Guida Completa per Controllare le Porte Aperte su Windows 2026

Naviga
Torna al blog
Pubblicato
Mar 05, 2026
Tempo di lettura
9 min di lettura
Scritto da
Simon Meier
Guida per controllare le porte aperte su Windows con netstat e PowerShell

Controllare le porte aperte su Windows è qualcosa che ogni utente consapevole della rete dovrebbe sapere fare. Una porta aperta significa che il tuo computer sta attivamente ascoltando le connessioni su quel numero di porta, e sapere quali sono aperte ti aiuta a individuare lacune di sicurezza, risolvere i problemi di connessione e verificare che le tue applicazioni funzionino correttamente. Windows ti offre diversi modi integrati per farlo, oltre a strumenti esterni che possono testare come appaiono le tue porte dall'esterno.

Indice dei contenuti

Che cosa sono le porte aperte e perché sono importanti

Ogni servizio di rete sul tuo computer si associa a un numero di porta tra 1 e 65535. Quando un servizio è in esecuzione e in attesa di connessioni in arrivo, quella porta è "aperta". Quando nulla è in ascolto lì, la porta è "chiusa" e i tentativi di connessione in arrivo vengono rifiutati o ignorati.

Ecco perché questo è importante nella pratica:

  • Controllo di sicurezza: Una porta aperta inaspettata potrebbe significare che un processo canaglia, malware o un servizio configurato male sta esponendo la tua macchina.
  • Risoluzione dei problemi: Se il tuo server web, server di gioco o desktop remoto non è raggiungibile, la prima domanda è se la porta è effettivamente aperta.
  • Verifica del firewall: Il tuo Firewall di Windows potrebbe bloccare una porta anche se il servizio è in esecuzione, o permettere una che pensavi fosse chiusa.
Suggerimento: "Aperto" e "non bloccato dal firewall" sono due cose diverse. Una porta può essere aperta localmente (un servizio è in ascolto) ma comunque bloccata esternamente dal tuo firewall o router. I metodi qui sotto coprono entrambi gli aspetti.

Usare il comando Netstat per vedere le porte aperte

Il netstat comando è il modo più veloce integrato per elencare ogni porta su cui la tua macchina Windows sta attualmente ascoltando. Apri il Prompt dei comandi (cerca "cmd" nel menu Start, fai clic con il pulsante destro e scegli "Esegui come amministratore") ed esegui: 

netstat -ano

I flag si scompongono così:

  • -a mostra tutte le connessioni attive e le porte in ascolto.
  • -n visualizza gli indirizzi e i numeri di porta numericamente invece di risolvere i nomi host (molto più veloce).
  • -o aggiunge l'ID del processo (PID) in modo che tu possa identificare quale programma possiede ogni porta.

Le colonne di output sono: Proto , Indirizzo locale , Indirizzo remoto , Stato , e PID . Cerca le righe dove la colonna Stato dice LISTENING . Quelle sono le tue porte aperte.

Per restringere solo alle porte in ascolto: 

netstat -ano | findstr LISTENING

Una volta che hai un PID che vuoi investigare, trova il nome del processo con: 

tasklist /fi "PID eq 1234"

Sostituisci 1234 con il PID effettivo dall'output di netstat. Questo ti dice esattamente quale eseguibile è in ascolto su quella porta.

Per verificare se una porta specifica è in uso, combina netstat con findstr: 

netstat -ano | findstr :443
Nota: Netstat mostra solo le porte TCP e UDP che hanno un binding attivo sulla macchina locale. Non ti dice se quelle porte sono raggiungibili da internet. Per questo, hai bisogno di un checker di porte esterno (coperto qui sotto).

Controllare le porte con PowerShell

PowerShell ti dà un'alternativa più pulita e scrivibile a netstat. Apri PowerShell come amministratore ed esegui: 

Get-NetTCPConnection -State Listen | Select-Object LocalAddress, LocalPort, OwningProcess | Sort-Object LocalPort

Questo restituisce un elenco ordinato di ogni porta TCP nello stato LISTEN, incluso l'indirizzo locale e il PID. Per risolvere il PID in un nome di processo nello stesso comando: 

Get-NetTCPConnection -State Listen |
  Select-Object LocalPort,
    @{Name="Process";Expression={(Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name}} |
  Sort-Object LocalPort

Puoi anche testare se un host remoto ha una porta specifica aperta direttamente da PowerShell usando Test-NetConnection : 

Test-NetConnection -ComputerName example.com -Port 443

Se TcpTestSucceeded : True appare nell'output, la porta è aperta e accetta connessioni dalla tua macchina. Questo è utile per verificare la connettività in uscita dal tuo PC Windows a un server, non solo per controllare cosa è aperto localmente.

