Uma porta de rede é um número que identifica qual serviço deve atender uma conexão. Se o endereço IP é o número do prédio, a porta é o número da sala — o IP leva a conexão até a máquina certa, e a porta diz com quem falar lá dentro.
É por isso que um único servidor consegue hospedar um site, receber e-mails, aceitar acesso remoto e servir um banco de dados ao mesmo tempo, no mesmo IP: cada serviço escuta em uma porta diferente. Este guia explica o que são as portas, como elas são numeradas, como ver quais estão abertas — e um detalhe que muda a forma de entender o assunto: toda conexão usa duas portas, não uma.
Uma porta de rede é um número de 0 a 65535 que identifica qual serviço deve atender uma conexão em um endereço IP. Existem em TCP e em UDP, de forma independente. São divididas em três faixas: 0–1023 (bem conhecidas, como a 80 e a 443), 1024–49151 (registradas, como a 3306) e 49152–65535 (dinâmicas, usadas pelo seu próprio computador ao se conectar). Para ver as portas abertas: ss -tlnp no Linux ou netstat -ano no Windows.
Conteúdo
O que é uma porta de rede
Quando um pacote chega a um servidor, ele traz duas informações de endereço: o IP, que diz em qual máquina entregar, e a porta, que diz qual programa daquela máquina deve receber.
Sem as portas, um servidor só poderia oferecer um serviço. Com elas, o mesmo endereço atende dezenas: o servidor web escuta na 80 e na 443, o servidor de e-mail na 587 e na 993, o SSH na 22, o MySQL na 3306 — todos convivendo no mesmo IP, sem se atrapalhar.
Tecnicamente, a porta é um número de 16 bits dentro do cabeçalho TCP ou UDP. Dezesseis bits dão 65.536 combinações, e daí vem o limite: as portas vão de 0 a 65535. Não é um número escolhido a dedo — é só o que cabe no campo.
A dupla IP + porta tem nome: socket. É o endereço completo de um serviço, e você já viu isso escrito — 192.168.0.10:22 ou localhost:3000 são sockets. O número depois dos dois-pontos é sempre a porta. Se essa notação é familiar, o que é localhost explora o outro lado dela.
TCP e UDP: a mesma porta, duas vezes
Um ponto que confunde: as portas TCP e UDP são numerações separadas.
A porta 443 em TCP e a porta 443 em UDP são portas diferentes, que podem estar em estados diferentes e ser atendidas por programas diferentes. Não há conflito entre elas — é como ter duas ruas com números iguais em bairros distintos.
Isso deixou de ser trivia técnica e virou prática: o HTTP/3 roda sobre UDP, então um servidor web moderno escuta a 443 em TCP e a 443 em UDP ao mesmo tempo. Liberar só uma no firewall deixa metade do serviço de fora.
Por isso, ao falar de porta, o protocolo faz parte do endereço: 443/tcp e 443/udp são coisas distintas. A diferença entre os dois protocolos de transporte está detalhada em TCP/IP: como funciona este protocolo.
As três faixas de portas
| Faixa | Nome | Quem usa |
|---|---|---|
| 0 – 1023 | Bem conhecidas (well-known) | Serviços padronizados pela IANA: HTTP, HTTPS, SSH, e-mail. Exigem root no Linux. |
| 1024 – 49151 | Registradas | Softwares que pediram um número à IANA: MySQL (3306), PostgreSQL (5432), RDP (3389). |
| 49152 – 65535 | Dinâmicas (efêmeras) | Ninguém, de forma fixa. É o sistema operacional que sorteia daqui a porta de saída das suas conexões. |
A primeira faixa tem uma regra que explica muita coisa no dia a dia: em Linux e Unix, só o root pode abrir portas abaixo de 1024. É por isso que aplicações Node.js e Python sobem em localhost:3000 ou localhost:8000 — e por que, em produção, o normal é colocar um Nginx na frente para escutar na 80 e na 443 e repassar para elas.
A terceira faixa é a que quase ninguém conhece — e é a mais interessante.
Toda conexão usa duas portas
Quase todo material fala só da porta do servidor — a 443, a 22, a 3306. Mas o seu computador também usa uma porta em toda conexão. Quando o navegador acessa um site, ele não sai da sua máquina “pela 443”: ele sorteia uma porta livre da faixa dinâmica — 51847, por exemplo — e usa esse número como remetente. A conexão é, na verdade, seu_ip:51847 → ip_do_site:443.
Essa é a porta efêmera, ou porta de origem. Ela existe por um motivo simples: sem ela, as respostas não saberiam voltar para a aba certa.
