Сопоставление портов в роутере для чего

Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.

Зачем открывать доступ извне?

Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Кто я, где я, какого я цвета?

С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.

В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.

Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.

Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.

Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.

Что такое порты и зачем их бросать?

Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).

Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.

Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.

Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.

Игровые порты: что, куда бросаем?

Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.

У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.

Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.

В следующей таблице приведены некоторые игры и используемые ими порты на ПК:

Настраиваем проброс портов

Пробросы настраиваются в админ-панели роутера на вкладке «Виртуальные серверы», «NAT», «Переадресация портов», «Трансляция сетевых адресов» и т. п. Они могут быть вложенными во вкладки «Интернет», «Переадресация», «Брандмауэр» или «Безопасность». Все зависит от марки и модели роутера.

Вам нужно определить, какие порты и какой протокол (UDP или TCP) использует программа, для которой вы настраиваете правило. Также следует задать статический IP-адрес для устройства, на которое пробрасывается порт — это делается в настройках DHCP и подробно разбиралось в статье про родительский контроль. Все эти данные следует ввести в соответствующие поля.

Некоторые роутеры позволяют задать также и внешний IP-адрес (или диапазон адресов). Так что если вы знаете IP-адрес, с которого будет идти обращение к вашему устройству (например, адрес игрового сервера), то его следует также ввести на странице — это повысит безопасность соединения.

Теперь все обращения с адреса 132.12.23.122 к порту 3074 вашего роутера он автоматически «перебросит» к вашей приставке PlayStation.

Больше пробросов для разных задач!

Аналогично производится настройка для других программ — и это могут быть не только игры:

• задав порт и настроив удаленное управление для uTorrent, можно управлять его загрузками из любой точки мира с помощью браузера;

• проброс портов часто требуется для специализированных программ удаленного управления компьютером; более простые, «гражданские» программы могут работать без этого — подробнее о них можно прочитать в этой статье;

• для запуска на домашнем компьютере ftp-сервера потребуется открыть и пробросить управляющий порт 21 и отдельный диапазон портов для передачи данных;

• пробросив порт 554 на домашнюю IP-камеру, которая умеет передавать видео по протоколу RTSP, можно будет подключиться к ней любым видеоплеером с поддержкой RTSP, вроде VLC;

• проброс порта 3389 позволит задействовать службу RDP (Remote Desktop Protocol) в Windows для получения удаленного доступа к рабочему столу компьютера.

DDNS — зачем нужен и как настроить

Если IP-адрес постоянный, то его можно запомнить. Но если он меняется, запоминать его тяжело. Для решения этой проблемы предназначены службы динамического DNS. Вам будет достаточно запомнить определенное доменное имя.

Сервисы DDNS бывают платные и бесплатные, с разным набором возможностей и характеристик. Но пользоваться лучше теми, которые предусмотрел производитель роутера — когда внешний IP-адрес роутера поменяется, они с DDNS сами договорятся, без вашей помощи. Найдите вкладку «DDNS» или «Динамический DNS» в веб-интерфейсе вашего роутера. В пункте «сервис-провайдер» или «DDNS-сервис» вам будет предложен список из нескольких сервисов, можете выбрать любой. Многие производители роутеров имеют собственные DDNS-сервисы — довольно ограниченные в настройках, зато бесплатные. Это DLinkDDNS.com для роутеров D-Link, KeenDNS для роутеров Zyxel, «Облако ТР-Link» для роутеров TP-Link и т. п.

Определившись с будущим сервисом DDNS, нужно зайти на его сайт и создать аккаунт. Бесплатные DDNS-сервисы производителей роутеров могут потребовать ввести серийный номер устройства или как-то иначе подтвердить, что вы работаете с роутером их производства — у каждого производителя по-разному.

Далее вам предложат задать доменное имя для своего домашнего сервера — обычно это домен третьего уровня (то есть vash_vybor.DDNS-service.com). После этого уже можно вернуться в веб-интерфейс и настроить привязку созданного аккаунта к своему роутеру.

Удаленное управление роутером

Во всех прочих руководствах рекомендуется запрещать удаленное управление роутером. Но здесь желательно его разрешить — будет крайне обидно, если вы, например, при пробросе портов упустили какую-то мелочь и не можете из-за этого «достучаться» до сети, будучи в командировке или в отпуске. Удаленное управление роутером позволит внести необходимые исправления и получить доступ.

Разрешите «Удаленный доступ» в веб-интерфейсе и задайте правила удаленного доступа. Так, если вам известен постоянный IP-адрес компьютера, с которого вы будете производить настройку, его следует задать — это увеличит безопасность вашей сети.

