Vivo fibra portas bloqueadas
Vivo Fibra mantém portas 80, 443 e 25 bloqueadas em planos residenciais e usa CGNAT 100.64.0.0/10. Veja alternativas com porta 8080, SMTP externo e IP fixo.
A Vivo Fibra bloqueia portas específicas de entrada em planos residenciais -- 80 (HTTP), 443 (HTTPS) e 25 (SMTP) são as principais, o que impede hospedar servidores web ou de email diretamente na conexão doméstica. Mas o bloqueio de portas e o segundo problema. O primeiro e o CGNAT: presente na maioria dos planos residenciais Vivo em 2025-2026, ele torna qualquer configuração de port forwarding inútil mesmo para portas não bloqueadas. Veja a tabela completa de portas, as alternativas que realmente funcionam e o que a própria Anatel fala sobre bloqueios de portas por operadoras.
Portas bloqueadas pela Vivo: visão rápida
| Operadora | IP entregue | IPv6 nativo | Portas bloqueadas |
|---|---|---|---|
| Vivo Fibra | IPv4 público ou CGNAT (varia região) | Sim, dual-stack | 25, 80, 110, 143, 443 em planos residenciais |
| Claro/NET | CGNAT (maioria) | Parcial | Bloqueio não explicito, mas CGNAT impede entrada |
| TIM Live | CGNAT | Sim, dual-stack /56 | 25, 80, 443 em residencial |
| Oi Fibra | IPv4 público ou CGNAT | Parcial | 25 tipicamente |
As cinco portas mais relevantes para usuários residenciais que tentam hospedar serviços ou usar acesso remoto. Status verificado com base nos termos de uso da Vivo e relatos em foruns técnicos em 2025-2026.
Tabela completa de portas bloqueadas pela Vivo Fibra
O status abaixo reflete a política documentada nos termos de uso da Vivo e relatos verificados de usuários nos foruns Adrenaline e Clube do Hardware em 2025-2026. A Vivo pode alterar a política de bloqueio sem aviso prévio -- teste sempre a porta específica antes de concluir qualquer configuração.
| Porta | Protocolo | Serviço | Status (residencial) | Alternativa |
|---|---|---|---|---|
| 19 | TCP/UDP | Chargen (histórico) | Bloqueada | Não aplicável -- protocolo obsoleto |
| 21 | TCP | FTP | Bloqueada (entrada) | SFTP na porta 22 (SSH) |
| 23 | TCP | Telnet | Bloqueada | SSH na porta 22 |
| 25 | TCP | SMTP (envio de email) | Bloqueada (saida) | Porta 587 (SMTP com STARTTLS) ou relay externo |
| 80 | TCP | HTTP | Bloqueada (entrada) | Cloudflare Tunnel, VPS ou plano empresarial |
| 110 | TCP | POP3 | Bloqueada | POP3S na porta 995 |
| 135 | TCP | MS-RPC | Bloqueada | VPN para acesso remoto Windows |
| 139 / 445 | TCP | SMB (compartilhamento Windows) | Bloqueadas | VPN para acesso a compartilhamentos remotos |
| 143 | TCP | IMAP | Bloqueada | IMAPS na porta 993 |
| 443 | TCP | HTTPS | Bloqueada (entrada) | Cloudflare Tunnel, VPS ou plano empresarial |
| 593 | TCP | HTTP-RPC-EPMAP | Bloqueada | Não aplicável |
| 22 | TCP | SSH | Liberada (sujeita ao CGNAT) | -- |
| 587 | TCP | SMTP com STARTTLS | Liberada | Use esta em vez de 25 para envio de email |
| 995 / 993 | TCP | POP3S / IMAPS | Liberadas | Alternativas seguras as portas 110/143 |
| 3389 | TCP | RDP (Windows Remote Desktop) | Liberada (sujeita ao CGNAT) | -- |
| 8080 | TCP | HTTP alternativo | Liberada (sujeita ao CGNAT) | Requer porta explicita na URL |
| 25565 | TCP | Minecraft Java Edition | Liberada (sujeita ao CGNAT) | -- |
| 51820 | UDP | WireGuard VPN | Liberada (sujeita ao CGNAT) | -- |
As portas mais bloqueadas pelas operadoras brasileiras
O bloqueio de certas portas e prática universal entre as grandes operadoras do Brasil, não exclusividade da Vivo. Os motivadores são principalmente prevenção de spam (porta 25), segurança (SMB, Telnet) e restrição de uso comercial em planos residenciais (portas 80 e 443). Os dados abaixo refletem as motivacoes declaradas pelas operadoras em documentos públicos e relatos de suporte técnico em foruns especializados.
