Što je Port Forwarding i kako ga postaviti na vašem usmjerivaču

Ako čitate ovaj članak, čestitamo! Uspješno komunicirate s drugim poslužiteljem na internetu koristeći priključke 80 i 443, standardne otvorene mrežne priključke za web promet. Da su ti priključci zatvoreni na našem poslužitelju, ne biste mogli čitati ovaj članak. Zatvoreni portovi štite vašu mrežu (i naš poslužitelj) od hakera.

Naši web priključci mogu biti otvoreni, ali priključci vašeg kućnog usmjerivača ne bi trebali biti, jer to otvara rupu za zlonamjerne hakere. Međutim, možda ćete s vremena na vrijeme morati dopustiti pristup svojim uređajima putem interneta pomoću prosljeđivanja priključka. Da bismo vam pomogli da saznate više o prosljeđivanju priključka, evo što trebate znati.

Što je Port Forwarding?

Prosljeđivanje priključka je proces na usmjerivačima lokalne mreže koji prosljeđuje pokušaje povezivanja s mrežnih uređaja na određene uređaje na lokalnoj mreži. To je zahvaljujući pravilima prosljeđivanja priključka na vašem mrežnom usmjerivaču koja odgovaraju pokušajima povezivanja s točnim priključkom i IP adresom uređaja na vašoj mreži.

Lokalna mreža može imati jednu javnu IP adresu, ali svaki uređaj na vašoj internoj mreži ima svoju internu IP adresu. Prosljeđivanje priključka povezuje te vanjske zahtjeve od A (javni IP i vanjski priključak) do B (zatraženi priključak i lokalna IP adresa uređaja na vašoj mreži). 

Da bismo objasnili zašto bi ovo moglo biti korisno, zamislimo da je vaša kućna mreža pomalo nalik srednjovjekovnoj tvrđavi. Dok možete gledati izvan zidova, drugi ne mogu gledati ili probiti vašu obranu—sigurni ste od napada. 

Zahvaljujući integriranim mrežnim vatrozidima, vaša mreža je u istom položaju. Možete pristupiti drugim mrežnim uslugama, kao što su web stranice ili poslužitelji igara, ali drugi korisnici interneta ne mogu zauzvrat pristupiti vašim uređajima. Pokretni most je podignut jer vaš vatrozid aktivno blokira sve pokušaje vanjskih veza da probiju vašu mrežu.

Međutim, postoje situacije u kojima je ova razina zaštite nepoželjna. Ako želite pokrenuti poslužitelj na svojoj kućnoj mreži ( na primjer, koristeći Raspberry Pi ), potrebne su vanjske veze. 

Ovdje dolazi prosljeđivanje porta, jer možete proslijediti ove vanjske zahtjeve određenim uređajima bez ugrožavanja vaše sigurnosti.

Na primjer, pretpostavimo da pokrećete lokalni web poslužitelj na uređaju s internom IP adresom 192.168.1.12 , dok je vaša javna IP adresa 80.80.100.110 . Vanjski zahtjevi prema portu 80 ( 80.90.100.110:80 ) bili bi dopušteni, zahvaljujući pravilima za prosljeđivanje porta, s prometom proslijeđenim na port 80 na 192.168.1.12 .

Da biste to učinili, morat ćete konfigurirati svoju mrežu da omogući prosljeđivanje porta, a zatim stvoriti odgovarajuća pravila za prosljeđivanje porta u mrežnom usmjerivaču. Možda ćete morati konfigurirati i druge vatrozide na vašoj mreži, uključujući vatrozid za Windows , kako biste omogućili promet.

Zašto biste trebali izbjegavati UPnP (automatsko prosljeđivanje porta)

Postavljanje prosljeđivanja porta na vašoj lokalnoj mreži nije teško za napredne korisnike, ali može stvoriti sve vrste poteškoća za početnike. Kako bi pomogli u prevladavanju ovog problema, proizvođači mrežnih uređaja stvorili su automatizirani sustav za prosljeđivanje priključaka nazvan UPnP (ili Universal Plug and Play ).

Ideja koja stoji iza UPnP-a bila je (i jest) omogućiti internetskim aplikacijama i uređajima da automatski kreiraju pravila za prosljeđivanje porta na vašem usmjerivaču kako bi omogućili vanjski promet. Na primjer, UPnP može automatski otvoriti portove i proslijediti promet za uređaj koji pokreće poslužitelj igre bez potrebe za ručnim konfiguriranjem pristupa u postavkama usmjerivača.

Koncept je briljantan, ali nažalost, izvedba je manjkava - ako ne i iznimno opasna. UPnP je san zlonamjernog softvera jer automatski pretpostavlja da su sve aplikacije ili usluge koje se izvode na vašoj mreži sigurne. UPnP hacks web stranica otkriva niz nesigurnosti koje su, čak i danas, spremno uključene u mrežne usmjerivače .

Sa sigurnosne točke gledišta, najbolje je biti oprezan. Umjesto da riskirate svoju mrežnu sigurnost, izbjegavajte korištenje UPnP-a za automatsko prosljeđivanje priključaka (i, gdje je moguće, potpuno ga onemogućite). Umjesto toga, trebali biste kreirati pravila ručnog prosljeđivanja porta samo za aplikacije i usluge kojima vjerujete i koje nemaju poznate ranjivosti.

Kako postaviti prosljeđivanje porta na vašoj mreži

Ako izbjegavate UPnP i želite ručno postaviti prosljeđivanje porta, obično to možete učiniti na stranici za web administraciju vašeg usmjerivača. Ako niste sigurni kako tome pristupiti, informacije obično možete pronaći na dnu vašeg usmjerivača ili uključene u priručnik za dokumentaciju vašeg usmjerivača.

