Mi az a porttovábbítás, és hogyan kell beállítani az útválasztón

Ha olvassa ezt a cikket, gratulálunk! Sikeresen kommunikál egy másik szerverrel az interneten a 80-as és 443-as portok használatával, amelyek a szabványos nyílt hálózati portok a webes forgalom számára. Ha ezek a portok zárva lennének a szerverünkön, akkor nem tudná elolvasni ezt a cikket. A zárt portok biztonságban tartják hálózatát (és szerverünket) a hackerektől.

Lehet, hogy a webportjaink nyitva vannak, de az otthoni útválasztó portjainak nem szabad, mert ez lyukat nyit a rosszindulatú hackerek előtt. Előfordulhat azonban, hogy időről időre engedélyeznie kell az eszközökhöz való hozzáférést az interneten keresztül a porttovábbítás használatával. Ha többet szeretne megtudni a porttovábbításról, a következőket kell tudnia.

Mi az a porttovábbítás?

A porttovábbítás egy folyamat a helyi hálózati útválasztókon, amely a csatlakozási kísérleteket online eszközökről a helyi hálózaton lévő meghatározott eszközökre továbbítja. Ez a hálózati útválasztó porttovábbítási szabályainak köszönhető, amelyek megfelelnek a hálózaton lévő eszköz megfelelő portjához és IP-címéhez történő csatlakozási kísérleteknek.

Egy helyi hálózatnak lehet egyetlen nyilvános IP-címe, de a belső hálózat minden eszközének saját belső IP-címe van. A porttovábbítás ezeket a külső kéréseket A-tól (nyilvános IP és külső port) B-hez (a hálózaton lévő eszköz kért portjához és helyi IP-címéhez) kapcsolja. 

Hogy megmagyarázzuk, miért lehet ez hasznos, képzeljük el, hogy az otthoni hálózat egy kicsit olyan, mint egy középkori erőd. Míg te kinézhetsz a falakon túlra, mások nem nézhetnek be, és nem törhetik meg a védelmet – Ön biztonságban van a támadásokkal szemben. 

Az integrált hálózati tűzfalaknak köszönhetően hálózata ugyanabban a helyzetben van. Hozzáférhet más online szolgáltatásokhoz, például webhelyekhez vagy játékszerverekhez, de más internetfelhasználók cserébe nem férhetnek hozzá az Ön eszközeihez. A felvonóhíd megemelkedett, mivel a tűzfala aktívan blokkol minden külső kapcsolati kísérletet a hálózat feltörésére.

Vannak azonban olyan helyzetek, amikor az ilyen szintű védelem nem kívánatos. Ha egy szervert szeretne futtatni az otthoni hálózatán ( például Raspberry Pi használatával ), külső kapcsolatokra van szükség. 

Itt jön a képbe a porttovábbítás, mivel ezeket a külső kéréseket a biztonság veszélyeztetése nélkül továbbíthatja meghatározott eszközökre.

Tegyük fel például, hogy egy helyi webszervert futtat egy 192.168.1.12 belső IP-című eszközön , míg a nyilvános IP-címe 80.80.100.110 . A 80 -as portra ( 80.90.100.110:80 ) érkező külső kérések a porttovábbítási szabályoknak köszönhetően megengedettek, a forgalom a 80-as portra továbbítva a 192.168.1.12 -es címen .

Ehhez konfigurálnia kell a hálózatot, hogy engedélyezze a porttovábbítást, majd létre kell hoznia a megfelelő porttovábbítási szabályokat a hálózati útválasztóban. Előfordulhat , hogy a forgalom engedélyezéséhez más tűzfalakat is be kell állítania a hálózaton, beleértve a Windows tűzfalat is.

Miért érdemes elkerülni az UPnP-t (automatikus porttovábbítás)

A porttovábbítás beállítása a helyi hálózaton nem nehéz a haladó felhasználók számára, de mindenféle nehézséget okozhat a kezdőknek. A probléma megoldása érdekében a hálózati eszközök gyártói létrehoztak egy UPnP (vagy Universal Plug and Play ) nevű automatizált porttovábbítási rendszert .

