Что такое переадресация портов и как ее настроить на маршрутизаторе

Если вы читаете эту статью, поздравляем! Вы успешно взаимодействуете с другим сервером в Интернете, используя порты 80 и 443, стандартные открытые сетевые порты для веб-трафика. Если бы эти порты были закрыты на нашем сервере, вы бы не смогли прочитать эту статью. Закрытые порты защищают вашу сеть (и наш сервер) от хакеров.

Наши веб-порты могут быть открыты, но порты вашего домашнего маршрутизатора не должны быть открыты, так как это открывает лазейку для злоумышленников. Однако время от времени вам может потребоваться разрешить доступ к вашим устройствам через Интернет с помощью переадресации портов. Чтобы помочь вам узнать больше о переадресации портов, вот что вам нужно знать.

Что такое перенаправление портов?(What Is Port Forwarding?)

Переадресация портов(Port) — это процесс на маршрутизаторах локальной сети, который перенаправляет попытки подключения с сетевых устройств на определенные устройства в локальной сети. Это происходит благодаря правилам переадресации портов на вашем сетевом маршрутизаторе, которые сопоставляют попытки подключения к правильному порту и IP-адресу устройства в вашей сети.

Локальная сеть может иметь один общедоступный IP-адрес, но каждое устройство в вашей внутренней сети имеет свой собственный внутренний IP-адрес. Переадресация портов(Port) связывает эти внешние запросы от A (общедоступный IP-адрес и внешний порт) к B (запрошенный порт и локальный IP-адрес устройства в вашей сети). 

Чтобы объяснить, почему это может быть полезно, давайте представим, что ваша домашняя сеть немного похожа на средневековую крепость. В то время как вы можете смотреть за стены, другие не могут заглянуть внутрь или взломать вашу защиту — вы защищены от нападения. 

Благодаря встроенным сетевым брандмауэрам ваша сеть находится в таком же положении. Вы можете получить доступ к другим онлайн-сервисам, таким как веб-сайты или игровые серверы, но взамен другие пользователи Интернета не смогут получить доступ к вашим устройствам. Подъемный мост поднят, поскольку ваш брандмауэр активно блокирует любые попытки внешних подключений проникнуть в вашу сеть.

Однако в некоторых ситуациях такой уровень защиты нежелателен. Если вы хотите запустить сервер в своей домашней сети ( например, с помощью Raspberry Pi(using a Raspberry Pi) ), необходимы внешние подключения. 

Именно здесь вступает в действие переадресация портов, поскольку вы можете перенаправлять эти внешние запросы на определенные устройства без ущерба для вашей безопасности.

Например, предположим, что вы используете локальный веб-сервер на устройстве с внутренним IP-адресом 192.168.1.12 , а ваш общедоступный IP-адрес — 80.80.100.110 . Внешние запросы к порту 80 ( 80.90.100.110:80 ) будут разрешены благодаря правилам переадресации портов, при этом трафик перенаправляется на порт 80(port 80) на 192.168.1.12 .

Для этого вам нужно настроить сеть, чтобы разрешить переадресацию портов, а затем создать соответствующие правила переадресации портов в сетевом маршрутизаторе. Вам также может потребоваться настроить другие брандмауэры в вашей сети, включая брандмауэр Windows(Windows firewall) , чтобы разрешить трафик.

Почему вам следует избегать UPnP (автоматическая переадресация портов)(Why You Should Avoid UPnP (Automatic Port Forwarding))

Настройка переадресации портов в вашей локальной сети не представляет сложности для опытных пользователей, но может создать всевозможные трудности для новичков. Чтобы решить эту проблему, производители сетевых устройств создали автоматизированную систему переадресации портов под названием UPnP (или Universal Plug and Play ).

Идея UPnP заключалась (и заключается) в том, чтобы позволить интернет-приложениям и устройствам автоматически создавать правила переадресации портов на вашем маршрутизаторе, чтобы разрешить внешний трафик. Например, UPnP может автоматически открывать порты и перенаправлять трафик для устройства, на котором запущен игровой сервер, без необходимости вручную настраивать доступ в настройках маршрутизатора.

Идея блестящая, но, к сожалению, реализация ошибочна, если не чрезвычайно опасна. UPnP — это мечта вредоносных программ, поскольку он автоматически предполагает, что любые приложения или службы, работающие в вашей сети, безопасны. Веб - сайт UPnP хакеров(UPnP hacks website) раскрывает ряд уязвимостей, которые даже сегодня легко включаются в сетевые маршрутизаторы.

С точки зрения безопасности лучше перестраховаться. Чтобы не рисковать своей сетевой безопасностью, избегайте использования UPnP для автоматической переадресации портов (и, по возможности, полностью отключайте ее). Вместо этого вы должны создавать правила переадресации портов вручную только для приложений и служб, которым вы доверяете и которые не имеют известных уязвимостей.

Как настроить переадресацию портов в вашей сети(How to Set Up Port Forwarding on Your Network)

Если вы избегаете UPnP и хотите настроить переадресацию портов вручную, вы обычно можете сделать это на странице веб-администрирования вашего маршрутизатора. Если вы не знаете, как получить к нему доступ, вы обычно можете найти информацию на нижней части вашего маршрутизатора или в руководстве по документации вашего маршрутизатора.

Вы можете подключиться к странице администратора вашего маршрутизатора, используя адрес шлюза по умолчанию для вашего маршрутизатора. Обычно это 192.168.0.1 или аналогичный вариант — введите этот адрес в адресную строку веб-браузера. Вам также потребуется пройти аутентификацию, используя имя пользователя и пароль, предоставленные вместе с маршрутизатором (например, admin ).