Если же вы хотите получить возможность доступа к роутеру с любого устройства, подключенного к Интернету, это тоже можно сделать, но обязательно задайте сложный пароль на доступ к веб-интерфейсу — иначе ваша локальная сеть станет «легкой добычей» для хакеров.

VPN как крайний выход

Если провайдер выдает «серый» адрес и никак не желает давать «белый», даже за деньги, придется использовать VPN.

Обычно VPN-сервисы предоставляют выход в сеть через сервер в любой точке мира — Private Internet Access, TorGuard, CyberGhost VPN, Game Freedom и т. п. Бесплатных среди них нет, но для удаленного доступа к своему компьютеру или командных игр вам «внешний» сервер и не нужен. Достаточно создать «виртуальную сеть» из своего домашнего компьютера и, например, рабочего. Или ноутбука для поездок, с которого вы ходите получать доступ к домашней сети. Или всех компьютеров ваших игровых друзей. Достаточно выбрать какую-нибудь из бесплатных VPN-утилит, например, Hamachi, Remobo, NeoRouter и т. д. И запустить ее на всех компьютерах, которые нужно объединить.

Прелесть в том, что это можно сделать без настройки роутера, с самого «серого» адреса и под самым «злобным» файрволом. Можно соединить в сеть и больше двух компьютеров, хотя в бесплатных версиях их количество ограничено.

Кроме того, в Интернете существует множество открытых (без пароля) VPN, созданных специально для игр — вам остается только найти VPN вашей любимой игры, подключиться к ней с помощью одной из вышеупомянутых утилит — и играть. Чуть сложнее дело обстоит с играми, в которых требуется подключение к игровому серверу.

Существуют VPN-сети с запущенными серверами популярных игр, но пользователей на них в разы меньше, чем на открытых серверах. Кроме того, такие сервера есть не для всех игр. Сыграть в World of Tanks или World of Warcraft с помощью таких утилит не получится, придется раскошеливаться на полноценный VPN-сервис. Но об этом — в следующий раз.

Иногда возникает необходимость доступа извне  к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.

О пробросе портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

При всем этом следует обратить особое внимание на безопасность. Ведь открыв к ресурсам локальной сети через интернет, ими могут попытаться воспользоваться злоумышленники.

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание.

Внешний IP-адрес

IP-адрес может быть:

• Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
• Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
• Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер.  Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
• Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.

Для того чтобы извне подключаться к вашей локальной сети, должен быть у нее настроен внешний статический IP-адрес. Конечно, можно использовать и динамический, но в случае его изменения, все перестанет работать. Про IP-адрес можно уточнить у интернет-провайдера.

Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети — серыми.

Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.

Безопасность

Так как в случае проброса портов будет открыт доступ к устройствам, находящимся внутри вашей локальной сети, особое внимание следует уделить безопасности:

• Для подключения к устройству должен использоваться надежный пароль;
• Если передается конфиденциальная информация, то она должна быть в шифрованном виде.

Особое внимание следует уделить при передаче удаленного доступа к компьютеру.

В этом случае злоумышленник может:

• Установить на компьютер свои программы;
• Перенастроить локальную сеть;
• Отслеживать и влиять на обмен данными по локальной сети.

Подключение

Перед настройкой проброса портов, следует подключиться к роутеру. У роутера обычно по умолчанию IP-адрес 192.168.0.1 или 192.168.1.1. Логин по умолчанию admin, а пароль может быть тоже admin, иногда 1234. Настройки роутера по умолчанию указываются на наклейке с тыльной стороны.

Вводим адрес роутера в браузере. На рисунке фото выше это 192.168.1.1, на запрос имени пользователя и пароля — заполняем соответствующие поля. После этого попадаем в главное меню роутера.

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

• Статические, то есть заданные вручную на каждом устройстве;
• Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Настройка проброса портов

После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:

• Порт роутера;
• IP устройства;
• Порт устройства.

Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.

В настройках переадресации добваляем новый виртуальный сервер.

Запись настраивается следующим образом:

• Порт сервиса — это как раз тот порт, по которому будут подключаться из интернета;
• Внутренний порт — это порт устройства, к которому надо открыть доступ;
• IP-адрес — это адрес устройства в локальной сети
• Протокол — тут можно выбрать протокол TCP или UDP. Можно выбрать «ВСЕ», тогда будут перенаправляться оба протокола.
• Состояние — здесь выбираем «включено». При не надобности, можно отключить проброс, не удаляя запись.

Пункт «стандартный порт сервиса» предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля «порт сервиса» и «внутренний порт». Ниже будут рассмотрены основные сервисы.

