Qual porta devo abrir para permitir a área de trabalho remota?

121

Quais portas devo abrir / NAT para permitir o uso da Área de Trabalho Remota?

remote-desktop rdp windows port Kjensen
fonte

Respostas:

158

A área de trabalho remota exige que a porta TCP 3389 esteja aberta.

É possível alterar a porta usada pelo servidor de terminal (ou PC que é acessado), consulte este artigo de suporte da Microsoft: "Como alterar a porta de escuta da Área de Trabalho Remota"

splattne
fonte
10
Você também pode ter uma porta diferente se usar o encaminhamento de porta. A porta privada é 3389 como dito acima, a menos que você a altere, e a porta pública pode ser o que for. Eu tenho a minha definida para 10000, então quando eu conectar usando Remote Desktop Connection, eu tenho que entrar mycomputer.com:10000
Joseph
2
Link atualizado para o artigo de suporte da MS: support.microsoft.com/en-us/help/306759 . Para referência, a chave do registro é HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
Mark Berry
@MarkBerry Diz RDP tcp ... não devo bloquear 3389 no udp?
deadManN
@deadManN - A maioria dos firewalls e roteadores bloquear todas as portas de entrada a menos que você abri-los, por isso, se você tem isso como uma regra padrão, por RDP, você só precisa adicionar uma exceção para TCP 3389.
Mark Berry
Observe que o RDP, especialmente na porta padrão 3389, é cada vez mais um alvo para hackers, por exemplo, pelo GoldBrute. Além disso, houve duas vulnerabilidades de RDP divulgadas nos últimos dois meses: CVE-2019-0708 e CVE-2019-9510. Patch, não use RDP ou use 2FA para RDP.
Mark Berry
12

Além de abrir a porta 3389 para UDP e TCP, tive que editar a regra de firewall do Windows e definir o percurso da borda para permitir. Como isso:

insira a descrição da imagem aqui

Codificador solitário
fonte
Qual versão do Windows é essa e como você chegou lá?
Brian Z
2
@BrianZ Este é o Windows 7/8/10 e, para chegar lá, basta abrir o menu Iniciar, procurar por "Firewall" e clicar em "Configurações avançadas" no painel esquerdo, clicar no Inbound Rulespainel esquerdo e no painel principal encontrar Remote Desktop - User Mode (TCP-In)e Remote Desktop - User Mode (UDP-In)e Permitir percurso de borda para ambos.
Shayan
Funciona para mim sem essa solução, por que você acha que isso é necessário?
noites
8

Se você não quiser usar o 3389 externamente, abra uma porta diferente externamente, mas aponte-o para 3389 no endereço IP da máquina na qual você deseja o RDC. Isso é útil para rotear muitos sistemas com o RDC. Também é bom porque não requer nenhuma edição do registro.

Gromer
fonte
7

A única exceção à resposta anterior (3389) é ao usar o Small Business Server através do Local de Trabalho Remoto na Web.

Nesse caso, o NAT do servidor é a conexão entre você e a porta 80 (HTTP) ou 443 (HTTPS) do servidor e depois para o computador interno; portanto, apenas 80/443 é necessário.

Brandon
fonte
4

Quais portas devo abrir para a área de trabalho remota - Resposta: Nenhuma .
Abrir a RDC na Internet é uma péssima idéia. Os scanners de portas capturam um 3389 aberto rapidamente e tentam interromper seu logon. https://www.grc.com/port_3389.htm

Alan
fonte
4
É justo o suficiente, mas abrir a porta para um endereço IP específico não é uma prática ruim. O OP não especificou que a abertura ao público em geral era a intenção.
Luke Alderton
2

Se a segurança estiver em causa e você tiver um roteador baseado em Linux (por exemplo, OpenWrt), não adicione nenhuma entrada NAT, para 3389 neste caso.

Use seu roteador como um servidor de salto e crie uma porta SSH para a frente.

  1. O sshd do seu roteador escuta na porta 22 da rede LAN.
  2. ele também escuta na porta A a rede WAN (a única exposta), com apenas autenticação de chave pública, para que nenhuma senha de força bruta tente.
  3. crie um par de chaves públicas / privadas, coloque o privado nos seus dispositivos clientes, copie o público no seu roteador (no arquivo allowed_keys)
  4. estabeleça o encapsulamento a partir dos dispositivos clientes: ssh -p [porta A] -L: [porta B]: RDP-box: 3389 root @ router (você pode salvar isso na configuração SSH ou nos perfis de terminal para facilitar o uso no futuro)
  5. conectar RDP a partir do host local: [porta B]
gpanda
fonte
1

Você deve abrir o TCP e o UDP 3389 (a menos que tenha especificado uma porta personalizada).

Embora a resposta aceita (apenas TCP 3389) estivesse correta no momento, ela não está mais atualizada. Em 2012, a Microsoft introduziu o transporte UDP do RDP. Dependendo da sua rede, isso pode melhorar drasticamente o desempenho da sua sessão RDP. Consulte este link da Microsoft para obter uma explicação muito mais detalhada: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/RemoteFX-for-WAN-Overview-of-Intelligent-and-Adaptive-Transports/ba- p / 247478

jlp2097
fonte
0

podemos definir números de porta RDP personalizados usando o seguinte caminho >> HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp

Adithyan kv7
fonte