Az UPnP alapötlete az volt (és az is), hogy az internetalapú alkalmazások és eszközök automatikusan porttovábbítási szabályokat hozzanak létre az útválasztón a külső forgalom engedélyezése érdekében. Például az UPnP automatikusan megnyithat portokat és továbbíthatja a forgalmat egy játékszervert futtató eszköz számára anélkül, hogy manuálisan kellene konfigurálnia a hozzáférést az útválasztó beállításaiban.

Az ötlet zseniális, de sajnos a kivitelezés hibás – ha nem is rendkívül veszélyes. Az UPnP a rosszindulatú programok álma, mivel automatikusan feltételezi, hogy a hálózaton futó alkalmazások vagy szolgáltatások biztonságosak. Az UPnP hackek webhelye felfedi, hogy hány bizonytalanság van, amelyek még ma is könnyen megtalálhatók a hálózati útválasztókban.

Biztonsági szempontból a legjobb, ha az óvatosság mellett döntünk. A hálózat biztonságának kockáztatása helyett kerülje az UPnP használatát az automatikus porttovábbításhoz (és ahol lehetséges, teljesen tiltsa le). Ehelyett csak olyan alkalmazásokhoz és szolgáltatásokhoz hozzon létre kézi porttovábbítási szabályokat, amelyekben megbízik, és amelyekben nincs ismert sebezhetőség.

A porttovábbítás beállítása a hálózaton

Ha kerüli az UPnP-t, és manuálisan szeretné beállítani a porttovábbítást, általában megteheti ezt az útválasztó webes adminisztrációs oldalán. Ha nem biztos abban, hogyan férhet hozzá, általában megtalálja az információkat az útválasztó alján, vagy az útválasztó dokumentációs kézikönyvében.

Az útválasztó adminisztrátori oldalához az útválasztó alapértelmezett átjárócímével csatlakozhat. Ez általában 192.168.0.1 vagy hasonló változat – írja be ezt a címet a böngésző címsorába. A routerhez kapott felhasználónévvel és jelszóval is hitelesíteni kell (pl . admin ).

Statikus IP-címek konfigurálása DHCP-foglalással

A legtöbb helyi hálózat dinamikus IP-kiosztást használ az ideiglenes IP-címek hozzárendelésére a csatlakozó eszközökhöz. Egy bizonyos idő elteltével az IP-cím megújul. Ezek az ideiglenes IP-címek újrahasznosíthatók és máshol felhasználhatók, és előfordulhat, hogy a készülékhez más helyi IP-cím van hozzárendelve.

A porttovábbításhoz azonban megköveteli, hogy a helyi eszközökhöz használt IP-cím ugyanaz maradjon. A statikus IP-címeket manuálisan is hozzárendelheti, de a legtöbb hálózati útválasztó lehetővé teszi, hogy statikus IP-címet rendeljen bizonyos eszközökhöz az útválasztó beállítási oldalán DHCP-foglalás használatával.

Sajnos az egyes routergyártók eltérőek, és előfordulhat, hogy az alábbi képernyőképeken látható lépések (TP-Link routerrel készültek) nem egyeznek az Ön útválasztójával. Ebben az esetben további támogatásért át kell tekintenie az útválasztó dokumentációját.

Kezdésként nyissa meg a hálózati útválasztó webes adminisztrációs oldalát webböngészőjével, és hitelesítse magát az útválasztó rendszergazdai felhasználónevével és jelszavával. Miután bejelentkezett, nyissa meg az útválasztó DHCP-beállítási területét.

Előfordulhat, hogy megkeresheti a már csatlakoztatott helyi eszközöket (a szükséges kiosztási szabály automatikus kitöltéséhez), vagy meg kell adnia annak az eszköznek a MAC-címét , amelyhez statikus IP-címet szeretne rendelni. Hozza létre a szabályt a helyes MAC-cím és a használni kívánt IP-cím használatával, majd mentse el a bejegyzést.