Verificare le impostazioni del Firewall di Windows per le regole delle porte

Il Firewall di Windows controlla quali porte sono consentite in entrata e in uscita. Un servizio può essere in ascolto su una porta localmente, ma se il firewall blocca il traffico in entrata su quella porta, i client esterni non possono raggiungerlo. Ecco come rivedere le tue regole del firewall.

Usare Windows Defender Firewall con Sicurezza avanzata

  1. Premi Win + R , digita wf.msc , e premi Invio.
  2. Fai clic su Regole in entrata nel pannello sinistro per vedere le regole che controllano il traffico in arrivo sulla tua macchina.
  3. Fai clic su Regole in uscita per vedere il traffico in uscita dalla tua macchina.
  4. Ordina per Abilitato per vedere rapidamente quali regole sono attive.
  5. Ogni regola mostra il protocollo (TCP/UDP), la porta locale, la porta remota e l'azione (Consenti/Blocca).

Usare la riga di comando

Per elencare tutte le regole del firewall attive dalla riga di comando: 

netsh advfirewall firewall show rule name=all

Per verificare se una porta specifica è consentita attraverso il firewall: 

netsh advfirewall firewall show rule name=all | findstr "LocalPort"

La documentazione ufficiale di Microsoft su configurare il Firewall di Windows copre la creazione e la gestione delle regole in dettaglio se hai bisogno di aggiungere o modificare le regole.

Usare uno scanner di porte su Windows

Gli strumenti integrati sono ottimi per controllare la tua macchina, ma a volte hai bisogno di scansionare un altro host sulla tua rete, o vuoi una panoramica visiva invece dell'output grezzo della riga di comando. Uno scanner di porte dedicato colma questo divario.

Nmap è lo standard del settore per la scansione delle porte. È gratuito, open-source, e disponibile per Windows dal sito ufficiale di download di Nmap . L'installer per Windows include Zenmap, un'interfaccia grafica. Una scansione base di un host si presenta così: 

nmap -sV 192.168.1.1

Il flag -sV tenta di rilevare la versione del servizio in esecuzione su ogni porta aperta. Questo è utile per i controlli di sicurezza della rete su Windows perché puoi vedere non solo quali porte sono aperte, ma quale software c'è dietro.

Importante: Scansiona solo gli host che possiedi o per i quali hai il permesso esplicito di scansionare. La scansione di porte su una rete che non controlli potrebbe violare il Computer Fraud and Abuse Act (CFAA) o leggi equivalenti nel tuo paese.

Testare le tue porte aperte dall'esterno

Ecco la distinzione critica che la maggior parte delle guide salta: una porta può essere in ascolto localmente sulla tua macchina Windows ma comunque apparire chiusa al mondo esterno. Questo accade quando il tuo router non ha inoltrato quella porta, o quando il tuo ISP la blocca. Per sapere cosa vede effettivamente internet, hai bisogno di testare da un punto di vista esterno.

È esattamente quello che fa un checker di porte online. Avvia una connessione TCP al tuo indirizzo IP da un server remoto e riporta se la connessione è stata accettata (Aperta), rifiutata (Chiusa) o scaduta (Timeout). Nessuna installazione di software necessaria, e bypassa completamente il tuo firewall locale per mostrarti la vera vista esterna.

Strumento checker di porte online che testa le porte aperte su Windows

Vedi esattamente quali porte sono aperte sulla tua macchina Windows

Il nostro checker di porte online gratuito testa le connessioni TCP a qualsiasi IP o dominio da un server esterno, quindi ottieni la vera vista dall'esterno quando controlli le porte aperte su Windows. Controlla una singola porta o controlla fino a 10 in una volta, con risultati in millisecondi.

Controlla le tue porte aperte →

Riferimento rapido delle porte comuni

Sapere quali servizi usano quali porte risparmia tempo quando stai risolvendo i problemi. Ecco le porte che incontrerai più spesso su un sistema Windows:

Porta Protocollo Servizio Uso comune su Windows
80 TCP HTTP Server web (IIS, Apache), server dev locali
443 TCP HTTPS Server web sicuri, Windows Update
3389 TCP RDP Remote Desktop Protocol, admin remoto
445 TCP SMB Condivisione di file, condivisioni di rete Windows
22 TCP SSH OpenSSH (integrato in Windows 10/11)
21 TCP FTP Trasferimento di file, servizio FTP IIS
25 TCP SMTP Invio di email, relay del server di posta
3306 TCP MySQL Connessioni database MySQL/MariaDB
5432 TCP PostgreSQL Connessioni database PostgreSQL
135 TCP RPC Windows Remote Procedure Call, DCOM
La porta 3389 (RDP) è una delle porte più aggredite da brute-force su internet. Se hai RDP aperto su internet pubblico, considera di spostarlo su una porta non standard o di limitare l'accesso per indirizzo IP nelle tue regole del firewall.