После того как все настройки выполнены, следует их сохранить.

Номера портов

Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536.

На компьютере эти порты делятся на следующие группы :

• Системные (от 0 до 1023);
• Пользовательские (от 1024 до 49151);
• Динамические (от 49152 до 65535).

Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.

Стандартные сервисы

Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

• Записываем в строке поиска «Брандмауэр Защитника Windows». После ввода первых нескольких букв, находится нужное приложение.
• Выполнить «firewall.cpl». Для этого надо одновременно нажать комбинации клавиш <Win>+<R>, в поле поле открыть записываем команду и нажимаем «OK».

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту «Правила для входящих подключений». После этого в правой колонке, которая называется «Действия» жмем на «Создать правило…».

Выбираем тип правила «Для порта» и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через «-«.

С точки зрения безопасности, тут важно выбирать не все локальные порты, а именно указать нужный.

Выбираем «Разрешить подключение».

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку «Готово». Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт «Включение и отключение брандмауэра Защитника Windows».

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

Что такое перенаправление порта

Перенаправление порта  — это сопоставление определённого порта на внешнем интерфейсе роутера с определённым портом нужного устройства в локальной сети.

Перенаправление порта является одной из функций механизма NAT (трансляции сетевых адресов). Суть NAT заключается в использовании несколькими устройствами в локальной сети одного внешнего интерфейса. В домашних сетях внешний интерфейс — это WAN-порт роутера, а сетевые устройства — это компьютеры, планшеты и смартфоны. А суть перенаправления заключается в том, чтобы предоставить доступ к какому-то устройству в сети из Интернета, используя какой-либо открытый порт роутера.

Как сделать проброс порта на шлюзе (роутере, модеме)

Это то, что в народе называется «как открыть порт на роутере».

Допустим, есть задача предоставить доступ к удалённому рабочему столу компьютера, который подключён к Интернету через роутер. Для этого нужно создать правило перенаправления любого свободного порта WAN-интерфейса роутера на порт 3389 нужного компьютера. 3389 — это порт, который используется по умолчанию для приёма входящих подключений службы сервера удалённых рабочих столов. После создания такого правила и применения настроек на роутере запросы, поступившие на указанный внешний порт будут перенаправлены на 3389 нужного компьютера в сети.

Для этого на роутере необходимо зайти в настройки перенаправления портов и добавить правило.

Пример настройки перенаправления порта на роутере D-Link.

1 Откройте раздел Advanced (Расширенные настройки).

2 Выберите настройку Port Forwarding (перенаправление портов).

3 Настройте правило перенаправления:

• Укажите любое удобное для вас имя правила;
• Укажите номер публичного порта (или диапазон). Публичный порт — это тот, который будет открыт на роутере для доступа из Интернета через WAN-интерфейс. Если нужно открыть только один порт, укажите один и тот же порт и в качестве начального в диапазоне, и в качестве конечного.
  В нашем случае нам нужно открыть порт 3389, поэтому мы два раза указали его в верхней строке настроек.
• Укажите IP-адрес компьютера (сервера) в локальной сети, на котором запущена служба, доступ к которой нужно предоставить. Рекомендуется зарезервировать IP-адрес для данного сервера в настройках DHCP-резервирования на роутере, чтобы он не поменялся в дальнейшем. Вместо этого также можно указать IP-адрес вручную в настройках сетевого адаптера на компьютере, проброс до которого вы будете делать на роутере.
  В нашем примере мы указываем внутренний серый IP-адрес 192.168.1.100, который принадлежит компьютеру с Windows Server 2008 с настроенным сервером удалённых рабочих столов.
• Укажите порт для приёма входящих подключений на компьютере в локальной сети.
  В нашем случае на сервере для службы Сервер удалённых рабочих столов используется порт по умолчанию 3389.
• Установите флажок слева для включения правила.

4 Нажмите Save Setting (Сохранить настройки)

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server. Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

• Как создать FTP-сервер и открыть к нему доступ из Интернета;
• Как изменить номер порта по умолчанию для RDP-сервера;
• Настройка резервирования DHCP;
• Как задать статический IP в Windows;
• Как привязать динамический IP к доменному имени. Сервис No-IP.

Вы новичок и вам нужны базовые знания о пробросе портов? Тогда статья ниже написана для вас, поскольку в ней обсуждаются некоторые основы переадресации портов, которые вы должны знать.

