Não é possível abrir a porta 443 no modem

0

Estou desenvolvendo um site, que requer uma conexão https por causa do sistema de login.
Eu abri meu conector do Tomcat na porta 443 e conectando através de https://localhost funciona bem, mas eu preciso que ele seja acessível de fora (com o endereço IP público). Eu fui no roteador e abri "encaminhamento de porta".
Eu tentei abrir a porta 443, mas o roteador (Fritz! Box7390) diz "L'abilitazione porte non si può creare o attivare perché esiste già un'abilitazione porte corrispondente." , que é "Não é possível abrir a porta 443 porque ela já está aberta." .

O problema é que NÃO consigo me conectar ao servidor, porque obviamente essa porta não está aberta e também não está presente no Painel de Encaminhamento de Portas (onde vejo todas as portas abertas).


Eu tinha capacidade de abrir a porta 80 quando não estava precisando de uma maneira mais segura de se conectar.

Como posso abri-lo com sucesso? Não consigo encontrar ajuda na internet

    
por Axel Montini 04.11.2015 / 18:56

1 resposta

0

Você está desenvolvendo um website. Você deseja tráfego da Internet, para o seu endereço IP público, na porta TCP 443, para ser tratado pelo servidor HTTPS que fornece as informações do seu site.

O problema (comum) é que quando o tráfego da Internet atinge seu endereço IP público, ele alcança seu modem. Agora, o que você deseja que o modem faça é receber o tráfego da Internet, mas encaminhar esse tráfego para o computador que está executando o servidor da Web que manipula seu site. Esse processo é chamado de encaminhamento de porta.

A suspeita dos comentários é que seu roteador está configurado para usar HTTPS para permitir a configuração do roteador, e que o roteador está permitindo o "tráfego externo" (ou seja: tráfego da Internet) para configurar o roteador com HTTPS . Esse recurso geralmente está disponível como uma opção, e o recurso é ativado de maneira comum. Isso causará alguns problemas, por isso as pessoas estão certas em sugerir que esse cenário comum é um problema possível.

O primeiro problema é que, se o roteador estiver executando o software "servidor HTTPS", que processa o tráfego da porta TCP 443, e o roteador responde ao tráfego, é isso que acontece com o tráfego HTTPS. Não é isso que você deseja, pois o que você deseja é que o tráfego HTTPS seja enviado ao computador que está executando o servidor da Web.

A segunda questão é que isso permite que as pessoas na Internet controlem o seu modem. Isso deve ser garantido. Aqueles de nós que sabem, sabem que os fabricantes de roteadores normalmente não estão tornando os roteadores suficientemente seguros contra ataques, por isso é recomendável que você nunca faça isso (se você não tiver substituído o firmware do roteador por algo personalizado e mais confiável do que o que os fabricantes lançam. Pior ainda, muitas pessoas que ativam esse recurso nunca se incomodam em alterar as senhas padrão, então essa é uma lacuna de segurança. (Esse é o segundo problema com essa configuração.) O único aspecto que diminui esse problema é que os invasores normalmente não acham que o controle de roteadores de escritório / escritório é particularmente útil para ataques, portanto, há relativamente pouco incentivo para que o ataque ocorra. Ainda assim, ocorrem ataques, portanto, é melhor não ativar essa vulnerabilidade.

Então o que você deve fazer? Procure em seu roteador por qualquer opção relacionada à configuração / administração usando HTTPS pela Internet, à qual alguns dispositivos podem se referir como WAN. Enquanto você está nisso, procure por outras opções de administração remota, como HTTP. Desative todas essas opções que permitem o acesso da WAN. Permitir o acesso de uma porta LAN é perfeitamente aceitável, e permitir o acesso de todas as portas LAN é razoavelmente aceitável, mas permitir acesso à WAN não é permitido.

Agora, algumas pessoas desejam correr o risco de segurança de permitir a administração remota da WAN. Isso pode ser tolerável se eles alterarem as credenciais padrão (senha, possivelmente nome de usuário também). Eles devem entender os riscos, se quiserem fazer isso. No entanto, eles também devem entender que isso não permitirá que o tráfego HTTPS na porta 443 seja encaminhado para uma máquina interna. Como você deseja que o tráfego seja encaminhado, permitir a administração da WAN não é uma opção para suas metas específicas.

Outra opção é ter vários endereços IP públicos, mas isso pode custar caro para o IPv4 para muitos ISPs e pode ser mais complicado e geralmente não é necessário. A maioria das pessoas não precisará seguir essa rota, a menos que queira que vários servidores HTTPS respondam ao mesmo número de porta TCP, o que geralmente não é o caso se você estiver configurando um único site. (Graças ao SNI, até mesmo vários sites podem usar uma única porta do servidor HTTPS, tornando essa rota desnecessária.)

Em teoria, pelo menos, pode haver outras causas possíveis. No entanto, o seu comentário de "Não é possível abrir a porta 443 porque ela já está aberta". (Obrigado por traduzir isso do francês para nós!) Torna altamente provável que o roteador esteja usando a porta TCP 443 para outra coisa. Se o roteador fornecer algo semelhante a um prompt do Unix, você poderá usar algum comando padrão para obter mais informações sobre o que está usando essa porta. Provavelmente, você está configurando o roteador usando uma interface da Web (ou talvez um software especializado do fornecedor) e, nesse caso, basta examinar manualmente a interface gráfica, esperando encontrar a opção que está causando o problema. Tente procurar opções (menus ou telas de opções) com nomes como "Administração". Provavelmente não podemos ser muito mais específicos, a menos que você forneça o fabricante do roteador (fabricante) e o número do modelo.

    
por 04.11.2015 / 20:42