Chiudere le porte che non ti servono

Un buon monitoraggio delle porte di Windows non è solo trovare cosa è aperto. È decidere cosa dovrebbe essere aperto e chiudere tutto il resto. Ecco un approccio pratico:

  1. Esegui netstat -ano ed elenca tutte le porte in LISTENING. Mappa ogni PID a un nome di processo usando il comando tasklist mostrato prima.
  2. Identifica i servizi che non ti servono. Ad esempio, se non stai usando IIS, non c'è motivo che le porte 80 o 443 siano aperte localmente. Arresta il servizio tramite services.msc .
  3. Rivedi le regole in entrata del Firewall di Windows. Apri wf.msc e disabilita qualsiasi regola che consenta il traffico alle porte che hai identificato come non necessarie.
  4. Controlla il tuo router. Le regole di port forwarding sul tuo router possono esporre le porte anche se il Firewall di Windows le blocca a livello del sistema operativo. Accedi al pannello admin del tuo router e controlla le porte inoltrate.
  5. Ritesta dall'esterno. Dopo aver apportato modifiche, esegui di nuovo un controllo di porta esterno per confermare che le porte non sono più raggiungibili.

Le avvisi di sicurezza informatica CISA pubblicano regolarmente avvisi su porte specifiche che vengono sfruttate in natura. Controllare quell'elenco periodicamente è una buona abitudine se gestisci server Windows.

Una porta aperta localmente significa che un servizio sulla tua macchina Windows è attivamente in ascolto di connessioni su quel numero di porta. Una porta aperta esternamente significa che i computer esterni su internet possono effettivamente raggiungerla. Il tuo router, ISP o Firewall di Windows possono bloccare l'accesso esterno anche quando la porta è in ascolto localmente. Testa sempre da uno strumento esterno per confermare lo stato reale.

Questo è quasi sempre causato da una di tre cose: il Firewall di Windows ha una regola in entrata che blocca la porta, il tuo router non ha una regola di port forwarding per quella porta, o il tuo ISP la blocca a livello di rete. Controlla ogni livello in ordine. Le porte comunemente bloccate dall'ISP includono 25 (SMTP), 80 e 443 su connessioni residenziali.

Esporre RDP direttamente a internet è un rischio di sicurezza significativo. I bot automatici scansionano continuamente la porta 3389 aperta e tentano login di brute-force. Se hai bisogno di accesso remoto, usa una VPN per raggiungere la tua rete per prima, limita l'accesso RDP a indirizzi IP specifici nel Firewall di Windows, o usa una porta non standard combinata con password forti e Network Level Authentication (NLA).

Netstat mostra le porte UDP quando usi il flag -a . Cerca le righe etichettate UDP nella colonna Proto. Tuttavia, UDP non ha un handshake di connessione come TCP, quindi è molto più difficile da testare da remoto. La maggior parte dei checker di porte online, inclusi gli strumenti basati su TCP, testano solo le connessioni TCP. Per la scansione UDP, Nmap con il flag -sU è l'opzione pratica, anche se richiede privilegi di amministratore.

Apri wf.msc , fai clic su "Regole in entrata", quindi su "Nuova regola" a destra. Scegli "Porta", seleziona TCP o UDP, inserisci il numero di porta, scegli "Consenti la connessione", applicalo ai profili appropriati (Dominio, Privato, Pubblico) e dai un nome alla regola. Per chi ama la riga di comando, usa: netsh advfirewall firewall add rule name="MyPort" dir=in action=allow protocol=TCP localport=8080 .

Un timeout significa che il checker di porte ha inviato una richiesta di connessione TCP ma non ha ricevuto alcuna risposta entro il periodo di attesa (tipicamente pochi secondi). Questo di solito significa che un firewall sta silenziosamente scartando i pacchetti piuttosto che rifiutarli attivamente. Un risultato "Chiusa" significa che l'host ha inviato un TCP reset, rifiutando attivamente la connessione. Il timeout è più comune con configurazioni di firewall rigide che scartano piuttosto che rifiutano il traffico.