- Anti-spam (porta 25) — ~28%
- Restrição comercial (80/443) — ~22%
- Segurança (SMB, RPC) — ~18%
- Protocolos obsoletos (Telnet, FTP) — ~14%
- Outros / não documentados — ~18%
Estimativa baseada em documentos públicos de operadoras e relatos de suporte técnico em foruns especializados (Adrenaline, Clube do Hardware) verificados em 2025-2026. Dados indicativos, não auditados.
CGNAT Vivo: o obstáculo antes do bloqueio de portas
Mesmo que uma porta não esteja na lista de bloqueios, ela pode não funcionar para acesso externo. O motivo e o CGNAT (Carrier-Grade NAT), definido pela RFC 6598 com a faixa de endereços 100.64.0.0/10.
No CGNAT da Vivo Fibra (AS26599), o roteador doméstico recebe um IP da faixa 100.64.x.x como endereço WAN. Do ponto de vista da internet pública, esse IP e privado e compartilhado com dezenas de outros assinantes. Qualquer regra de port forwarding no roteador funciona somente dentro do NAT da própria Vivo -- nenhuma conexão externa da internet pública chega até você.
| Sintoma | Causa provável | Verificação |
|---|---|---|
| Nenhuma porta funciona externamente | CGNAT ativo | IP WAN do roteador começar com 100. ou diferente do IP em Meu IP |
| Algumas portas funcionam, outras não | Bloqueio específico da Vivo | Testar individualmente em canyouseeme.org |
| Porta aberta internamente mas fechada externamente | CGNAT ou firewall local | Verificar IP WAN; verificar firewall do SÓ |
| IP público correto, porta ainda fechada | Bloqueio da operadora ou firewall local | Testar com e sem firewall do SÓ ativo |
O que a Vivo e a Anatel dizem sobre bloqueios
A Vivo (Telefônica Brasil S.A.) e a maior operadora de fibra do Brasil, com 10,6 milhões de acessos FTTH ao final de 2025 (dados da Anatel). A política de bloqueio de portas residenciais esta documentada nos Termos de Uso do serviço Vivo Fibra Residencial, na clausula referente a "uso inapropriado" -- hospedar serviços públicos em planos residenciais e enquadrado como violação dos termos.
A Anatel não proibe operadoras de bloquear portas em planos residenciais. O órgão exige, pelo Regulamento do Serviço de Comunicação Multimidia (SCM, Resolucao 769/2024), que as restrições sejam declaradas nos contratos e nos canais de suporte ao usuário. A Vivo cumpre esse requisito ao listar os bloqueios no FAQ técnico oficial.
O Marco Civil da Internet (Lei 12.965/2014, art. 9) estabelece o princípio da neutralidade de rede -- mas a aplicação desse princípio a bloqueios de porta em planos residenciais diferenciados por tipo de uso e objeto de debate regulatório. O CDC (Lei 8.078/1990) garante ao consumidor informações claras sobre o serviço contratado, o que a Vivo atende via documentação pública.
Soluções por caso de uso
Hospedar site (portas 80 e 443)
Cloudflare Tunnel (gratuito): instale o daemon cloudflared na maquina local. Ele abre um tunel criptografado de saida para os servidores da Cloudflare, que fazem proxy reverso para o serviço. Funciona mesmo atras de CGNAT duplo, não requer abertura de porta no roteador e suporta HTTPS com certificado automático. Documentação oficial: developers.cloudflare.com/cloudflare-one/connections/connect-networks.