В мире сетевых технологий соединение устройств всегда сопряжено с большим количеством задач, в которых участвует перенаправление портов. Перенаправление портов — это команда, которая направляет определенный запрос с компьютера, подключенного к Интернету, на маршрутизатор интересующего устройства, используя IP-адрес и номер порта устройства для отправки определенного запроса на доступ к пользовательскому интерфейсу на своем компьютере. Но указанный отправленный трафик должен получить доступ через конфигурацию, прежде чем он будет назначен конкретному интересующему устройству корпуса его номера порта. Для этого в роли посредника выступает маршрутизатор или сетевой браузер. По сути, это дает возможность компьютеру через Интернет точно соединиться с компьютером в частной сети, даже если вы находитесь за маршрутизатором. Например, если устройство запущено из своей зоны комфорта для удаленного подключения к другому устройству из другого места с помощью Remote Desktop Connections, что позволяет Microsoft Windows получить доступ к устройству на том же соединении, понятный интерфейс пользователя может быть включен только тогда, когда указанный компьютер отправляет свой точный IP-адрес с номером порта через интернет на ваш маршрутизатор, который будет искать в настроенном и сохраненном устройстве перенаправления портов, чтобы знать, куда отправить IP-адрес, на который настроен номер порта, и предоставить доступ к устройству. В этой статье мы познакомимся с основными принципами проброса портов 101.

Что такое переадресация портов?

Перенаправление портов — это удаленный доступ к частному серверу или сети для определенного компьютера через Интернет. В компьютерных сетях перенаправление портов позволяет нескольким локальным сетям получить доступ к глобальной сети. При перенаправлении портов происходит настройка номера порта компьютера и IP-адреса на маршрутизаторе или брандмауэре для предоставления доступа к действиям устройства удаленно извне локальных сетей. Это дает возможность трансляции сетевых адресов (NAT) направлять команды из сети хоста (внутренней) во внешнюю сеть в обход, тем самым позволяя передавать запросы с определенного IP-адреса и номера порта на другой. Перенаправление портов позволяет нескольким видам веб-деятельности, которые до этого считались незаконными, теперь стать законными благодаря тому, что уникальность устройства должна быть настроена и сохранена на сервере браузера или маршрутизатора, прежде чем будет предоставлен доступ.

Типы переадресации портов

В принципе, существует три основных типа проброса портов, осуществляемых на маршрутизаторе, и каждый из них имеет свою уникальность.

• Локальная переадресация портов

Этот тип проброса портов уникален для сервера защищенной оболочки (SSH), который обеспечивает бесперебойную работу клиентского приложения из определенного места через защищенный туннель. Он обеспечивает доступ к нескольким устройствам для безопасного соединения из локальных сетей без ограничений или блокировки от запрещенных к посещению веб-сайтов. Этот тип проброса портов довольно распространен по сравнению с удаленным и динамическим типами. Одно из преимуществ локальной проброски портов заключается в том, что SSH-сервер настраивается таким образом, чтобы направлять запрос определенного порта к определенному расположенному порту через защищенный туннель той же работающей системы.

• Удаленная переадресация портов

Как и следует из названия, удаленная переадресация портов — это подключение вашего устройства удаленно к сетевому серверу или хосту. При таком типе переадресации портов, сидя дома или на рабочем месте, компьютерам разрешается подключаться к защищенному туннелю, расположенному в другом месте, или к интересующим их IP-адресам и портам. Несколько компьютеров с собственными уникальными номерами портов и IP-адресами предоставляют удаленный доступ к интересующему серверу. В отличие от локальной проброски портов, для включения удаленной проброски портов на маршрутизаторе необходимо знать внешний IP-адрес и номера портов хост-сервера.

• Динамическая переадресация портов

Это тип проброса портов, который позволяет безопасно подключаться к сетевому серверу или узлу, даже если этот сервер ненадежно защищен. Использование этого типа проброса портов сопровождается внедрением SSH-сервера или прокси-сервиса SOCKS, выступающего в качестве посредника или звена для выполнения запросов по сети. Динамическая переадресация портов похожа на наличие сидящего центрального узла управления, к которому подключены другие устройства сети, как к спасательному проводу, который подает ложку и обеспечивает безопасность деятельности их подключенной системы, представляющей интерес, удаленно, получая и отправляя точный запрос на указанный или несколько серверов с максимальной безопасностью.

Плюсы и минусы переадресации портов

Как и у большинства других вещей, у переадресации портов есть свои плюсы и минусы. В этом разделе статьи мы рассмотрим некоторые из основных плюсов и минусов переадресации портов.

