Mais Populares

3 de janeiro de 2014

O que é abrir uma porta no roteador, e como testar se está realmente aberta?


Às vezes precisamos abrir a porta para algum aplicativo, programa, ou até mesmo jogos para que possamos acessar recursos na internet, ou mesmo acelerar downloads, enfim, são muitos os propósitos em se abrir uma porta.

Mas exatamente o que é "abrir uma porta"? É o que vamos explicar neste tutorial.

A internet é uma rede onde todos podem se comunicar, transferir dados, através de um endereço IP.
Quando utilizamos a internet utilizando um roteador, é possível compartilhar a conexão com vários computadores.
Todo dispositivo que acessa internet tem que ter 1 endereço IP válido na Internet, ou seja, sem roteador, como estes que conhecemos, todo computador teria que ter uma conexão com a Internet.
Isto ocorre porque o roteador ele identifica-se como um computador, e o mesmo faz a tradução destes pacotes para que sejam identificados por apenas 1 endereço IP este que é válido na Internet.
Este recurso é conhecido como NAT (Network Address Translation) ou ligeiramente traduzindo: "Tradução de endereço de rede".
O roteador tem a função de criar uma rede, também chamada de sub-rede, e este conecta-se à outra rede, à Internet.
Os endereços IP de dentro da sub-rede, não são visíveis na Internet, ou seja, o responsável de pegar o pacote da rede local e transferir para à internet, é o roteador.
Para exemplificar o contexto, segue o exemplo:

Rede Local: 192.168.0.0/24 (ou 192.168.0.0 e máscara 255.255.255.0).
Internet: 177.178.20.30/32 (ou 177.178.20.30 e máscara 255.255.255.255).

Toda vez que um computador se comunica com outro da mesma rede, o roteador encaminha para o computador local. Toda vez que o endereço IP é de fora da rede, é transferido para a Internet, como se o roteador estivesse pedindo determinada informação.

1. Computador da rede local 192.168.0.3 pediu o site www.google.com
2. Roteador recebeu do Computador IP: 192.168.0.3 a solicitação de www.google.com
3. Roteador com IP público 177.178.20.30 envia o pedido para o Google da página em www.google.com
4. Google recebe 177.178.20.30 pedindo www.google.com
5. Google envia a página www.google.com para 177.178.20.30

Roteador com recurso NAT, possui uma tabela onde armazena as informações que saíram. Então sabe que o pedido de www.google.com veio de 192.168.0.3 e envia.

6. Roteador envia www.google.com para 192.168.0.3.

Claro que há muitas outras etapas no meio deste caminho, como ACK, SYN, conexão ao DNS via UDP, depois disto recebe o IP e todo tráfego ocorre só por IP via TCP que exige conexões sem falhas (reenviando informações perdidas com controle ICMP dos pacotes).

Entendendo o motivo de abrir a porta

Quando um pacote de origem desconhecida chega ao roteador, ele busca na sua tabela de NAT, quem o pediu, e não encontrando, o pacote é descartado, respondendo com "Destino não alcançável" ou dependendo da configuração, sem responder nada, no caso de firewall.

O roteador não tem bola de cristal, tem vários computadores na sua sub-rede, não iria encaminhar o pacote para todos.

Quando abrimos uma porta, nós dizemos ao NAT do roteador: Quero que tudo que venha da internet pela porta X, por endereço desconhecido, chegue até a mim para tal aplicativo no computador 192.168.0.3 (ou qualquer outro IP da sub-rede).

Ou seja, quando você abre uma porta, qualquer um na Internet consegue se comunicar diretamente com seu computador, passando pelo roteador sem qualquer problema.

No caso de programas de P2P, este recurso é útil pois muitos clientes liberam uma velocidade maior para download, apenas se a pessoa está com a porta aberta (upload alto).

Existem também pessoas que preferem ter servidores em sua própria casa de propósito geral, como banco de dados, web servers (sites na internet), e entre outros.

É claro que também atualmente as operadoras bloqueiam certas portas para clientes residenciais, ou seja, não adianta abrir a porta de Web Server no roteador, sendo que seu ISP à bloqueia antes disto.

As portas geralmente bloqueadas pelos ISPs são:
21 (FTP)
22 (SSH acesso remoto)
23 (Telnet)
25 (SMTP, ou serviço de disparo de e-mail)
53/UDP (DNS)
80 (Web Server)
137/UDP (NETBIOS Resolução de nomes dos computadores na rede)
138/UDP (NETBIOS Datagrama)
139 (NETBIOS Sessão)
445 (Microsoft-DS ou digamos, autenticação do usuário)

A telefônica bloqueia também portas: 1352, 1503, 1720 e 5631, sendo algumas de ligações de chamas de reuniões do NetMeeting e acesso remoto.

A Live TIM em São Paulo, bloqueia também a porta 3128, conhecida para uso de servidor de Proxy.