Tunel reverso via VPS: alugue um VPS com IP fixo (a partir de US$ 4/mês). Configure SSH com port forwarding reverso ou WireGuard para tunel permanente. O VPS recebe na porta 80/443 e repassa para a maquina local. Mais controle que o Cloudflare Tunnel e suporta qualquer protocolo.
VPS diretamente: hospedar o site em um VPS elimina a dependência da conexão doméstica. Para sites com tráfego real, e a opção mais simples e mais confiável.
Servidor de email (porta 25)
Relay SMTP externo: configure seu servidor de email (Postfix, Exim) para usar um relay como saida. Opções: Amazon SES (US$ 0.10 por 1.000 emails), SendGrid (gratuito até 100 emails/dia), Mailgun, Brevo. O servidor local processa os emails, mas o envio passa pelo relay -- que usa a porta 587 com autenticação.
Porta 587 (SMTP com STARTTLS): a Vivo não bloqueia a porta 587. Servidores de email modernos aceitam submissão autenticada nessa porta. Se o seu servidor suporta, mude a configuração de saida de 25 para 587.
Jogos e acesso remoto (outras portas)
IPv6 nativo: se a Vivo já distribui IPv6 na sua região, seu dispositivo tem endereço público IPv6 sem NAT. Configure o firewall IPv6 no roteador para permitir a porta desejada. Sem custo adicional. Veja o guia em como configurar IPv6.
WireGuard via VPS: funciona para qualquer protocolo e porta, mesmo UDP. O VPS recebe a conexão externa e redireciona via tunel para a rede local.
IP fixo Vivo Empresas: quando vale a pena
A Vivo oferece IP fixo dedicado nos planos Vivo Empresas, removendo o CGNAT e geralmente desbloqueando as portas 80 e 443 (confirme no contrato antes de assinar -- planos Small Business podem manter o bloqueio da porta 25 para prevenção de spam).
O custo depende do plano e da velocidade, com variação por região e canal de contratação. Para uso doméstico intenso -- hosting de servidor, câmeras IP com acesso remoto, home lab -- o IP fixo empresarial pode sair mais barato do que pagar um VPS separado, dependendo do caso.
| Recurso | Vivo Fibra Residencial | Vivo Empresas (IP fixo) |
|---|---|---|
| CGNAT | Ativo na maioria dos planos | Removido |
| Porta 80 (HTTP) | Bloqueada | Geralmente liberada (confirmar contrato) |
| Porta 443 (HTTPS) | Bloqueada | Geralmente liberada (confirmar contrato) |
| Porta 25 (SMTP) | Bloqueada | Pode permanecer bloqueada (anti-spam) |
| Port forwarding | Inútil (CGNAT) | Funciona |
| SLA e suporte | Suporte residencial padrão | SLA diferenciado, suporte empresarial |
O que não muda nos planos empresariais: a porta 25 pode permanecer bloqueada mesmo com IP fixo, por política anti-spam. Antes de contratar qualquer plano para uso de servidor SMTP próprio, confirme com o suporte comercial da Vivo quais portas ficam abertas no plano específico.
Como verificar qual porta esta bloqueada
Antes de concluir que uma porta e bloqueada pela Vivo ou pelo CGNAT, confirme qual e o problema real com ferramentas específicas:
Ferramentas online de verificação de porta
canyouseeme.org: acesse o site, insira o número da porta e clique em "Check". O site tenta conectar na sua porta a partir de um servidor externo. Se retornar "Connection refused", o serviço esta respondendo mas a porta pode estar bloqueada. Se retornar "Connection timed out", ha CGNAT ou firewall descartando os pacotes.
portchecker.co: funciona de forma similar e permite testar portas UDP além de TCP. Útil para verificar portas de jogos (19132/UDP para Minecraft Bedrock, 51820/UDP para WireGuard).
Verificar porta com nmap
Se você tem acesso a um servidor externo (VPS, amigo com internet diferente), o nmap permite testar portas diretamente. No terminal do servidor externo, execute:
nmap -p 22,80,443,8080,25565 [SEU_IP_PUBLICO]O IP público pode ser obtido em Meu IP. O resultado mostra se cada porta esta "open" (aberta), "closed" (fechada -- serviço não rodando) ou "filtered" (descartada por CGNAT ou firewall).