Možete se povezati s administratorskom stranicom vašeg usmjerivača koristeći zadanu adresu pristupnika za svoj usmjerivač. To je obično 192.168.0.1 ili slična varijacija—upišite ovu adresu u adresnu traku web preglednika. Također ćete se morati autentificirati pomoću korisničkog imena i lozinke koje ste dobili s usmjerivačem (npr . admin ).

Konfiguriranje statičkih IP adresa korištenjem DHCP rezervacije

Većina lokalnih mreža koristi dinamičku IP dodjelu za dodjelu privremenih IP adresa uređajima koji se povezuju. Nakon određenog vremena IP adresa se obnavlja. Ove privremene IP adrese mogu se reciklirati i koristiti negdje drugdje, a vašem uređaju može biti dodijeljena druga lokalna IP adresa.

Međutim, prosljeđivanje priključka zahtijeva da IP adresa koja se koristi za sve lokalne uređaje ostane ista. Možete dodijeliti statičku IP adresu ručno, ali većina mrežnih usmjerivača omogućuje dodjeljivanje statičke IP adrese određenim uređajima na stranici postavki vašeg usmjerivača pomoću DHCP rezervacije.

Nažalost, svaki proizvođač usmjerivača je drugačiji, a koraci prikazani na snimkama zaslona u nastavku (napravljeni pomoću TP-Link usmjerivača) možda neće odgovarati vašem usmjerivaču. Ako je to slučaj, možda ćete morati pregledati dokumentaciju svog usmjerivača za dodatnu podršku.

Za početak, pristupite stranici web administracije vašeg mrežnog usmjerivača koristeći svoj web preglednik i provjerite autentičnost pomoću korisničkog imena i lozinke administratora usmjerivača. Nakon što se prijavite, pristupite području DHCP postavki vašeg usmjerivača.

Možda ćete moći skenirati lokalne uređaje koji su već povezani (kako biste automatski ispunili potrebno pravilo dodjele) ili ćete možda trebati dati određenu MAC adresu za uređaj kojem želite dodijeliti statičku IP adresu. Stvorite pravilo koristeći točnu MAC adresu i IP adresu koju želite koristiti, a zatim spremite unos.

Stvaranje novog pravila za prosljeđivanje priključka

Ako vaš uređaj ima statičku IP (postavljenu ručno ili rezerviranu u postavkama dodjele DHCP-a), možete prijeći na stvaranje pravila za prosljeđivanje priključka. Uvjeti za to mogu varirati. Na primjer, neki TP-Link usmjerivači ovu značajku nazivaju Virtualni poslužitelji , dok je Cisco usmjerivači nazivaju standardnim nazivom ( Prosljeđivanje porta ).

U ispravnom izborniku na stranici web administracije vašeg usmjerivača stvorite novo pravilo za prosljeđivanje porta. Pravilo će zahtijevati vanjski priključak (ili raspon priključaka) na koji želite da se vanjski korisnici povežu. Ovaj port je povezan s vašom javnom IP adresom (npr. port 80 za javni IP 80.80.30.10 ).

Također ćete morati odrediti unutarnji priključak na koji želite proslijediti promet s vanjskog priključka. To može biti ista luka ili alternativna luka (kako bi se sakrila svrha prometa). Također ćete morati dati statičku IP adresu za svoj lokalni uređaj (npr . 192.168.0.10 ) i port protokol koji se koristi (npr. TCP ili UDP).

Ovisno o vašem usmjerivaču, možda ćete moći odabrati vrstu usluge za automatsko ispunjavanje potrebnih podataka pravila (npr . HTTP za priključak 80 ili HTTPS za priključak 443). Nakon što ste konfigurirali pravilo, spremite ga da primijenite promjenu.

Dodatni koraci

Vaš mrežni usmjerivač trebao bi automatski primijeniti promjenu pravila vašeg vatrozida. Svi pokušaji vanjskog povezivanja s otvorenim priključkom trebali bi se proslijediti internom uređaju pomoću pravila koje ste stvorili, iako ćete možda morati stvoriti dodatna pravila za usluge koje koriste nekoliko priključaka ili raspona priključaka.

Ako imate problema, možda biste također trebali razmisliti o dodavanju dodatnih pravila vatrozida softverskom vatrozidu vašeg osobnog računala ili Maca (uključujući Windows vatrozid) kako biste omogućili promet. Vatrozid za Windows obično ne dopušta, na primjer, vanjske veze, pa ćete to možda morati konfigurirati u izborniku postavki sustava Windows.

Ako vam Vatrozid za Windows stvara poteškoće, možete ga privremeno onemogućiti da istražite. Međutim, zbog sigurnosnih rizika, preporučujemo da ponovno omogućite vatrozid za Windows nakon što riješite problem jer pruža dodatnu zaštitu od mogućih pokušaja hakiranja .

Zaštita vaše kućne mreže

Naučili ste kako postaviti prosljeđivanje porta, ali ne zaboravite rizike. Svaki port koji otvorite dodaje još jednu rupu iza vatrozida vašeg usmjerivača koju alati za skeniranje portova mogu pronaći i zloupotrijebiti. Ako trebate otvoriti priključke za određene aplikacije ili usluge, svakako ih ograničite na pojedinačne priključke, a ne na ogromne raspone priključaka koji bi mogli biti probijeni.

Ako ste zabrinuti za svoju kućnu mrežu, možete poboljšati mrežnu sigurnost dodavanjem vatrozida treće strane . To može biti softverski vatrozid instaliran na vašem računalu ili Macu ili hardverski vatrozid koji radi 24/7 kao što je Firewalla Gold , spojen na vaš mrežni usmjerivač kako bi zaštitio sve vaše uređaje odjednom.