Para abrir todas as portas no seu roteador para seu computador, você pode colocar em DMZ (cuidado, seu computador pode ficar muito vulnerável, tenha certeza que utiliza um computador que não tenha dados importantes, ou máquina virtual temporária).

Então podermos informar ao roteador que tudo desconhecido, seguirá para determinado endereço.

Isto é útil justamente para saber quais portas estão bloqueadas pelo seu ISP, no caso de planejar a instalação de algum servidor utilizando determinada conexão com a internet.

Também lembre-se que endereços IP na internet geralmente mudam de tempos em tempos ou ao reiniciar o roteador.

Liberando uma porta para uso

Você precisa ver no manual do seu roteador como fazer isto, geralmente nas sessões de "Virtual Server" no roteador encontra-se informações de direcionar tráfego de determinada porta para um endereço IP.

Ao usar recurso DMZ, você apenas informa o endereço IP, então não precisa se preocupar com a porta pois estará direcionando todo conteúdo desconhecido para este endereço.

Você precisa também liberar a porta no firewall do Windows para que o tráfego funcione.

Ao abrir a porta, você pode testar utilizando os seguintes sites:


Estes são alguns dos sites, existem vários utilizando o termo "Online Port-Scanner" no Google.








24 comentários :

  1. Respostas
    1. Olá amigo estou conectado via Wi-Fi a uma rede que oferece 75 megas de velocidade mas no Xbox não chega 5 megas tentei abrir as portas mas não funciona já ativei o dmz mas tá na mesma o que devo fazer

      Excluir
    2. Se o Xbox estiver pela rede Wi-Fi, provavelmente é interferência de sinal. Tente utilizar uma rede Wi-Fi preferencialmente de 5 Ghz, pois tem um espectro de rádio mais limpo, próprio para alta velocidade e menor lag. Verifique também se há suporte para TKIP (que é um protocolo de segurança mais simples que o AES), e/ou se o roteador está esquentando muito, tente deixá-lo em um lugar arejado. Roteador quente, faz a CPU dele operar em baixa frequência e consequentemente reduz o desempenho do Wi-Fi. Teste no celular se chega velocidade maior no Wi-Fi.
      Eu se fosse você, ligava com cabo de rede, pois assim acaba com este problema, e diminui e muito a latência da rede.
      Nunca abra DMZ para um dispositivo, pois isto abre todas as portas de seu dispositivo para a Internet, e com os riscos de ataques mundiais (como WannaCry), isto é um imenso risco de segurança.

      Excluir
  2. É assim que se explica o básico. ótima explanação.

    ResponderExcluir
  3. poderia sugerir instruções para fazer a abertura das portas pelo MAC?

    ResponderExcluir
    Respostas
    1. Por MAC muitos roteadores comuns não permitem a configuração; mas você pode fixar um endereço IP na reserva de DHCP a partir do endereço MAC e assim criar a regra para este IP específico.

      Excluir
  4. Olá amigo,
    Como faço para definir um número para porta do roteador para criar um ftp para o HD que está conectado no USB do roteador?
    Obrigado.

    ResponderExcluir
    Respostas
    1. Se seu roteador tem a função de compartilhar o HD do USB para um FTP, você precisa ver se está em modo passivo ou ativo.
      Se for ativo, você precisa liberar 20 e 21, e se for passivo, apenas a 21. Em alguns há uma opção chamada "ftp conntrack", que é uma forma do firewall do roteador automaticamente detectar qual é a porta passiva da conexão com base na inspeção da porta 21, liberando automaticamente o acesso.

      Obs.: Isto geralmente não tem em roteador comum, talvez consiga fazer estes procedimentos se trocar o firmware do roteador por um DD-WRT ou OpenDRT.
      Se está utilizando um NAS, ou um segundo roteador, talvez seja necessário abrir várias portas para o acesso passivo e criar um virtual server para ele.
      Ex.: Abrir a porta 21 e portas no range de 1024 a 2000, todas elas para o IP do servidor do FTP.
      Mas o acesso passivo deve ser configurado na aplicação para trabalhar somente com as portas do range liberado.

      Obs. 2: Geralmente o modo ativo não é utilizado na internet, pois quase todos os computadores tem um firewall e ninguém configura a porta 20 para abrir para a aplicação do FTP.

      Excluir
  5. Muito obrigado pela resposta!
    Desculpe, mas sou leigo no assunto, meu roteador é esse modelo: TP-Link Archer C7 AC1750, vou ver se consigo configurar o HD que está ligado nele pela USB para acesso de outras máquinas pela internet, aqui em casa tranquilo para acessar pela LAN, já para configurar para acessar externo to "garimpando" as informações na internet, infelizmente não consegui ainda nada objetivo e específico.
    Grato pela atenção.

    ResponderExcluir
  6. Este comentário foi removido pelo autor.

    ResponderExcluir
  7. Uma dúvida.. por exemplo.. se eu abrir as portas 3000-3002 para o ip 192.168.0.30, essas 3 portas serão somente utilizada pelo o ip configurado (0.30), assim essas portas não poderão ser utilizadas por outros diferentes ips para enviar e receber pacotes??
    obrigado pela atenção.