Testar SMTP com telnet
Para verificar se a porta 587 (SMTP-TLS) funciona para envio de email, teste diretamente do seu computador:
telnet smtp.gmail.com 587Se a conexão for estabelecida (código 220), a porta 587 esta acessível a partir da sua rede. Se der "Connection refused" ou timeout, pode haver bloqueio ou problema de rede. Feche com Ctrl+] e depois quit.
Alternativas para contornar o bloqueio de portas
Usar porta não padrão
Para serviços web, configure o servidor para escutar em uma porta não bloqueada como 8080 ou 8443. O usuário acessa com a porta explicita na URL: http://seudominio.com:8080. Solução simples para uso pessoal, mas inadequada para sites públicos onde usuários não vão digitar a porta.
Cloudflare Tunnel (gratuito, sem abertura de porta)
O Cloudflare Tunnel e a solução mais prática para contornar CGNAT e bloqueio de porta 80/443 simultaneamente. O daemon cloudflared, instalado na maquina local, abre conexões de saida para os servidores Cloudflare. Nenhuma porta de entrada precisa estar aberta. O Cloudflare recebe as requisições públicas e repassa via tunel para o serviço local. Suporta HTTPS com certificado automático. Documentação oficial: developers.cloudflare.com/cloudflare-one/connections/connect-networks. Gratuito para uso básico.
Tailscale e WireGuard: VPN mesh
O Tailscale cria uma rede privada virtual entre dispositivos sem necessidade de servidor central com IP público. Instale o agente Tailscale em dois dispositivos (ex: seu computador de casa e seu notebook de trabalho) e eles se comunicam diretamente via a rede Tailscale, mesmo atras de CGNAT dos dois lados. Gratuito para até 3 usuários com 100 dispositivos. Para WireGuard puro, e necessário um endpoint com IP público (um VPS, por exemplo) como servidor.
ngrok para desenvolvimento e testes
O ngrok cria tuneis temporários para expor serviços locais na internet, útil para testes de webhook e demonstracoes. Execute ngrok http 3000 no terminal e o ngrok fornece uma URL pública (ex: https://abc123.ngrok.io) que redireciona para o porta 3000 local. Gratuito com limitações (URLs aleatórias, limite de conexões). Para produção, use Cloudflare Tunnel ou VPS.
Port forwarding via IPv6
Se a Vivo distribui IPv6 na sua região, cada dispositivo tem endereço público IPv6 sem CGNAT. Configure o firewall IPv6 do roteador para permitir a porta desejada (sem o menu de "Port Forwarding" NAT -- o mecanismo e diferente em IPv6). O serviço fica acessível pelo endereço IPv6 público do dispositivo. Limitação: o cliente que acessa também precisa ter IPv6. Veja o passo a passo em como configurar IPv6.
Quando e como reclamar na Anatel
A Anatel (Agência Nacional de Telecomunicações) e o órgão responsável por fiscalizar as operadoras de banda larga no Brasil. A Resolucao SCM n. 769/2024 exige que as operadoras declarem restrições de serviço nos contratos de forma clara. Antes de reclamar, verifique se o bloqueio em questão esta ou não documentado nos termos de uso da Vivo.
O que documentar antes de abrir reclamação
- Traceroute: execute
tracert [IP_externo](Windows) outraceroute [IP_externo](Linux/macOS). Salve o resultado como evidência de onde a conexão para. - Print do teste de porta: captura de tela do resultado em canyouseeme.org ou portchecker.co mostrando a porta "filtered" ou "closed".
- Data e horário: documente quando o teste foi realizado.
- Protocolo de atendimento anterior: se já ligou para o suporte Vivo, registre o número do protocolo gerado.
Como abrir reclamação
Acesse anatel.gov.br/consumidores e registre a reclamação preenchendo os dados da operadora (Vivo/Telefônica Brasil), tipo de serviço (SCM -- Serviço de Comunicação Multimidia) e descrição detalhada do problema com as evidências coletadas. Alternativamente, use o portal consumidor.gov.br para reclamações com resposta obrigatória da operadora em até 5 dias úteis.
