Kas yra prievadų peradresavimas ir kaip jį nustatyti maršrutizatoriuje

Jei skaitote šį straipsnį, sveikiname! Sėkmingai bendraujate su kitu serveriu internete naudodami 80 ir 443 prievadus – standartinius atvirojo tinklo prievadus žiniatinklio srautui. Jei šie prievadai būtų uždaryti mūsų serveryje, negalėtumėte perskaityti šio straipsnio. Uždaryti prievadai apsaugo jūsų tinklą (ir mūsų serverį) nuo įsilaužėlių.

Mūsų žiniatinklio prievadai gali būti atviri, bet jūsų namų maršrutizatoriaus prievadai neturėtų būti atviri, nes tai atveria skylę kenkėjiškiems įsilaužėliams. Tačiau kartais gali reikėti leisti prieigą prie savo įrenginių internetu naudojant prievado persiuntimą. Norėdami padėti jums sužinoti daugiau apie prievado peradresavimą, štai ką turėsite žinoti.

Kas yra uosto persiuntimas?

Prievado persiuntimas yra vietinio tinklo maršrutizatorių procesas, kuris persiunčia bandymus prisijungti iš internetinių įrenginių į konkrečius vietinio tinklo įrenginius. Taip yra dėl jūsų tinklo maršruto parinktuvo prievadų persiuntimo taisyklių, kurios atitinka bandymus prisijungti prie tinkamo tinklo įrenginio prievado ir IP adreso.

Vietinis tinklas gali turėti vieną viešąjį IP adresą, tačiau kiekvienas jūsų vidinio tinklo įrenginys turi savo vidinį IP adresą. Prievado persiuntimas susieja šias išorines užklausas iš A (viešojo IP ir išorinio prievado) su B (prašomu prievadu ir vietiniu įrenginio IP adresu jūsų tinkle). 

Norėdami paaiškinti, kodėl tai gali būti naudinga, įsivaizduokime, kad jūsų namų tinklas yra šiek tiek panašus į viduramžių tvirtovę. Nors jūs galite žiūrėti už sienų, kiti negali pažvelgti į vidų ar pažeisti jūsų gynybos – esate apsaugoti nuo puolimo. 

Dėl integruotų tinklo ugniasienių jūsų tinklas yra toje pačioje padėtyje. Galite pasiekti kitas internetines paslaugas, pvz., svetaines ar žaidimų serverius, bet kiti interneto vartotojai mainais negali pasiekti jūsų įrenginių. Pakeliamas tiltas pakeltas, nes jūsų užkarda aktyviai blokuoja bet kokius bandymus iš išorinių jungčių pažeisti jūsų tinklą.

Tačiau yra atvejų, kai toks apsaugos lygis yra nepageidautinas. Jei norite paleisti serverį savo namų tinkle ( pvz., naudodami Raspberry Pi ), būtini išoriniai ryšiai. 

Čia atsiranda prievadų persiuntimas, nes galite persiųsti šias išorės užklausas į konkrečius įrenginius nepakenkiant savo saugumui.

Pavyzdžiui, tarkime, kad naudojate vietinį žiniatinklio serverį įrenginyje, kurio vidinis IP adresas yra 192.168.1.12 , o jūsų viešasis IP adresas yra 80.80.100.110 . Išorinės užklausos į 80 prievadą ( 80.90.100.110:80 ) būtų leidžiamos dėl prievado persiuntimo taisyklių, srautas persiunčiamas į 80 prievadą 192.168.1.12 .

Norėdami tai padaryti, turėsite sukonfigūruoti tinklą, kad būtų galima peradresuoti prievadą, tada tinklo maršruto parinktuve sukurti atitinkamas prievado persiuntimo taisykles. Taip pat gali reikėti sukonfigūruoti kitas tinklo ugniasienes, įskaitant „ Windows“ užkardą , kad būtų leidžiamas srautas.

Kodėl turėtumėte vengti UPnP (automatinio prievado persiuntimo)

Nustatyti prievado peradresavimą vietiniame tinkle nėra sunku pažengusiems vartotojams, tačiau pradedantiesiems tai gali sukelti įvairių sunkumų. Siekdami išspręsti šią problemą, tinklo įrenginių gamintojai sukūrė automatizuotą prievadų persiuntimo sistemą, vadinamą UPnP (arba universaliu įjungimu ir paleidimu ).

UPnP idėja buvo (ir yra) leisti internetinėms programoms ir įrenginiams automatiškai sukurti prievado persiuntimo taisykles jūsų maršrutizatoriuje, kad būtų leidžiamas išorinis srautas. Pavyzdžiui, UPnP gali automatiškai atidaryti prievadus ir persiųsti srautą įrenginiui, kuriame veikia žaidimų serveris, nereikės rankiniu būdu konfigūruoti prieigos maršruto parinktuvo nustatymuose.

Idėja yra puiki, bet, deja, vykdymas yra ydingas, jei ne itin pavojingas. UPnP yra kenkėjiškų programų svajonė, nes ji automatiškai daro prielaidą, kad visos jūsų tinkle veikiančios programos ar paslaugos yra saugios. UPnP įsilaužimų svetainė atskleidžia daugybę nesaugių dalykų, kurie net ir šiandien yra lengvai įtraukiami į tinklo maršrutizatorius .

Saugumo požiūriu geriausia būti atsargiems. Užuot rizikuodami tinklo saugumu, nenaudokite UPnP automatiniam prievadų persiuntimui (ir, jei įmanoma, visiškai jį išjunkite). Vietoj to turėtumėte sukurti tik rankinio prievado persiuntimo taisykles programoms ir paslaugoms, kuriomis pasitikite ir kurios neturi žinomų pažeidžiamumų.

