Guia prático para gerenciar portas TCP e UDP no Windows: criar regras de firewall, remover regras inseguras, encontrar portas em escuta, identificar o processo que usa uma porta e resolver conexões bloqueadas.
Uma porta de rede é um ponto de comunicação numerado usado por um aplicativo ou serviço do Windows. Por exemplo, um servidor web normalmente escuta na porta 80 para HTTP ou na porta 443 para HTTPS. A Área de Trabalho Remota costuma usar a porta TCP 3389, enquanto o DNS normalmente usa a porta 53.
Quando se diz que uma porta está “aberta” no Windows, isso pode significar duas coisas diferentes:
| Significado | O que isso quer dizer | Como verificar |
|---|---|---|
| Um programa está escutando | Um aplicativo ou serviço está aguardando conexões de entrada nessa porta. | netstat, PowerShell, Monitor de Recursos |
| O firewall permite a porta | O Firewall do Windows Defender tem uma regra que permite o tráfego por essa porta. | Firewall do Windows Defender, regras de firewall no PowerShell |
Abrir portas pode ser necessário para servidores de jogos, servidores web locais, acesso a bancos de dados, ferramentas de administração remota, compartilhamento de arquivos, ambientes de desenvolvimento e alguns aplicativos peer-to-peer. No entanto, cada porta de entrada aberta também pode aumentar a superfície de ataque do computador.
25565 para um servidor Minecraft ou 3389 para Área de Trabalho Remota.O console gráfico do firewall é o método mais seguro para a maioria dos usuários, porque mostra claramente o tipo de regra, protocolo, número da porta, perfil de rede e nome da regra.
Win + R, digite wf.msc e pressione Enter.8080. Você também pode informar um intervalo como 5000-5010.O PowerShell é mais rápido para administradores e é útil quando você precisa criar a mesma regra de firewall em vários computadores.
New-NetFirewallRule -DisplayName "Allow TCP 8080" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow -Profile PrivateEste exemplo abre a porta TCP de entrada 8080 apenas no perfil de rede Privado.
New-NetFirewallRule -DisplayName "Allow UDP 27015" -Direction Inbound -Protocol UDP -LocalPort 27015 -Action Allow -Profile PrivateNew-NetFirewallRule -DisplayName "Allow TCP 8080 All Profiles" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow -Profile Any-Profile Any aplica a regra a redes de Domínio, Privadas e Públicas. Em um notebook, isso pode expor a porta em redes Wi-Fi de hotéis, aeroportos ou cafeterias.
Você também pode abrir portas com netsh, que funciona tanto no Windows 10 quanto no Windows 11 e é útil em arquivos em lote.
netsh advfirewall firewall add rule name="Allow TCP 8080" dir=in action=allow protocol=TCP localport=8080 profile=privatenetsh advfirewall firewall add rule name="Allow UDP 27015" dir=in action=allow protocol=UDP localport=27015 profile=privatenetsh advfirewall firewall add rule name="Allow TCP 5000-5010" dir=in action=allow protocol=TCP localport=5000-5010 profile=privatePara fechar uma porta, normalmente você deve fazer uma destas duas coisas: remover ou desabilitar a regra de firewall que permite a porta, e parar o aplicativo que está escutando nessa porta. Se um serviço continuar em execução, a porta ainda pode aparecer como LISTENING localmente, mesmo que o firewall bloqueie o tráfego de entrada.
Win + R, digite wf.msc e pressione Enter.Remove-NetFirewallRule -DisplayName "Allow TCP 8080"Para desabilitar a regra em vez de removê-la:
Disable-NetFirewallRule -DisplayName "Allow TCP 8080"netsh advfirewall firewall delete rule name="Allow TCP 8080" protocol=TCP localport=8080wf.msc e classifique ou filtre as regras de entrada por Porta local, Protocolo ou estado Habilitado.
O Windows inclui várias ferramentas integradas para ver portas abertas e conexões ativas. As mais úteis são netstat, PowerShell, Monitor de Recursos e os logs do Firewall do Windows Defender.
Ideal para obter rapidamente uma lista de portas em escuta e identificadores de processo.
netstat -ano | findstr LISTENINGIdeal para filtrar e automatizar a revisão de escutas TCP ativas.