Pense em dez abas abertas no mesmo site. Todas vão para o mesmo IP, na mesma porta 443. Se a conexão fosse identificada só pelo destino, as dez seriam idênticas — e o sistema não teria como saber qual resposta pertence a qual aba. A porta de origem é o que as diferencia: cada aba sai por um número próprio, e é por ele que a resposta encontra o caminho de volta.
Formalmente, uma conexão é identificada por quatro informações: IP de origem, porta de origem, IP de destino e porta de destino. Basta uma delas mudar para ser outra conexão.
Duas consequências práticas:
- Você não precisa “abrir” portas no seu computador para navegar. O firewall permite a resposta porque ela pertence a uma conexão que você iniciou. É o que se chama de firewall com estado.
- Um servidor não fica sem portas por ter muitos visitantes. Mil pessoas no mesmo site são mil conexões distintas na mesma porta 443 — o que muda é o IP e a porta de origem de cada uma.
Vale notar que a faixa dinâmica varia por sistema: a IANA recomenda de 49152 a 65535, e é o que o Windows usa, mas o Linux por padrão sorteia a partir de 32768.
As portas mais usadas
| Porta | Serviço | Para que serve |
|---|---|---|
| 443 | HTTPS | Sites com cadeado — a porta mais movimentada da internet |
| 80 | HTTP | Redireciona para a 443 e valida o certificado SSL |
| 22 | SSH, SCP, SFTP | Administração remota do servidor |
| 3306 | MySQL / MariaDB | Banco de dados — não deve ficar exposta à internet |
| 587 / 465 | SMTP | Envio de e-mail |
| 993 / 995 | IMAP / POP3 | Recebimento de e-mail |
| 21 | FTP | Transferência de arquivos — em desuso, prefira o SFTP na 22 |
| 53 | DNS | Tradução de nomes em IPs — usa TCP e UDP |
| 3389 | RDP | Área de trabalho remota do Windows |
| 5432 | PostgreSQL | Banco de dados — mesma lógica da 3306 |
Repare que a coluna da direita não é uniforme: algumas portas existem para receber o mundo, outras não deveriam estar visíveis. A 443 e as de e-mail são o serviço funcionando; a 22 aceita o mundo, mas é melhor restringir; a 3306 e a 5432 não têm por que estar lá. Cada caso está detalhado no guia da porta correspondente.
Como ver as portas abertas
Antes dos comandos, uma distinção que resolve boa parte da confusão: “porta aberta” significa duas coisas diferentes.
- Tem alguém escutando? Um programa precisa estar rodando e associado àquela porta. Sem isso, a conexão é recusada.
- O firewall deixa passar? Mesmo com o programa rodando, uma regra pode barrar a conexão antes que ela chegue. Aí ela dá timeout.
São problemas distintos, com sintomas distintos — e é por isso que conexão recusada e tempo esgotado apontam para causas opostas.
Para ver quem está escutando na sua máquina ou servidor:
Linux: sudo ss -tlnp # portas TCP escutando
sudo ss -ulnp # portas UDP escutando
Windows: netstat -ano | findstr LISTENING No resultado do Linux, o endereço antes dos dois-pontos importa tanto quanto a porta: 127.0.0.1:3306 significa escutando só localmente, e 0.0.0.0:3306 significa exposto a toda a rede. É a diferença entre um banco protegido e um banco à disposição da internet.
Para testar uma porta em outra máquina:
Windows: Test-NetConnection servidor -Port 443
Mac / Linux: nc -zv servidor 443 Portas e firewall
O firewall é o que decide quais portas o mundo pode alcançar. A lógica prática cabe em três regras:
- Feche tudo por padrão, abra o necessário. É mais seguro listar o que entra do que tentar prever o que barrar.
- Aberto não é sinônimo de aberto para todos. Dá para liberar uma porta apenas para IPs específicos — no
ufw, é a diferença entreallow 3306(o mundo inteiro) eallow from 200.151.24.50 to any port 3306(só aquele endereço). Para serviços administrativos, essa é a forma certa. - Em VPS, há duas camadas. O firewall do sistema operacional e o do painel do provedor são independentes. Liberar em um e esquecer o outro é a causa mais comum de “abri a porta e continua fechada”.
A lógica das regras está detalhada em o que é firewall.
E as portas do seu roteador?
Em casa, os dispositivos ficam atrás de um roteador com NAT, compartilhando um único IP público. Isso funciona bem para sair — o roteador usa a porta de origem para saber a qual aparelho devolver cada resposta.