    ResponderExcluir
    Respostas
    1. Para receber dados não, pois tudo que chegar nas portas 3000, 3001 e 3002, seguirão do seu roteador diretamente para o IP 192.168.0.30, e o mesmo deve ter a aplicação que irá utilizar os pacotes ou então os mesmos serão descartados.
      O gerenciador do firewall do roteador só faz roteamento em geral somente para os pacotes de entrada, somente o que recebe de fora (wan/internet) para a rede interna (lan).
      Se o computador 192.168.0.30 ou qualquer outro utilizar a porta 3000, 3001 ou 3002 para saída de dados, ou para um destino com estas portas, isto não é influenciado, pois o roteador trata de mascarar as portas locais internas para seu IP respectivo na saída de dados, devido a tabela NAT.

      Exemplo:
      Roteador WAN: 189.1.2.3
      Servidor na Internet: 66.77.88.99

      192.168.0.136 > Pacote saindo da porta 13070 em direção a 66.77.88.99 porta 3000.
      Roteador edita o pacote da sua rede local e atribui o ip da 189.1.2.3 e porta de saída 47962 e marca na tabela NAT que a porta 47962 de saída é do IP 192.168.0.136, e a porta de origem original é 13070.
      Quando o pacote de dados chegar do IP 66.77.88.99 com destino para a porta 47962, o roteador automaticamente irá reencaminhar o pacote para a porta 13070 da máquina 192.168.0.136.

      Espero ter ajudado.

      Excluir
  8. Só posso abrir portas pra computador ou games c eu quiser usar uma TV smart por exemplo posso abrir porta ??..
    Ou usar aparelhos Android como celular ou outros aparelhos é possível fazer isso ou seja posso abrir portas pra usar esses aparelhos estou perguntando porq não sei eu sou leigo nesse assunto OK desde já agradeço qualquer resposta q possa me ajudar ...

    ResponderExcluir
  9. Oi amigo estou com um problema sério tenho um ps3 e jogo online mas fica travando quando estou jogando, já troquei o DNS do roteador e do ps3 diversas vezes mas não adiantou continua travando, lento.
    Será se pode ser às portas que não estão abertas?

    ResponderExcluir
    Respostas
    1. Eu já vi roteadores conectados a uma boa internet e simplesmente aumentarem o lag simplesmente por causa da CPU do roteador ser consumida com outros processos, como o de criptografia do AES da interface wireless. Tente desligar o wi-fi e usar somente cabos de rede se melhora, ou utilizar um roteador de outro fabricante no fim de verificar se melhora a rede; ou tentar usar direto o modem do ISP se ocorre o mesmo, que neste caso, se persistir o problema, a causa pode ser a internet.
      Espero ter ajudado.

      Excluir
    2. Não pode ser a internet, porque eu tinha uma internet de 2 mega de velocidade, essa internet já acontecia, depois eu aumentei para 10 mega de velocidade e ficou igual, já está no cabo, já troquei o roteador, ei achava q poderia ser os portas

      Excluir
  10. Uma duvida... qual a diferença entre redirecionar e encaminhar portas? como se faz isso no firewall do windows

    ResponderExcluir
    Respostas
    1. Redirecionar e encaminhar portas é a mesma coisa, talvez esteja se confundindo com abrir uma porta.
      Abrir uma porta, permite que uma máquina interna receba a conexão direta de fora (da internet) para o PC interno da rede, apenas é como uma informação ao roteador "a porta 34567 deve ir para o IP 192.168.0.50", você apenas informou que deve abrir a porta. Redirecionar é quando a porta da internet é 34567 e a local é 80. Então ocorre redirecionamento de porta.

      Excluir
  11. Qual porta devo abrir para jogos que utilizam servidores online e localização , exemplo o jogo Android bullet force

    ResponderExcluir
  12. No caso to querendo criar um servidor para o jogo minecraft pe,no caso a porta roteador que eu abrir eu poderia criar um servidor? , minha internet e 30 Mega, com uma internet rápida meu servidor vai ter mais vantagens tipo mais bom

    ResponderExcluir
  13. Primeiro, parabéns, muito bom o texto, gostaria de saber se o protocolo Arp utiliza alguma porta, já que ele trabalha internamente.

    ResponderExcluir
    Respostas
    1. Não possui porta pois trabalha em camada de enlace, que é só MAC address e devolve o IP associado.
      Ele é um pacote para broadcast para sua rede local.
      Este tipo de protocolo não trafega na Internet, pois a Internet não trabalha com endereços MAC Address, somente endereços IP.
      Se porventura fosse enviado para a Internet, são bloqueados pelos equipamentos e pelos provedores de Internet, assim como também acontecem com pacotes BGP, RIP, e semelhantes.

      Excluir

Deixe seu comentário abaixo e curta Tutorial TI no facebook!