Get-NetTCPConnection -State ListenIdeal para usuários que preferem uma interface gráfica.
resmonnetstat -ano | findstr LISTENINGA saída mostra o protocolo, o endereço local, a porta, o estado da conexão e o PID. Por exemplo:
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING 1234Neste exemplo, a porta 8080 está em escuta e o identificador do processo é 1234.
netstat -anoGet-NetTCPConnection -State Listen | Sort-Object LocalPort | Select-Object LocalAddress,LocalPort,OwningProcessGet-NetUDPEndpoint | Sort-Object LocalPort | Select-Object LocalAddress,LocalPort,OwningProcessWin + R, digite resmon e pressione Enter.Se uma porta já estiver em uso, outro programa pode não iniciar. Você pode identificar o processo relacionando o número da porta a um PID e depois relacionando esse PID a um aplicativo.
netstat -ano | findstr :8080Observe o último número da linha. Esse é o identificador do processo.
tasklist /fi "PID eq 1234"Substitua 1234 pelo PID do comando anterior.
Get-Process -Id 1234taskkill /PID 1234 /FDepois de criar uma regra de firewall, é recomendável verificar se a porta realmente está acessível. Um teste correto exige três coisas: um serviço escutando na porta, uma regra de firewall permitindo o tráfego e um roteamento de rede correto.
Test-NetConnection 192.168.1.10 -Port 8080Se a saída mostrar TcpTestSucceeded : True, a porta TCP está acessível a partir desse computador.
netstat -ano | findstr :8080Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -eq "8080"}Estas são portas comuns que você pode encontrar ao revisar portas abertas em um computador Windows. Não as abra publicamente, a menos que você entenda exatamente por que elas são necessárias.
| Porta | Protocolo | Uso comum | Nota de segurança |
|---|---|---|---|
80 |
TCP | Tráfego web HTTP | Normalmente seguro apenas para um servidor web configurado corretamente. |
443 |
TCP | Tráfego web HTTPS | Prefira HTTPS em vez de HTTP para serviços públicos. |
53 |
TCP/UDP | DNS | Não exponha publicamente um resolvedor DNS recursivo. |
445 |
TCP | Compartilhamento de arquivos SMB | Não deve ficar exposto à internet. |
3389 |
TCP/UDP | Área de Trabalho Remota | Use VPN, autenticação forte e políticas de bloqueio de conta. |
5985 |
TCP | Gerenciamento remoto do Windows por HTTP | Use apenas em redes confiáveis. |
5986 |
TCP | Gerenciamento remoto do Windows por HTTPS | Requer configuração correta de certificados. |
Se um verificador de portas online ou outro computador ainda não consegue se conectar, use esta lista de verificação.
| Problema | O que verificar | Solução |
|---|---|---|
| Nenhum serviço está escutando | netstat -ano | findstr :PORT |
Inicie o aplicativo ou serviço que deveria usar a porta. |
| Protocolo incorreto | TCP versus UDP | Crie a regra para o protocolo correto ou crie regras separadas para TCP e UDP. |
| Perfil de rede incorreto | Privado/Público/Domínio | Altere o perfil da regra ou mude o tipo de rede para Privado se for apropriado. |
| O roteador bloqueia o tráfego de entrada | Configuração de encaminhamento de portas | Encaminhe a porta para o endereço IP local correto. |
| O IP local mudou | Endereço IPv4 atual do PC | Use uma reserva DHCP ou um IP estático para o computador servidor. |
| O provedor usa CGNAT | IP WAN do roteador versus IP público | Solicite um IP público, use IPv6 se disponível ou utilize uma solução de VPN/túnel. |
| Um software de segurança de terceiros bloqueia o tráfego | Configuração do firewall do antivírus | Adicione uma regra de permissão no firewall de terceiros ou teste temporariamente com ele desativado. |
netstat mostra os aplicativos que escutam localmente. Excluir uma regra do firewall bloqueia o tráfego de entrada, mas não interrompe o aplicativo. Pare o serviço ou programa relacionado se quiser que a porta desapareça da lista de escuta.netstat -ano | findstr LISTENING. Para uma visualização gráfica, pressione Win + R, execute resmon, abra a guia Rede e expanda Portas de Escuta.Para a maioria dos usuários, a melhor forma de abrir uma porta é usar o Firewall do Windows Defender com Segurança Avançada por meio do wf.msc. Ele oferece uma interface clara e reduz a chance de criar uma regra ampla demais. Para administradores, o PowerShell é mais rápido e fácil de automatizar.
Abra apenas as portas necessárias, limite as regras ao perfil de rede correto, use nomes descritivos para as regras e revise periodicamente as portas em escuta com netstat, PowerShell ou Monitor de Recursos. Se um serviço precisar ficar disponível pela internet, proteja-o cuidadosamente e evite expor portas sensíveis como SMB ou Área de Trabalho Remota sem proteção adicional.