Como verificar se você esta em CGNAT na Vivo
- Acesse Meu IP neste site. Anote o endereço exibido -- esse e o IP que os servidores externos enxergam.
- Acesse o painel admin do roteador (geralmente
192.168.1.1nos equipamentos Vivo). Na tela principal ou em Status > WAN, anote o IP WAN. - Compare os dois IPs. Se forem diferentes, ha CGNAT.
- Se o IP WAN começar com
100.(faixa 100.64.0.0 a 100.127.255.255), e CGNAT por definição da RFC 6598. Se o IP WAN começar com outros valores privados (10.x.x.x, 172.16.x.x), também ha NAT intermediário da operadora.
Leia mais sobre o funcionamento técnico em O que e CGNAT e sobre o CGNAT específico da Claro em Claro NET CGNAT.
Perguntas frequentes
Sim. Em planos residenciais, a Vivo Fibra bloqueia a porta 80 (HTTP) e a 443 (HTTPS) de entrada para impedir que assinantes hospedem servidores web públicos. Essa política esta nos termos de uso do serviço residencial e e comum entre as grandes operadoras brasileiras. Para expor serviços web, use Cloudflare Tunnel (gratuito) ou contrate plano empresarial Vivo Empresas com portas abertas.
A porta 8080 geralmente não e bloqueada pela Vivo, mas exige que o cliente acesse o serviço com a porta explicita na URL (http://seudominio.com:8080). Para projetos internos ou acesso pessoal, isso funciona. Para um site público com usuário comum, a experiência e ruim -- além de que você ainda precisa resolver o CGNAT antes de qualquer porta funcionar externamente.
A Vivo bloqueia a porta 25 (SMTP saida) em planos residenciais para combater spam -- prática alinhada com recomendacoes da M3AAWG e comum globalmente. Servidores de email próprios não conseguem enviar mensagens diretamente pela porta 25. A solução e usar a porta 587 (SMTP com STARTTLS, que a Vivo não bloqueia) ou um relay SMTP externo como Amazon SES ou SendGrid.
Acesse Meu IP neste site e compare com o IP WAN exibido no painel do roteador (192.168.1.1). Se forem diferentes, ou se o IP WAN começar com 100. (faixa 100.64.0.0/10), você esta em CGNAT. A Vivo Fibra (AS26599) aplica CGNAT por padrão na maioria dos planos residenciais em 2025-2026.
Em planos Vivo Empresas, o IP fixo remove o CGNAT e geralmente desbloqueia 80 e 443. Mas confirme no contrato antes de assinar: alguns planos Small Business ainda restringem certas portas. A porta 25 pode permanecer bloqueada mesmo em planos empresariais para prevenção de spam -- verifique com o suporte comercial antes de contratar especificamente para uso de servidor SMTP.
Sim. O Cloudflare Tunnel funciona mesmo atras de CGNAT porque o daemon cloudflared abre conexões de saida para os servidores da Cloudflare -- nenhuma porta de entrada precisa estar aberta no roteador. O Cloudflare atua como proxy reverso, recebendo as conexões externas e repassando para o serviço local via tunel. E gratuito para uso básico de HTTP/HTTPS.
A Anatel não proibe bloqueios de porta em planos residenciais desde que a operadora seja transparente sobre as restrições no contrato e no FAQ de suporte. A Vivo cumpre esse requisito documentando os bloqueios. Para usuários que precisam de portas abertas, a alternativa e contratar um plano que oferte esse serviço (planos empresariais), não exigir abertura no plano residencial.
O bloqueio mais relevante de saida e a porta 25 (SMTP), que impede servidores de email locais de enviar mensagens diretamente. As demais portas listadas na tabela como "bloqueadas" se referem ao tráfego de entrada. O tráfego de saida em geral e livre -- você consegue acessar qualquer site ou serviço externo normalmente, o que e afetado e a capacidade de receber conexões de entrada.
