Risolvere i problemi con le porte firewall aperte

- [Istruttore] Darò un'occhiata più approfondita a Windows Defender Firewall su un client e su un server e darò un'occhiata a come possiamo impostare regole personalizzate specifiche per consentire o bloccare il traffico in base ai nostri desideri. Quindi andrò alla casella di ricerca e digiterò il pannello di controllo, e lo aprirò. E andrò oltre a Programmi e funzionalità. E sul mio computer Windows 10, ho intenzione di attivare una funzionalità di Windows, e questo sarà il client Telnet. E spuntiamo solo quella casella. E ciò che mi permette di fare è che posso quindi testare una porta su un altro computer. Non importa se si tratta di un computer Windows 10 o di un server Windows. Posso vedere, se una porta è aperta, se è una porta TCP. Quindi ora andrò in un prompt dei comandi, e poi posso digitare la parola Telnet al nome del computer o dell'indirizzo IP che voglio testare, seguito dalla porta. Quindi userò la porta 445, premerò Invio e vedremo che tutto diventa nero. Ciò significa che quella porta è aperta. Se la porta non è aperta, vedremo un messaggio di porta non può essere connessa. Quindi andiamo avanti e apriamolo di nuovo. E digiteremo la stessa cosa, ma questa volta userò una porta che so che non è aperta. E dice che sta cercando di connettersi, e dopo circa 10 secondi o giù di lì, dovremmo vedere un messaggio che non possiamo connetterci. E c'è il nostro messaggio, non è stato possibile aprire la connessione. E questo è solo un modo davvero rapido che possiamo testare per vedere se una porta è aperta su un altro computer. Se vogliamo vedere su quali porte stiamo ascoltando sui nostri computer, allora possiamo digitare netstat -an | di più, quindi non otteniamo più pagine tutte in una volta. E ci dice le porte che sono aperte sul nostro computer. E questo funziona su qualsiasi versione del client o del server Windows. Ad esempio, se voglio assicurarmi che Desktop remoto funzioni sul mio computer, devo assicurarmi che il computer stesso sia in ascolto sulla porta 3389. E possiamo vedere, il terzo in basso è 3389. Quindi, se ho abilitato Desktop remoto, ma non vedo che sto ascoltando su quella porta, significa che quella porta del firewall non è stata aperta. E questo potrebbe significare che c'è qualcosa di sbagliato nel computer. Potrebbe essere necessario disabilitare e riattivare prima che venga visualizzato, oppure potrebbe significare che c'è qualche conflitto con un'altra applicazione. Ora, se quella porta viene visualizzata a 3389, tuttavia, non riesco a connettermi ad essa da un altro computer perché la porta sembra essere chiusa, beh, questo è un problema del firewall. Quindi ora posso andare nel Pannello di controllo e posso assicurarmi che ci sia una porta firewall aperta per 3389. Quindi andrei in Impostazioni avanzate in Windows Defender Firewall. E andrei in Inbound Rules. E scorrerei verso il basso fino a Desktop remoto e possiamo vedere che Remote Desktop TCP-in è attivo. E confermerò solo che quella è la porta 3389. Quando entriamo in Protocolli e porte, possiamo vedere che questa non è specificamente la porta 3389. Questo è il protocollo TCP, che è il numero di protocollo di sei. I numeri di protocollo non sono uguali ai numeri di porta. Ogni protocollo diverso ha il suo numero. Quindi, ad esempio, TCP ha il numero di protocollo di sei. Quello che vogliamo cercare è quello 3389. Quindi non è il primo, quindi facciamo doppio clic sul secondo e vediamo se è tutto. Eccolo, 3389. Sappiamo che questa è la regola giusta e possiamo vedere che ha un segno di spunta verde accanto ad esso, quindi è impostato su abilitato. Quindi siamo bravi lì. Passerò al nostro server Windows e creeremo alcune nuove regole e daremo un'occhiata a come possiamo personalizzarle. Sono su un server Windows 2019 e creare e guardare le regole sembra esattamente lo stesso che sul nostro computer Windows 10, il che è molto bello che non dobbiamo imparare un modo diverso di fare le cose. Tuttavia, se hai intenzione di utilizzare la versione Datacenter dei server Windows 2019 o 2016, vedrai un diverso tipo di firewall che richiede un po 'più di sforzo per imparare come usare. Farò clic su Impostazioni avanzate e Regole in entrata. E possiamo vedere che c'è una regola di blocco che è qui che è stata creata in precedenza, e che sta bloccando la porta 80 dall'entrare. E poi vediamo molte altre regole che hanno il segno di spunta verde che significa che stanno funzionando, ma ci sono altre regole qui che non hanno un segno di spunta verde, come Remote File Server Manager e queste altre sotto di esso. Ciò significa solo che la regola è lì, ma non è abilitata. Quindi, se non è abilitato, significa che non funzionerà. È necessario fare clic con il pulsante destro del mouse e abilitarlo se si desidera che quella particolare regola funzioni per la propria applicazione specifica. Quindi creiamo una nuova regola. Ora abbiamo diverse opzioni quando creiamo una nuova regola. Possiamo creare una regola che punta a un programma. Quindi, se scelgo quello predefinito, ora posso scegliere il programma specifico a cui so che mi piacerebbe poter accedere da un altro computer. Quindi, se posso navigare in quel particolare file eseguibile, allora posso quindi consentirlo, e quel programma avrà quindi una porta aperta per questo, oppure posso andare su una porta specifica. Quindi, se dico, non ho intenzione di puntare questo a un programma specifico. Ho