O problema é entrar. Uma conexão vinda de fora chega ao roteador sem saber para qual dispositivo interno ir. É aí que entra o port forwarding (redirecionamento de portas): você diz ao roteador que tudo que chegar na porta X deve ser encaminhado para um IP interno específico. É o que faz servidores de jogos e câmeras funcionarem de fora de casa.
⚠️ Vale o alerta: port forwarding expõe o dispositivo à internet inteira. Uma câmera ou um NAS encaminhado sem senha forte vira alvo em questão de horas — bots varrem faixas de IP procurando exatamente isso.
Perguntas frequentes
O que é uma porta de rede?
É um número de 0 a 65535 que identifica qual serviço deve atender uma conexão em um endereço IP. Se o IP é o endereço do prédio, a porta é o número da sala: o IP leva os dados até a máquina certa, e a porta diz qual programa daquela máquina deve recebê-los. É o que permite a um único servidor hospedar site, e-mail e banco de dados ao mesmo tempo.
Quantas portas existem?
São 65.536 no total, numeradas de 0 a 65535. O limite vem da estrutura técnica: o campo de porta no cabeçalho TCP ou UDP tem 16 bits, e 16 bits comportam exatamente essa quantidade de combinações. E como TCP e UDP têm numerações independentes, na prática existem 65.536 portas TCP e 65.536 portas UDP.
Quais são as faixas de portas?
São três. De 0 a 1023 ficam as portas bem conhecidas, reservadas pela IANA para serviços padronizados como HTTP e SSH (e que exigem root no Linux). De 1024 a 49151 ficam as registradas, de softwares que pediram um número à IANA, como o MySQL na 3306. De 49152 a 65535 ficam as dinâmicas, sorteadas pelo sistema operacional para as conexões que a sua máquina inicia.
O meu computador também usa portas?
Sim, em toda conexão. Quando o navegador acessa um site, ele sorteia uma porta livre da faixa dinâmica e a usa como remetente — a conexão é, na verdade, do seu IP naquela porta para o IP do site na porta 443. Essa porta de origem é o que permite ter várias abas abertas no mesmo site: cada uma sai por um número diferente, e é assim que cada resposta encontra o caminho de volta.
Qual a diferença entre porta TCP e porta UDP?
São numerações completamente independentes. A porta 443 em TCP e a porta 443 em UDP são portas diferentes, que podem estar em estados diferentes e ser atendidas por programas diferentes. Por isso o protocolo faz parte do endereço: 443/tcp e 443/udp não são a mesma coisa. Um servidor web moderno escuta nas duas, porque o HTTP/3 usa UDP.
Como saber quais portas estão abertas?
No Linux, sudo ss -tlnp lista as portas TCP com alguém escutando, e sudo ss -ulnp faz o mesmo para UDP. No Windows, use netstat -ano | findstr LISTENING. Para testar uma porta em outra máquina, use Test-NetConnection servidor -Port 443 no Windows ou nc -zv servidor 443 no Mac e Linux.
O que significa “porta aberta”?
A expressão tem dois sentidos que costumam ser confundidos. Um é ter um programa escutando naquela porta; sem isso, a conexão é recusada. O outro é o firewall permitir a passagem; se ele barrar, a conexão dá timeout. São problemas diferentes com sintomas diferentes: recusa aponta para serviço parado, timeout aponta para firewall.
Por que preciso ser root para usar a porta 80 no Linux?
Porque as portas abaixo de 1024 são reservadas e só o root pode associá-las a um programa. É uma proteção antiga, para impedir que um usuário comum se passasse por um serviço oficial da máquina. Por isso aplicações Node.js e Python sobem em portas altas como 3000 ou 8000, e em produção usam um proxy reverso na frente para escutar na 80 e na 443.
Com um VPS da Homehost você configura firewall e portas do jeito que quiser, com acesso root, console de emergência no painel para quando uma regra der errado, e suporte em português para não precisar descobrir sozinho.
Conhecer os servidores VPSConclusão
Portas são o que transforma um endereço IP em um prédio com muitas salas — e entender três coisas resolve quase todo o assunto. A faixa importa: abaixo de 1024 é território reservado, e é por isso que a sua aplicação sobe na 3000. Toda conexão usa duas portas, e a de origem, sorteada pelo seu próprio sistema, é o que permite dez abas no mesmo site. E “porta aberta” tem dois sentidos: ter alguém escutando e o firewall deixar passar — recusa e timeout são sintomas de problemas opostos, e saber qual é qual economiza a maior parte do diagnóstico. Para as portas específicas, cada uma tem seu guia: 80, 443, 22, 3306 e as portas de e-mail.