Сетевой порт — числовой идентификатор (0–65535) для различения различных сервисов на одном IP-адресе. Открытый порт — принимает соединения (на нём работает сервис). Закрытый порт — хост доступен, но сервиса нет, ОС отвечает TCP RST или ICMP Port Unreachable. Фильтрованный порт — пакеты молча отбрасываются файрволом без ответа.
Как работает
При попытке TCP-соединения на закрытый порт: хост получает SYN, ОС не находит слушающего сокета и отправляет TCP RST (Reset). Для UDP: при отправке пакета на закрытый UDP-порт ОС возвращает ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable). Сканер Nmap различает open/closed/filtered именно по наличию и типу ответа.
С точки зрения iptables: закрытый порт не имеет правила ACCEPT и попадает в политику по умолчанию. При политике DROP — порт становится «фильтрованным» (нет ответа). При политике REJECT — порт «закрытый» (ответ с RST/ICMP Unreachable). Рекомендуется использовать DROP для защиты от сканирования.
Стандартные закрытые порты
Порты 0–1023 — well-known ports: HTTP (80), HTTPS (443), SSH (22), SMTP (25), DNS (53), FTP (21). На сервере без конкретного сервиса эти порты закрыты. Порты 1024–49151 — registered ports. 49152–65535 — dynamic/ephemeral ports (временные для исходящих соединений).
История
Концепция портов для мультиплексирования сервисов на одном IP появилась в ранних спецификациях TCP. IANA (Internet Assigned Numbers Authority) ведёт реестр well-known ports с 1982 года. RFC 6335 (2011) стандартизировал порядок назначения портов.
На что обращать внимание
На VPS после первичной настройки закройте все ненужные порты через iptables или брандмауэр. Оставьте только необходимые: SSH (22 или нестандартный порт), HTTP (80), HTTPS (443), специфичные для вашего приложения. Сканирование открытых портов (nmap) — первый шаг любой атаки. Смена порта SSH с 22 на нестандартный снижает число брутфорс-атак в логах на 90–95%.
Как работает закрытый порт
Закрытый порт означает, что хост принимает TCP-соединение на этот порт, но немедленно отвечает RST (Reset) — соединение разрывается. Это отличает закрытый порт от фильтрованного: фильтрованный порт молчит (пакет дропается брандмауэром), закрытый отвечает RST. Nmap различает эти состояния: closed vs filtered. Для безопасности рекомендуется дропать пакеты (DROP в iptables), а не отвечать RST — это скрывает факт существования хоста. На хостинге закрытие ненужных портов — базовая мера безопасности. Брандмауэр или iptables управляют состоянием портов.
Управление портами на хостинге
На VPS управление портами осуществляется через iptables или nftables. Команда ss -tlnp показывает все прослушиваемые (открытые) порты. Команда nmap -p- <host> сканирует все 65535 портов. Стандартные порты: 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MySQL), 5432 (PostgreSQL). Нестандартные порты для SSH (например, 2222) снижают количество автоматических атак, но не повышают реальную безопасность — это security through obscurity. Двухфакторная аутентификация на SSH критичнее смены порта.
Закрытый порт в сочетании с правильно настроенным Nginx-сервером образует базовый уровень защиты: веб-трафик принимается только на 80/443, все остальные порты блокируются через UFW. Проверить состояние портов: ss -tlnp.