Windows Firewall è un componente del sistema operativo attivo di default su ogni PC Windows. La sua funzione principale è impedire la connessione alle porte TCP/UDP utilizzate dai programmi in esecuzione sul computer locale da parte di altri sistemi presenti in rete locale (LAN) oppure via Internet. Di conseguenza, quando vogliamo esplicitamente consentire ad un'applicazione di esporre una porta ed essere contattata dall'esterno, è necessario configurare opportunamente Windows Firewall: vediamo dunque come aprire una porta su Windows Firewall.
» Leggi anche: TLI risponde: devo veramente installare un firewall sul PC oppure basta Windows Firewall?
Nel presente articolo vederemo nello specifico come aprire le porte su Windows Firewall tramite l'interfaccia grafica. I più smanettoni e gli appassionati di scripting potrebbero però voler agire da linea di comando. Per la guida dedicata:
» Leggi: Guida Windows Firewall: come aprire le porte da linea di comando
La trattazione seguente è incentrata su Windows. Per aprire le porte sul firewall in ambiente Linux, gli approfondimenti da consultare sono:
- Con Ubuntu: Configurare il firewall di Ubuntu (ufw) tramite interfaccia grafica: guida semplice a Gufw
- Con CentOS: Aprire le porte sul firewall di Linux CentOS - guida rapida a firewalld
Quando è necessario aprire una porta su Windows Firewall?
I programmi che usiamo tutti i giorni (browser web, Office, email ecc.) non richiedono l'apertura di una porta sul firewall. In linea generale: se un'applicazione funziona correttamente, non dobbiamo preoccuparci di questa problematica.
Dobbiamo però valutare l'apertura manuale delle porte quando stiamo installando un programma di tipo "server", ovvero uno di quelli che debba rimanere in attesa di una connessione di rete per funzionare. Alcuni esempi sono:
- server FTP
- server web (HTTP)
- Desktop remoto o VNC
- condivisione file in rete locale
- client BitTorrent (e altri programmi di filesharing P2P)
In vero, Windows Firewall rileva automaticamente il tentativo di un programma di mantenere aperta una porta in attesa di connessioni. In tal caso, viene mostrata una schermata di conferma:
Rispondendo in maniera affermativa, Windows Firewall consentirà le connessioni alle porte aperte dal programma in questione.
» Leggi anche: TLI risponde: cosa significa che "Windows Firewall ha bloccato alcune funzionalità di questa app"?
Se però si risponde negativamente (o la finestra di dialogo non si mostra), è importante conoscere la procedura illustrata di di seguito e aprire le porte manualmente.
Metodo 1: "Sbloccare" le porte di un programma su Windows Firewall
Il modo più rapido per aprire le porte di un programma su Windows Firewall è tramite la schermata Consenti alle app di comunicare attraverso Windows Firewall: si tratta di una lunga lista di applicazioni "autorizzate", per le quali Windows Firewall lascia sempre "passare" il traffico
Per utilizzare questo strumento:
Metodo 2: Aprire porte specifiche su Windows Firewall
Quando però desideriamo aprire una specifica porta su Windows Firewall, dobbiamo agire diversamente.
Per prima cosa, cercare Windows Firewall sotto a Start per trovare ed avviare l'omonima applet del Pannello di controllo
Da qui, disabilitare il blocco indiscriminato delle connessioni come descritto al Passo 2 di questo articolo.
Dalla colonna di sinistra, seguire il collegamento Impostazioni avanzate
Spostarsi sul nodo Regole connessioni in entrata (sulla sinistra) e cliccare Nuova regola... (sulla destra). Questo avvia la procedura guidata per la creazione di una nuova regola sul firewall.
Per aprire determinate porte ed accettare la connessione sulle stesse, scegliamo Porta
Al passaggio successivo, indichiamo se vogliamo aprire una porta TCP oppure UDP (a meno di casi specifici, molto probabilmente si tratta di TCP).
Subito sotto, digitiamo le porte che vogliamo sbloccare, separandole da virgole. Ad esempio: 21,2121,2122 apre tutte le porte necessarie al server FTP.
Per aprire un intervallo contiguo di porte (dalla 80 alla 85, ad esempio), scriveremo invece 80-85.
Possiamo ovviamente combinare le due "modalità" scrivendo 21,2121,2122,80-85.
Per una lista dei principali numeri di porta che potremmo voler aprire:
Proseguendo, indichiamo Consenti la connessione
Dobbiamo poi specificare a quali profili di rete si applica la regola. Questo ci consente, ad esempio, di mantenere aperta la porta quando siamo collegati al router di casa (Privato), ma bloccarla quando siamo collegati a reti potenzialmente insicure (Pubblico), come il Wi-Fi degli alberghi
Infine, digitiamo un Nome a piacere ed una Descrizione (facoltativa) per la regola che stiamo per creare. Personalmente, sono solito aggiungere un mio prefisso al nome di tutte le regole che creo manualmente: questo mi consente di trovarle rapidamente nella lunga lista sottostante
Cliccando su Fine, la regola viene creata ed è visibile nell'elenco Regole connessioni in entrata sottostante.
Opzioni avanzate
Facendo doppio click sulla regola appena creata nell'elenco si accede ad una schermata con molteplici schede: i comandi esposti permettono di modificare le caratteristiche della regola ben oltre quanto concesso dalla semplice procedura guidata
In particolare, notiamo la tab Ambito, sezione Indirizzo remoto IP. Da qui, possiamo indicare a Windows Firewall di accettare connessioni all'eseguibile/porta in questione solamente quando la richiesta proviene da un determinato indirizzo IP "fidato"
Gli indirizzi IP possono essere locali (LAN) oppure Internet.
Come verificare che la porta sia effettivamente aperta?
Il modo più rapido per verificare che Windows Firewall abbia effettivamente aperto la porta è quello di provare a connettersi al servizio che abbiamo appena sbloccato. Se tutto funziona, il gioco è fatto.
Per svolgere un'analisi puntuale e visualizzare tutte le porte attualmente aperte dobbiamo invece eseguire un port scan da un client esterno:
In caso di problemi...
Quando tutto sembra essere configurato come da manuale ma il servizio remoto continua a non rispondere, c'è solo una cosa da fare: armarsi di questa "checklist" e... trovare l'inghippo.
In caso il problema persista, potremmo valutare l'idea di disattivare Windows Firewall. È però bene ricordare che non si tratta di una soluzione a lungo termine, ma solo di un metodo "temporaneo" per diagnosticare un problema:
» Leggi: Guida: come disattivare Windows Firewall
Da ricordare: aprire le porte sul router
La configurazione del solo Windows Firewall è sufficiente se desideriamo rendere disponibili i servizi all'interno della rete locale (LAN). In alcuni casi, però, potremmo voler esporre le stesse porte anche su Internet: abilitare Desktop remoto, ad esempio, ci consente di utilizzare il nostro PC fisso di casa da qualunque parte del mondo.
Per esporre i servizi su Internet dobbiamo dunque svolgere un passaggio in più: terminata la configurazione di Windows Firewall, è necessario anche "aprire" le stesse porte sul router. Per la guida completa:
» Leggi: Come aprire le porte sul router/modem: la guida definitiva al port forwarding (inoltro delle porte)