Плюсы

• Переадресация портов помогает устройствам получить доступ к удаленным серверам или маршрутизаторам.
• Единственными требованиями являются IP-адрес клиента и номер порта, пароль не вводится.
• В маршрутизаторе или сервере на одном компьютере может быть запущено более одного алгоритма.
• Доступ к частным сетям можно получить из домашних или рабочих служб.
• Переадресация портов улучшает связь и увеличивает ограниченную скорость достижимости аналогов.

Cons

• Серверы или маршрутизаторы могут подвергаться опасности со стороны злоумышленников при попытке получить доступ к запрещенным веб-сайтам.
• Порты маршрутизатора могут быть уязвимы для хакеров из-за открытых портов, что обеспечивает доступ к частной сети.
• Серверный алгоритм должен быть установлен на каждом устройстве для обеспечения безопасной и надежной работы.
• Переадресация портов в VPN требует ввода имени пользователя и пароля для получения защиты.

Для чего используется переадресация портов?

Поскольку перенаправление портов связано с настройкой маршрутизатора или сети браузера для перенаправления определенных входящих запросов портов на конкретные или удаленные устройства. Ниже описано удобство его использования.

• Для онлайн-игр

Перенаправление портов позволяет геймерам совместно использовать свою игровую среду, предоставляя доступ к IP-адресам и номерам портов тому, с кем они хотят взаимодействовать на игровой платформе через сервер или маршрутизатор геймерской сети. Интерфейс игровой консоли может быть включен для многопользовательской игры.

• Безопасность и конфиденциальность

Серверы IPS могут быть замаскированы и защищены с помощью проброса портов, поскольку без доступа невозможно предоставить полномочия. Это обеспечивает определенный уровень безопасности и конфиденциальности для системы.

• Резервные копии

При условии, что доступ к устройству предоставлен и на нем инициирована аутентификация, проброс портов можно использовать для получения резервных копий файлов в любом месте через интернет.

• FTP

FTP означает протокол передачи файлов. При включенном перенаправлении портов файлы можно легко передавать на удаленные устройства, представляющие интерес.

Как перенаправить порт на маршрутизаторе

Прежде чем выполнять проброс портов на маршрутизаторе, необходимо знать IP-адрес маршрутизатора, используемое устройство и номер порта интернет-сервера, а также имя пользователя и пароль маршрутизатора. Ниже описаны шаги по пробросу портов на маршрутизаторе.

Шаг 1: Войдите на страницу конфигурации маршрутизатора.

Шаг 2: Введите IP-адрес Интернета маршрутизатора с помощью веб-браузера. Если вы не знаете IP-адрес вашего маршрутизатора, откройте командную строку на компьютере под управлением Windows, введите ipconfig и нажмите enter. Внутренний IP-адрес маршрутизатора будет отображаться с именем Default Gateway, а также IP-адрес вашего компьютера.

Шаг 3: Введите IP-адрес маршрутизатора в браузере, после чего вы попадете на страницу конфигурации маршрутизатора. Конфигурация отличается для разных марок маршрутизаторов.

Шаг 4: Перейдите в раздел «Переадресация портов», чтобы настроить переадресацию портов.

Шаг 5: Введите имя приложения, номер внутреннего и внешнего порта, протоколы портов TCP или UDP (при необходимости включите оба), а также введите IP-адрес устройства.

Шаг 6: Сохраните настройки и включите.

Перенаправление портов в VPN различается в зависимости от провайдеров VPN. Ниже приведены общие способы переадресации портов в VPN.

Шаг 1: Включите проброс портов в меню настроек вашего приложения VPN.

Шаг 2: Выберите порты, которые вы хотите открыть на VPN. Запишите номер порта.

Шаг 3: В программе, использующей перенаправление портов, измените порт прослушивания на номер порта, указанный выше.

Шаг 4: Отключите UPnP и NAT-PMP в настройках программы VPN.

Шаг 5: Нажмите кнопку применить для сохранения.

Переадресация портов и сопоставление портов

Переадресация портов и отображение портов — это два синонима сетевых терминов или методов, используемых взаимозаменяемо. Исследования показали, что при поиске по веб-страницам эти два термина используются столько же времени, сколько они существуют, и никакой контринтуиции это не противоречит.

Можно набрать в поисковике port forwarding, и в результате поисковая система выдаст оба этих понятия как одно и то же. Переадресация портов или сопоставление портов — это переадресация запросов с одного конкретного порта на узле на другой конкретный порт на другом узле с использованием маршрутизатора или другой сети просмотра в качестве посредника.

