.S. И для скриншотов используйте кнопку PrintScreen: не следует делать таких отвратительных фотографий монитора и текста на нём, в то время как его можно просто скопировать и вставить. Это выглядит очень некрасиво и неуважительно с вашей стороны. См. правила пункт 3.8.

[Pb_hard]

Вывод ipconfig в студию.

Answer 1

[Akina]

Чтобы пришедший из интернета на внешний интерфейс сервера пакет был сервером перенаправлен на компьютер внутри локальной сети, необходимо настроить маппинг этого порта на внешнем интерфейсе. Это делается командой
netsh interface portproxy [параметры маппинга]

Но я абсолютно согласен со всеми комментариями к вопросу - выставление Windows Server голой жопой напрямую в Интернет есть абсолютно [censored] идея. Тем более когда эту процедуру выполняет человек, не имеющий даже базовых знаний по теме (сетевой) безопасности.

Comments

[kitalev]

Спасибо большое за совет!
У нас данный сервер выступает в качестве шлюза
В таком случае лучше перед ним поставить маршрутизатор и подключить провайдера к маршрутизатору, верно?

[Akina]

kitalev,

У нас данный сервер выступает в качестве шлюза

В смысле маршрутизатора между сетями и в Интернет? Ай, плохо...

В таком случае лучше перед ним поставить маршрутизатор и подключить провайдера к маршрутизатору, верно?

Мало данных для осмысленного ответа.

С моей точки зрения наиболее правильная схема такая.

Между сервером и провайдером ставится аппаратный маршрутизатор. И не какое-нибудь SOHO-говно, а более-менее приличная железка. Хотя бы Микротик. Само собой, максимально свежая прошивка, и максимально жёсткие настройки безопасности (всё, что не нужно явно, всё DROP, особенно управление через WAN-интерфейс).
Провод провайдера - в WAN-порт аппаратного маршрутизатора. На этом порте соответственно src-NAT к провайдеру. На нём же порт-маппинг нужного тебе порта с WAN-интерфейса на адрес конечного узла, плюс статические маршруты на LAN-подсети через WAN-интерфейс сервера.
LAN-порт аппаратного маршрутизатора - к нынешнему WAN-порту сервера. На WAN-порте сервера NAT либо общий доступ к Инету убираем, оставляем чистую маршрутизацию. Также на WAN-порте сервера всё, кроме собственно IPv4-протокола, всякие там клиенты и службы - поотключать нахрен.
Ну а клиентские сети и подключение их к серверу - без изменения.

Если же на сервере работает какая-либо прокси-служба (какой-нить трафик инспектор или типа того), то NAT и весь софт на нём оставляем, с аппаратного маршрутизатора делаем порт-маппинг на WAN сервера, а на самом сервере - порт маппинг на конечный компьютер. Статические маршруты на роутере в этом случае не нужны.

[Ziptar]

Akina, ну в крайнем случае можно на hyper-v pfsense поднять и маршрутизировать через него, прокинув адаптер к прову в вм, это БЕСПЛАТНО, но не очень надёжно и в целом сложнее

[Akina]

Ziptar, это - сервер голым задом в Инет. Даже если базовая ОС вроде бы не использует/разделяет адаптер, тем не менее именно она всё принимает и транслирует в гостевую машину. Потенциальные дыры самой ОС, самого Hyper-V и его виртуального коммутатора, гостевой ОС и самого pfSence... кто может дать гарантию, что их не существует? В этом отношении безответственная пограничная железка - оно поспокойнее. Да и бюджет мероприятия ну совсем не миллион, 25 тыров - это недорого за относительное спокойствие...

[Ziptar]

Akina, meh, это так и про любой роутер сказать можно; проблема винды как таковой в кривом брэндмауэре и куче служб, которые что-то слушают. Виртуальный коммутатор что у hyper-v, что не у hyper-v достаточно надёжно изолирован, а от очередной CVE никто не застрахован, включая отдельно стоящие роутеры. А про pfsense вообще не очень понятно чем он то хуже любой прошивки любого роутера с точки зрения безопасности. Другой вопрос что под hyper-v он не всегда адекватно работает (ну у меня был неприятный опыт, по крайней мере)

Answer 2

[Михаил Лялин]

крайне непрофессионально пускать что-то напрямую к серверу/ПК главбуха

Comments

[Pb_hard]

С чего бы это? А как пускать не напрямую? И причем тут главбух?

[Михаил Лялин]

Pb_hard, из комментариев автора вопроса
корректно - роутер и настроить на нём NAT для указанного порта
https://club.dns-shop.ru/blog/t-282-tochki-dostupa...

Answer 3

[Pb_hard]

через 2ip всё равно пишет, что порт закрыт
У меня белый айпи адрес, статический

Есть серьезные сомнения в этом.
Проверить просто.
Зайдите на 2ip посмотрите свой ip адрес, после чего выполните команду ipconfig и посмотрите свой IP адрес в выводе команды.
Если ip адрес на 2ip в выводе команды ipconfig совпадает - значит у вас действительно белый IP
Если не совпадает - значит нет у вас белого IP

Answer 4

[Dupych]

Все очень просто.
1. Из интернета пингуешь стой IP он же IP сервера.
Ведь вы же установили белый IP с правильной маской и шлюзом наисервер?
2. Пинга не будет. Потому что в настройках сети нужно щелкнуть. ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ И ВИДИМОСТЬ СЕТИ. Для всех сетей Гость, домен, все сделать пимпочку ВИДЕН В СЕТИ.
И сразу появится пинг на другом пк. Ведь вы же пинговали свой белый IP с ключем -t непрерывно.
3. Скорее всего доступ на сервер уже открылся.
Запускаем таймер на чем угодно. Хоть на часах.
Как только ваш голый сервер продержится в сети неделю пишем в Гинеесс это рекорд.