Bloquear portas desnecessárias é uma boa prática essencial de segurança para proteger seu roteador, servidores e a rede como um todo. Abaixo estão as portas mais comuns que devem ser bloqueadas, organizadas por categoria, com explicações:
🚫 Portas que devem ser bloqueadas para a maioria dos cenários (entrada)
Porta
Protocolo
Uso Comum
Por que bloquear?
23
TCP
Telnet
Inseguro, envia dados em texto puro. Substitua por SSH.
21
TCP
FTP
Inseguro, também envia senhas em texto puro. Use SFTP/SCP.
20
TCP
FTP-data
Idem acima.
135
TCP/UDP
RPC
Vulnerável a exploração (DDoS, worms).
137-139
TCP/UDP
NetBIOS
Pode expor recursos do Windows e ser explorado.
445
TCP
SMB
Usado para ransomware, worms (Ex: WannaCry).
69
UDP
TFTP
Sem autenticação. Risco alto se exposto.
161-162
UDP
SNMP
Facilmente explorável. Se precisar, limite por IP e SNMPv3.
514
UDP
Syslog
Se não usa syslog remoto, bloqueie.
123
UDP
NTP
Usado em ataques de amplificação.
1900
UDP
SSDP
Usado em ataques DDoS. Bloqueie se não usa UPnP.
7
TCP/UDP
Echo
Obsoleto e usado em testes de ataques reflexivos.
19
UDP
Chargen
Usado em ataques de amplificação.
🔒 Portas administrativas (permitir apenas por IP confiável)
Porta
Protocolo
Serviço
Ação recomendada
22
TCP
SSH
Permitir somente IPs confiáveis
443
TCP
HTTPS (API/web)
Se usa interface web, limitar IPs ou usar VPN
80
TCP
HTTP
Bloquear ou redirecionar para HTTPS
8291
TCP
Winbox (Mikrotik)
Só liberar via IP confiável ou VPN
8728/8729
TCP
API/API-SSL Mikrotik
Mesmo caso acima
🌍 Portas públicas (permitir somente se realmente utilizadas)