O suporte técnico da Vivo (103 15) pode confirmar se uma porta específica esta bloqueada no seu plano. Se você acredita que ha inconsistência com o contrato, registre reclamação no portal da Anatel (anatel.gov.br/consumidores) ou no Procon do seu estado. O Reclame Aqui também tem histórico de atendimentos da Vivo sobre bloqueios de porta.
Portabilmente sim, especialmente para quem quer hospedar servidores dedicados de jogos ou jogar com NAT aberto em consoles. Os bloqueios de porta 80 e 443 afetam principalmente quem tenta hospedar servidores de jogos com painel web. O CGNAT e o problema mais impactante para gamers: resulta em NAT estrito em consoles e pode impedir matchmaking em jogos P2P. A solução mais limpa para gamers e ativar IPv6 onde disponível para obter NAT aberto sem custo adicional.
Portas confirmadas como abertas em 2025-2026: 22 (SSH), 587 (SMTP-TLS), 993 (IMAPS), 995 (POP3S), 3389 (RDP), 8080 (HTTP alternativo), 25565 (Minecraft Java), 19132/UDP (Minecraft Bedrock), 51820/UDP (WireGuard). Todas ficam sujeitas ao CGNAT para conexões de entrada -- confirme se você tem IP público antes de testar. A lista pode mudar com atualizações de política da Vivo.
Em planos residenciais, a Vivo não costuma desbloquear a porta 25 por política anti-spam -- a porta permanece bloqueada mesmo após solicitação. Em planos empresariais Vivo Empresas com IP fixo, o desbloqueio da porta 25 precisa ser solicitado explicitamente ao setor comercial e pode ter exigências adicionais (como registro em SPF/DKIM). A alternativa mais prática para servidores de email e usar a porta 587 com autenticação STARTTLS, que a Vivo não bloqueia em nenhum plano.
O bloqueio pelo roteador ocorre no equipamento doméstico -- e configurável pelo usuário no painel admin (configurações de firewall ou "Port Filtering"). O bloqueio pela Vivo ocorre na infraestrutura da operadora, antes mesmo de o pacote chegar ao roteador doméstico. Para distinguir: se a porta esta aberta no roteador mas fechada nos testes externos, o bloqueio e da Vivo (ou do CGNAT). Se a porta esta fechada mesmo em testes dentro da rede local, o bloqueio e no roteador ou no firewall do SÓ do dispositivo de destino.
Vivo Fibra portas bloqueadas e uma restrição real dos planos residenciais, combinada com o CGNAT que afeta a maioria dos assinantes. O Cloudflare Tunnel e a solução gratuita mais simples para HTTP/HTTPS; para outros serviços, IPv6 nativo ou tunel via VPS resolvem sem custo de IP fixo empresarial. Confirme se você esta em CGNAT acessando Meu IP antes de qualquer configuração, e veja o passo a passo em como abrir porta no roteador para os demais cenários.
Aviso editorial: o SaberMeuIP.com.br não e afiliado ou parceiro da Vivo (Telefônica Brasil S.A.). As informações sobre bloqueios de portas refletem a política documentada nos termos de uso da operadora e relatos de usuários verificados em 2025-2026. A Vivo pode alterar a política sem aviso prévio e as políticas podem variar por região e plano. Antes de contratar plano, mudar de serviço ou abrir chamado técnico, confirme a situação atual nos canais oficiais da Vivo. Este artigo não substitui o suporte técnico da operadora.
Ver IP da Vivo
Leituras Relacionadas
- Como abrir porta roteador — Abrir porta no roteador via port forwarding exige IP público fora da faixa CGNAT 100.64.0.0/10. Saiba liberar TCP e UDP em TP-Link, Intelbras e Huawei.
- O que é CGNAT — O que e CGNAT: RFC 6598, faixa 100.64.0.0/10, NAT compartilhado pelo provedor, impacto em jogos e hospedagem no Brasil, e como saber se você esta em CGNAT.
- Claro NET CGNAT — Claro NET CGNAT compartilha o IPv4 público na faixa 100.64.0.0/10 entre vários assinantes. Saiba detectar pelo painel do roteador e migrar para IPv6 ou IP fixo.