intenzione di aprire la porta perché so che il programma di cui ho bisogno utilizza quel numero di porta. Quindi farò clic su Avanti. Vediamo che abbiamo l'opzione per TCP o UDP e possiamo anche aggiungere più porte diverse. Quindi, per esempio, se volessi aggiungere la porta 50000 e poi virgola, spazio, e poi 1000 e poi virgola, spazio, e se volessi fare una gamma di porte, come puoi vedere qui, posso fare da 5000 a 5010. E faremo clic su Avanti. Ora ho la possibilità di consentire la connessione, consentirla se è sicura, e ciò significa che se utilizza un qualche tipo di crittografia, come IP Security o IPsec, allora lo permetterò. Ed ecco tutte le diverse opzioni che possiamo vedere per la crittografia. Posso anche scegliere di bloccare la connessione. Posso dire che non importa se quel programma è installato lì o meno. Non voglio che nessuno si colleghi ad esso. Quindi, ad esempio, se ho installato Internet Information Services, per impostazione predefinita, abiliterà la porta 80. Ma se non voglio abilitare la porta 80 perché non è sicura, voglio solo abilitare la porta 443, allora puoi vedere che una regola come quella che è stata creata in precedenza per bloccare la porta 80, come vediamo in alto, quindi possiamo sovrascrivere qualsiasi applicazione che potrebbe aprire automaticamente una porta. Tornerò alla mia nuova regola e sceglierò Predefinito. Quindi Predefined ha a che fare con i non eseguibili. Queste sono tutte applicazioni integrate fornite con Windows Server. Quindi, se ho abilitato particolari ruoli del server, servizi ruolo o funzionalità, posso andare qui e assicurarmi manualmente che tali porte siano aperte. Ora, per impostazione predefinita, se si aggiunge un servizio ruolo o un ruolo del server, si aprirà quella porta. Ma non sempre funziona e potrebbe non mostrare le porte desiderate. Quindi, ad esempio, se si desidera aggiungere IIS utilizzando FTP, FTP per impostazione predefinita utilizza la porta 21, ma supponiamo che non si desideri utilizzare la porta 21. Bene, allora puoi usare altre porte invece, e potresti entrare e apportare questo tipo di modifiche qui. Quindi, ad esempio, ecco una condivisione di file e stampanti. Diciamo che voglio abilitare la condivisione di file e stampanti. Posso andare avanti e scegliere quel ruolo particolare predefinito. E quello che farà è aggiungere tutte le porte che per impostazione predefinita utilizzerà. Quindi ecco tutte le porte utilizzate da Condivisione file e stampanti e puoi vedere che molte di esse esistono già. In realtà, tutti esistono già. Quindi non ho bisogno di fare nulla per farlo funzionare. Tuttavia, se non esistesse, puoi selezionare quella casella e puoi continuare. Scegliamo l'ultima opzione qui, la regola Personalizzata. Quindi farò clic su Avanti. E possiamo scegliere Tutti i programmi o un percorso di programma specifico. Naturalmente, tutti i programmi non sarebbero così sicuri. E puoi scegliere il tuo eseguibile qui. Sceglierò questo spooler wow64.exe, solo come esempio. Ed ecco dove abbiamo le porte e i protocolli che possiamo specificare. Ed ecco una parte interessante. Questo ha a che fare con quali indirizzi IP vogliamo consentire. Quindi, per impostazione predefinita, lascerà entrare tutti gli indirizzi IP, ma potremmo non volerlo. Potremmo volere indirizzi IP specifici. Quindi qui potremmo dire di aggiungere solo questo IP o un intervallo IP. E fai clic su Avanti. Ed ecco dove possiamo dire consentire, consentire se è sicuro, come accennato in precedenza, o bloccare la connessione. E questo mostra i tre diversi tipi di reti. Ora, se non hai un dominio Active Directory, vedrai solo privato e pubblico. Ma se hai Active Directory, vedrai anche l'opzione per Dominio. E ti consiglio di lasciare tutti e tre questi selezionati, fare clic su Avanti e dargli un nome. La chiameremo regola dello spooler della stampante e faremo clic su Fine. Quindi torniamo alle regole in entrata. C'è la nostra regola dello spooler della stampante. E quando faccio doppio clic su di esso, puoi entrare e apportare alcune modifiche se lo desideri, come le porte, l'ambito, cambiare gli indirizzi IP, cambiare dove si applica. Ed ecco un'altra area che dà alle persone un sacco di problemi. Per impostazione predefinita, se non scendi qui e premi il menu a discesa e scegli di consentire l'attraversamento dei bordi, è possibile che questa regola non si applichi al di fuori della tua rete locale. L'ho visto molte volte, in cui abiliti questa particolare regola, ma non abiliti l'attraversamento del bordo consentito. E poi quando le persone entrano dall'esterno, ed è una regola particolare che vuoi applicare a loro, non funziona perché dice, ehi, questo proviene da un'altra sottorete, quindi non mi fido. Quindi, se si consente l'attraversamento del bordo, è possibile evitare che si verifichi quel particolare problema di rete. Quindi ho apportato tutte le mie modifiche. Posso fare esattamente la stessa cosa con le regole in uscita anche per qualsiasi traffico in uscita. A volte potresti voler bloccare determinati traffici in uscita, come la porta 25 o altro traffico e-mail da server non di posta elettronica nel caso in cui un computer venga infettato, ad esempio. I firewall esistono su computer, server e gateway in tutte le reti. L'utilizzo di strumenti di query sulle porte può testare il traffico in entrata e in uscita per assicurarsi che le applicazioni non siano bloccate e che le porte siano aperte quando necessario.