Új porttovábbítási szabály létrehozása

Ha eszközének statikus IP-címe van (manuálisan beállítva vagy lefoglalva a DHCP-kiosztási beállításokban), akkor lépjen tovább a porttovábbítási szabály létrehozásához. Ennek feltételei változhatnak. Például egyes TP-Link útválasztók ezt a funkciót virtuális szervereknek nevezik, míg a Cisco routerek szabványos néven ( Port Forwarding ) hivatkoznak rá.

Az útválasztó webes adminisztrációs oldalán a megfelelő menüben hozzon létre egy új porttovábbítási szabályt. A szabály megköveteli azt a külső portot (vagy porttartományt), amelyhez külső felhasználókat szeretne csatlakozni. Ez a port az Ön nyilvános IP-címéhez kapcsolódik (pl . 80 -as port a nyilvános IP 80.80.30.10 esetén ).

Azt is meg kell határoznia, hogy melyik belső portra szeretné továbbítani a forgalmat a külső portról. Ez lehet ugyanaz a port vagy egy alternatív port (a forgalom céljának elrejtésére). Ezenkívül meg kell adnia a helyi eszköz statikus IP-címét (pl . 192.168.0.10 ) és a használt port protokollt (pl. TCP vagy UDP).

Az útválasztótól függően előfordulhat, hogy kiválaszthat egy szolgáltatástípust a szükséges szabályadatok automatikus kitöltéséhez (pl . HTTP a 80-as porthoz vagy HTTPS a 443-as porthoz). A szabály konfigurálása után mentse el a módosítás alkalmazásához.

További lépések

A hálózati útválasztónak automatikusan alkalmaznia kell a módosítást a tűzfalszabályokra. A megnyitott portra irányuló minden külső kapcsolódási kísérletet a belső eszközre kell továbbítani a létrehozott szabály segítségével, bár előfordulhat, hogy több portot vagy porttartományt használó szolgáltatásokhoz további szabályokat kell létrehoznia.

Ha gondjai vannak, fontolóra kell vennie további tűzfalszabályok hozzáadását a PC vagy Mac szoftveres tűzfalához (beleértve a Windows tűzfalat is), hogy átengedje a forgalmat. A Windows tűzfal általában nem engedélyezi például a külső kapcsolatokat, ezért előfordulhat, hogy ezt a Windows Beállítások menüjében kell konfigurálnia.

Ha a Windows tűzfal nehézséget okoz, ideiglenesen letilthatja a kivizsgálás érdekében. A biztonsági kockázatok miatt azonban azt javasoljuk, hogy a probléma elhárítása után engedélyezze újra a Windows tűzfalat, mivel az további védelmet nyújt az esetleges feltörési kísérletekkel szemben .

Otthoni hálózatának védelme

Megtanulta, hogyan kell beállítani a porttovábbítást, de ne felejtse el a kockázatokat. Minden megnyitott port újabb lyukat hoz létre az útválasztó tűzfala mellett, amelyet a portellenőrző eszközök megtalálhatnak és visszaélhetnek. Ha portokat kell megnyitnia bizonyos alkalmazásokhoz vagy szolgáltatásokhoz, győződjön meg róla, hogy azokat az egyes portokra korlátozza, nem pedig a hatalmas porttartományokra, amelyek megsérülhetnek.

Ha aggódik otthoni hálózata miatt, harmadik féltől származó tűzfal hozzáadásával fokozhatja a hálózat biztonságát . Ez lehet a PC-re vagy Mac-re telepített szoftveres tűzfal, vagy a hét minden napján éjjel-nappal elérhető hardveres tűzfal, például a Firewalla Gold , amely a hálózati útválasztóhoz csatlakozik, hogy egyszerre védje meg az összes eszközt.