Переадресация портов в сравнении с триггерингом портов

Переадресация портов и триггирование портов — это две разные техники в сетевом мире. Если вы знаете, что такое переадресация портов, то триггирование портов является противоположным методом, поскольку оно динамично и вызывает собственные команды. В то время как переадресация портов может использоваться для предоставления доступа к системе в частной сети в Интернете, триггирование портов использует исходящий порт в качестве триггера для открытия и доступа к определенному входящему порту. Переадресация портов отправляет и получает трафик с определенного порта, а триггирование портов запускает порт, сообщая маршрутизатору определенный порт для открытия. Port Forwarding менее безопасен по сравнению с Port Triggering, поскольку Port Forwarding обеспечивает доступ к открытым портам, а Port Triggering — к закрытым портам, которые открываются только при срабатывании. При использовании переадресации портов необходимо знать IP-адреса и номера портов, в то время как при триггерной переадресации портов все наоборот: IP-адреса и номера портов определяются автоматически с помощью триггерных команд. О переадресации портов говорят, что они имеют статические IP-адреса, поскольку при использовании переадресации портов порт постоянно остается открытым. В отличие от этого, Port Triggering имеет динамические IP-адреса, так как открывает и закрывает порты в течение определенного периода времени.

Общие проблемы переадресации портов

Так же, как функциональность переадресации портов принимается большинством ИТ-специалистов и программистов, она иногда имеет несколько неудобных частей. Вот распространенные проблемы переадресации портов.

• Маршрутизатор не поддерживает переадресацию портов

Это распространенная проблема, на которую часто жалуются многие пользователи. Некоторые маршрутизаторы не поставляются с включенной ручной проброской портов. Для человека, который не знает об этом, покупка маршрутизатора такого стандарта может стать разочарованием.

• Отключить переадресацию портов

Это также распространенная проблема, которая чаще всего возникает при обновлении прошивки маршрутизатора с переадресацией. Некоторые несовместимые версии могут отключить уже существующие настроенные параметры, что потребует повторной настройки после установки новой обновленной версии.

• Использование нескольких маршрутизаторов

Предоставление устройствам доступа для соединения с несколькими маршрутизаторами может отключить процессы переадресации портов. Все настроенные устройства должны работать через один маршрутизатор.

• Несколько правил для одного порта

Два порта переадресации не могут быть запущены в одной книге правил. Конкретное правило работает с конкретным устройством.

Опасности, связанные с переадресацией портов

Проброс портов — это хороший способ получить доступ к удаленной сети, но этот процесс может быть сопряжен с риском, и это основная причина, по которой не все VPN можно использовать для проброса портов. Некоторые из этих опасностей включают.

• При использовании проброса портов происходит постоянное открытие портов, чем легко могут воспользоваться хакеры и проникнуть на ваш сервер или маршрутизатор.
• Действия, которые необходимо перенаправить, определяют уровень опасности, который необходимо учитывать. Это еще одна причина, по которой большинство VPN не поддерживают проброс портов.
• Удаленное открытие нескольких портов может повысить уровень риска домашней или рабочей сети. Если порт доступен и используется, рекомендуется закрывать его, когда на нем не выполняются какие-либо команды.

Однако рекомендуется назначать более структурированные пароли для устройств, которые подверглись переадресации портов, чтобы предотвратить кибервторжение и обеспечить защиту портовых устройств.

Часто задаваемые вопросы о переадресации портов

Q. Должен ли я использовать переадресацию портов? Если вы находитесь в ситуации, когда вам необходима переадресация портов, вам обязательно следует использовать переадресацию портов. Это связано с тем, что он добавляет дополнительный уровень безопасности в сети. С помощью переадресации портов вы сохраняете публичные IP-адреса и защищаете серверы и клиентов от нежелательного доступа. Это происходит потому, что вы можете скрыть серверы и службы в сети, тем самым затрудняя их доступ для тех, кто захочет взаимодействовать с ними за пределами сети. Однако, несмотря на использование этой технологии, вы должны использовать ее только тогда, когда она вам необходима, и не создавать ненужных узких мест.

Q. Что такое пример переадресации портов? Поскольку этот блог является блогом обзоров прокси, позвольте мне привести отличный пример, с которым вы сможете легко соотнестись. Возьмем, к примеру, если вы хотите использовать 911 s5 прокси в приложении Multilogin. Прокси-сервис не предлагает порт и адрес прокси, как это делают другие. Вместо этого вам нужно будет настроить перенаправление портов из клиента прокси 911 s5, который создаст локальную сеть. Все, что вам нужно, это получить номер хоста и порта и использовать их в Multilogin в качестве реквизитов прокси-сервера, и в любое время, когда вы отправляете веб-запросы, они будут перенаправляться на прокси-сервер 911 s5. Тот же метод используется, если вы хотите использовать прокси-сервис на телефоне.