Настройка статических IP-адресов с использованием резервирования DHCP(Configuring Static IP Addresses Using DHCP Reservation)

В большинстве локальных сетей используется динамическое выделение IP-адресов для назначения временных IP-адресов подключаемым устройствам. Через определенное время IP-адрес обновляется. Эти временные IP-адреса могут быть переработаны и использованы в другом месте, а вашему устройству может быть назначен другой локальный IP-адрес.

Однако для переадресации портов требуется, чтобы IP-адрес, используемый для любых локальных устройств, оставался прежним. Вы можете назначить статический IP-адрес вручную, но большинство сетевых маршрутизаторов позволяют назначать статический IP-адрес определенным устройствам на странице настроек вашего маршрутизатора с помощью резервирования DHCP .

К сожалению, каждый производитель маршрутизатора отличается, и шаги, показанные на снимках экрана ниже (сделанные с использованием маршрутизатора TP-Link ), могут не соответствовать вашему маршрутизатору. Если это так, вам может потребоваться просмотреть документацию вашего маршрутизатора для получения дополнительной поддержки.

Для начала войдите на страницу веб-администрирования вашего сетевого маршрутизатора с помощью веб-браузера и выполните аутентификацию, используя имя пользователя и пароль администратора маршрутизатора. После того, как вы вошли в систему, получите доступ к области настроек DHCP вашего маршрутизатора.(DHCP)

You may be able to scan for local devices already connected (to autofill the required allocation rule) or you may need to provide the specific MAC address for the device you wish to assign a static IP to. Create the rule using the correct MAC address and the IP address you wish to use, then save the entry.

Creating a New Port Forwarding Rule

If your device has a static IP (set manually or reserved in your DHCP allocation settings), you can move to create the port forwarding rule. The terms for this can vary. For instance, some TP-Link routers refer to this feature as Virtual Servers, while Cisco routers refer to it by the standard name (Port Forwarding).

В правильном меню на странице веб-администрирования вашего маршрутизатора создайте новое правило переадресации портов. Для правила потребуется внешний(external) порт (или диапазон портов), к которому должны подключаться внешние пользователи. Этот порт связан с вашим общедоступным IP-адресом (например, порт 80 для общедоступного IP -адреса 80.80.30.10(80.80.30.10) ).

Вам также необходимо определить внутренний(internal) порт, на который вы хотите перенаправить трафик с внешнего(external) порта. Это может быть тот же порт или альтернативный порт (чтобы скрыть цель трафика). Вам также потребуется предоставить статический IP-адрес для вашего локального(local) устройства (например, 192.168.0.10 ) и используемый протокол порта (например, TCP или UDP ).

В зависимости от вашего маршрутизатора вы можете выбрать тип службы для автоматического заполнения необходимых данных правила (например, HTTP для порта 80 или HTTPS для порта 443). После настройки правила сохраните его, чтобы применить изменения.

Дополнительные шаги(Additional Steps)

Ваш сетевой маршрутизатор должен автоматически применить изменения к правилам брандмауэра. Любые внешние попытки подключения к открытому порту должны перенаправляться на внутреннее устройство с помощью созданного вами правила, хотя вам может потребоваться создать дополнительные правила для служб, использующих несколько портов или диапазонов портов.

Если у вас возникли проблемы, вам также может потребоваться рассмотреть возможность добавления дополнительных правил брандмауэра к вашему ПК или программному брандмауэру Mac (включая брандмауэр Windows(Windows Firewall) ), чтобы разрешить прохождение трафика. Например, брандмауэр Windows(Windows Firewall) обычно не разрешает внешние подключения, поэтому вам может потребоваться настроить это в меню « Параметры Windows»(Windows Settings) .

Если брандмауэр Windows(Windows Firewall) вызывает у вас затруднения, вы можете временно отключить его(disable it temporarily) для расследования. Однако(Due) из-за рисков безопасности мы рекомендуем повторно включить брандмауэр Windows(Windows Firewall) после устранения неполадки, так как это обеспечивает дополнительную защиту от возможных попыток взлома(possible hacking attempts) .

Защита домашней сети(Securing Your Home Network)

Вы узнали, как настроить перенаправление портов, но не забывайте о рисках. Каждый открытый вами порт добавляет еще одну дыру за брандмауэром вашего маршрутизатора, которую могут найти и использовать инструменты сканирования портов . (port scanning tools)Если вам нужно открыть порты для определенных приложений или служб, убедитесь, что вы ограничиваете их отдельными портами, а не огромными диапазонами портов, которые могут быть нарушены.

Если вы беспокоитесь о своей домашней сети, вы можете повысить ее безопасность, добавив сторонний брандмауэр(adding a third-party firewall) . Это может быть программный брандмауэр, установленный на вашем ПК или Mac , или круглосуточный аппаратный брандмауэр, такой как Firewalla Gold , подключенный к вашему сетевому маршрутизатору для одновременной защиты всех ваших устройств.



About the author

Я компьютерный техник с более чем 10-летним опытом, в том числе 3 года в качестве 店員. У меня есть опыт работы с устройствами Apple и Android, и я особенно хорошо разбираюсь в ремонте и обновлении компьютеров. Я также люблю смотреть фильмы на своем компьютере и использовать свой iPhone для съемки фотографий и видео.



Related posts