Q. Безопасна ли переадресация портов для игр? Одним из вариантов использования переадресации портов являются онлайн-игры. Но безопасно ли это? В целом, переадресация портов безопасна для игр при условии, что на вашем устройстве нет вредоносного ПО. Прежде чем использовать переадресацию портов, убедитесь в отсутствии вредоносного ПО на устройстве, на котором вы хотите ее использовать. Однако следует знать, что если вы не закроете порт, порты, используемые для проброса портов, останутся открытыми независимо от того, включена или выключена игра. В целях безопасности всегда помните о необходимости отменить его.

Заключение

Было замечено, что включение переадресации портов в маршрутизаторе позволяет удаленно создавать доступность для интересующих устройств. Это может быть хорошо, но у него есть свой негатив, и именно по этой причине многие VPN не подписываются на него или не покупают его из-за незащищенности портов, которые могут быть легко взломаны нежелательными и неавторизованными хакерами, которые могут поставить под угрозу маршрутизатор устройства. Переадресация портов — это здорово, но не все, что есть в может пригодится, так как постоянное непрерывное открытие портов может нанести большой ущерб, что приведет к нежелательным инновациям. Следовательно, рекомендуется закрыть порт сразу после использования. Если вы прочитали эту статью, вы должны иметь представление о том, что такое переадресация портов.

Просмотров: 116

From Wikipedia, the free encyclopedia

In computer networking, port forwarding or port mapping is an application of network address translation (NAT) that redirects a communication request from one address and port number combination to another while the packets are traversing a network gateway, such as a router or firewall. This technique is most commonly used to make services on a host residing on a protected or masqueraded (internal) network available to hosts on the opposite side of the gateway (external network), by remapping the destination IP address and port number of the communication to an internal host.^[1][2]

Purpose[edit]

Port forwarding facilitates the connection by remote computers, for example, Internet hosts, to a specific computer or service within a local area network (LAN).^[3]

In a typical residential network, nodes obtain Internet access through a DSL or cable modem connected to a router or network address translator (NAT/NAPT). Hosts on the private network are connected to an Ethernet switch or communicate via a wireless LAN. The NAT device’s external interface is configured with a public IP address. The computers behind the router, on the other hand, are invisible to hosts on the Internet as they each communicate only with a private IP address.

When configuring port forwarding, the network administrator sets aside one port number on the gateway for the exclusive use of communicating with a service in the private network, located on a specific host. External hosts must know this port number and the address of the gateway to communicate with the network-internal service. Often, the port numbers of well-known Internet services, such as port number 80 for web services (HTTP), are used in port forwarding, so that common Internet services may be implemented on hosts within private networks.

Typical applications include the following:

• Running a public HTTP server within a private LAN
• Permitting Secure Shell access to a host on the private LAN from the Internet
• Permitting FTP access to a host on a private LAN from the Internet
• Running a publicly available game server within a private LAN

Administrators configure port forwarding in the gateway’s operating system. In Linux kernels, this is achieved by packet filter rules in the iptables or netfilter kernel components. BSD and macOS operating systems prior to Yosemite (OS 10.10.X) implement it in the Ipfirewall (ipfw) module while macOS operating systems beginning with Yosemite implement it in the Packet Filter (pf) module.

When used on gateway devices, a port forward may be implemented with a single rule to translate the destination address and port. (On Linux kernels, this is DNAT rule). The source address and port are, in this case, left unchanged. When used on machines that are not the default gateway of the network, the source address must be changed to be the address of the translating machine, or packets will bypass the translator and the connection will fail.

When a port forward is implemented by a proxy process (such as on application layer firewalls, SOCKS based firewalls, or via TCP circuit proxies), then no packets are actually translated, only data is proxied. This usually results in the source address (and port number) being changed to that of the proxy machine.

Usually only one of the private hosts can use a specific forwarded port at one time, but configuration is sometimes possible to differentiate access by the originating host’s source address.

Unix-like operating systems sometimes use port forwarding where port numbers smaller than 1024 can only be created by software running as the root user. Running with superuser privileges (in order to bind the port) may be a security risk to the host, therefore port forwarding is used to redirect a low-numbered port to another high-numbered port, so that application software may execute as a common operating system user with reduced privileges.

The Universal Plug and Play protocol (UPnP) provides a feature to automatically install instances of port forwarding in residential Internet gateways. UPnP defines the Internet Gateway Device Protocol (IGD) which is a network service by which an Internet gateway advertises its presence on a private network via the Simple Service Discovery Protocol (SSDP). An application that provides an Internet-based service may discover such gateways and use the UPnP IGD protocol to reserve a port number on the gateway and cause the gateway to forward packets to its listening socket.

Types[edit]

Port forwarding may be distinguished by the following specific types: local, remote, and dynamic port forwarding.^[4]

Local port forwarding[edit]

Local port forwarding is the most common type of port forwarding. It is used to let a user connect from the local computer to another server, i.e. forward data securely from another client application running on the same computer as a Secure Shell (SSH) client. By using local port forwarding, firewalls that block certain web pages, can be bypassed.^[5]

Connections from an SSH client are forwarded, via an SSH server, to the intended destination server. The SSH server is configured to redirect data from a specified port (which is local to the host that runs the SSH client) through a secure tunnel to some specified destination host and port. The local port is on the same computer as the SSH client, and this port is the «forwarded port». On the same computer, any client that wants to connect to the same destination host and port can be configured to connect to the forwarded port (rather than directly to the destination host and port). After this connection is established, the SSH client listens on the forwarded port and directs all data sent by applications to that port, through a secure tunnel to the SSH server. The server decrypts the data, and then redirects it to the destination host and port.^[6]

Some uses of local port forwarding :

• Using local port forwarding to receive mail ^[7]
• Connect from a laptop to a website using an SSH tunnel.

Remote port forwarding[edit]

This form of port forwarding enables applications on the server side of a Secure Shell (SSH) connection to access services residing on the SSH’s client side.^[8] In addition to SSH, there are proprietary tunnelling schemes that utilize remote port forwarding for the same general purpose.^[9] In other words, remote port forwarding lets users connect from the server side of a tunnel, SSH or another, to a remote network service located at the tunnel’s client side.

To use remote port forwarding, the address of the destination server (on the tunnel’s client side) and two port numbers must be known. The port numbers chosen depend on which application is to be used.

Remote port forwarding allows other computers to access applications hosted on remote servers. Two examples:

• An employee of a company hosts an FTP server at their own home and wants to give access to the FTP service to employees using computers in the workplace. In order to do this, an employee can set up remote port forwarding through SSH on the company’s internal computers by including their FTP server’s address and using the correct port numbers for FTP (standard FTP port is TCP/21) ^[10]
• Opening remote desktop sessions is a common use of remote port forwarding. Through SSH, this can be accomplished by opening the virtual network computing port (5900) and including the destination computer’s address.^[6]

Dynamic port forwarding[edit]

Dynamic port forwarding (DPF) is an on-demand method of traversing a firewall or NAT through the use of firewall pinholes. The goal is to enable clients to connect securely to a trusted server that acts as an intermediary for the purpose of sending/receiving data to one or many destination servers.^[11]

DPF can be implemented by setting up a local application, such as SSH, as a SOCKS proxy server, which can be used to process data transmissions through the network or over the Internet. Programs, such as web browsers, must be configured individually to direct traffic through the proxy, which acts as a secure tunnel to another server. Once the proxy is no longer needed, the programs must be reconfigured to their original settings. Because of the manual requirements of DPF, it is not often used.^[6]

Once the connection is established, DPF can be used to provide additional security for a user connected to an untrusted network. Since data must pass through the secure tunnel to another server before being forwarded to its original destination, the user is protected from packet sniffing that may occur on the LAN.^[12]

DPF is a powerful tool with many uses; for example, a user connected to the Internet through a coffee shop, hotel, or otherwise minimally secure network may wish to use DPF as a way of protecting data. DPF can also be used to bypass firewalls that restrict access to outside websites, such as in corporate networks.

See also[edit]

• Port Control Protocol (PCP)
• NAT Port Mapping Protocol (NAT-PMP)
• Firewall pinhole
• NAT traversal
• Packet forwarding
• Port address translation (PAT)
• Port triggering
• UDP Helper Address

References[edit]

External links[edit]

• Alan Stafford. «Warp Speed Web Access: Sharing the Bandwidth». PC World. Archived from the original on 2008-03-18. Retrieved 2008-10-11.
• Using UPnP for Programmatic Port Forwardings and NAT Traversal – Free software which uses UPnP and the Internet Gateway Device Protocol (IGD) to automate port forwarding
• TCP forwarding source code in C# – Source code in C# explaining/PoC TCP forwarding.
• Open.NAT – Lightweight and easy-to-use .NET class library to allow port forwarding in NAT devices that support UPNP and PMP.
• Port Checker Port Forwarding Testing Tool