Kaip tinkle nustatyti prievado persiuntimą

Jei vengiate UPnP ir norite rankiniu būdu nustatyti prievado persiuntimą, paprastai tai galite padaryti maršruto parinktuvo žiniatinklio administravimo puslapyje. Jei nesate tikri, kaip tai pasiekti, informaciją paprastai galite rasti maršruto parinktuvo apačioje arba įtrauktą į maršruto parinktuvo dokumentacijos vadovą.

Galite prisijungti prie maršrutizatoriaus administratoriaus puslapio naudodami numatytąjį maršruto parinktuvo šliuzo adresą. Paprastai tai yra 192.168.0.1 arba panašus variantas – įveskite šį adresą žiniatinklio naršyklės adreso juostoje. Taip pat turėsite autentifikuoti naudodami vartotojo vardą ir slaptažodį, pateiktus kartu su maršruto parinktuvu (pvz ., admin ).

Statinių IP adresų konfigūravimas naudojant DHCP rezervavimą

Dauguma vietinių tinklų naudoja dinaminį IP paskirstymą, kad priskirtų laikinus IP adresus jungiantiems įrenginiams. Po tam tikro laiko IP adresas atnaujinamas. Šie laikinieji IP adresai gali būti perdirbami ir naudojami kitur, o jūsų įrenginiui gali būti priskirtas kitas vietinis IP adresas.

Tačiau prievado persiuntimui reikalingas, kad vietiniams įrenginiams naudojamas IP adresas liktų toks pat. Galite priskirti statinį IP adresą rankiniu būdu, tačiau dauguma tinklo maršrutizatorių leidžia priskirti statinį IP adreso paskirstymą tam tikriems įrenginiams maršrutizatoriaus nustatymų puslapyje naudojant DHCP rezervavimą.

Deja, kiekvienas maršrutizatoriaus gamintojas yra skirtingas, o toliau pateiktose ekrano kopijose parodyti veiksmai (atlikti naudojant TP-Link maršrutizatorių) gali neatitikti jūsų maršrutizatoriaus. Jei taip, gali tekti peržiūrėti maršrutizatoriaus dokumentus, kad gautumėte daugiau pagalbos.

Norėdami pradėti, eikite į tinklo maršrutizatoriaus žiniatinklio administravimo puslapį naudodami žiniatinklio naršyklę ir autentifikuokite naudodami maršrutizatoriaus administratoriaus vartotojo vardą ir slaptažodį. Prisijungę pasiekite maršrutizatoriaus DHCP nustatymų sritį.

Galbūt galėsite nuskaityti jau prijungtus vietinius įrenginius (kad automatiškai užpildytumėte reikiamą paskirstymo taisyklę) arba gali reikėti pateikti konkretų įrenginio, kuriam norite priskirti statinį IP, MAC adresą . Sukurkite taisyklę naudodami teisingą MAC adresą ir IP adresą, kurį norite naudoti, tada išsaugokite įrašą.

Naujos prievado persiuntimo taisyklės kūrimas

Jei jūsų įrenginyje yra statinis IP (nustatytas rankiniu būdu arba rezervuotas DHCP paskirstymo nustatymuose), galite pereiti ir sukurti prievado persiuntimo taisyklę. Šios sąlygos gali skirtis. Pavyzdžiui, kai kurie TP-Link maršrutizatoriai šią funkciją vadina virtualiais serveriais , o Cisco maršrutizatoriai vadina ją standartiniu pavadinimu ( Port Forwarding ).

Tinkamame maršrutizatoriaus žiniatinklio administravimo puslapio meniu sukurkite naują prievado persiuntimo taisyklę. Taisyklei reikės išorinio prievado (arba prievadų diapazono), prie kurio norite prisijungti išoriniams vartotojams. Šis prievadas susietas su jūsų viešuoju IP adresu (pvz ., 80 prievadas viešajam IP 80.80.30.10 ).

Taip pat turėsite nustatyti vidinį prievadą, į kurį norite persiųsti srautą iš išorinio prievado. Tai gali būti tas pats prievadas arba alternatyvus prievadas (kad būtų paslėptas srauto tikslas). Taip pat turėsite pateikti statinį vietinio įrenginio IP adresą (pvz ., 192.168.0.10 ) ir naudojamą prievado protokolą (pvz., TCP arba UDP).

Priklausomai nuo maršruto parinktuvo, galite pasirinkti paslaugos tipą, kad automatiškai užpildytumėte reikiamus taisyklės duomenis (pvz ., HTTP 80 prievadui arba HTTPS 443 prievadui). Sukonfigūravę taisyklę išsaugokite ją, kad pritaikytumėte pakeitimą.

Papildomi žingsniai

Jūsų tinklo maršruto parinktuvas turėtų automatiškai pritaikyti ugniasienės taisyklių pakeitimus. Visi išoriniai bandymai prisijungti prie atidaryto prievado turėtų būti persiųsti į vidinį įrenginį naudojant jūsų sukurtą taisyklę, nors gali reikėti sukurti papildomų taisyklių paslaugoms, kurios naudoja kelis prievadus arba prievadų diapazonus.

Jei kyla problemų, taip pat gali tekti pridėti papildomų ugniasienės taisyklių prie kompiuterio arba „Mac“ programinės įrangos ugniasienės (įskaitant „Windows“ užkardą), kad srautas būtų perduotas. Pavyzdžiui, „Windows“ užkarda paprastai neleis išorinių ryšių, todėl gali tekti tai konfigūruoti „Windows“ nustatymų meniu.

Jei dėl Windows ugniasienės kyla sunkumų, galite laikinai ją išjungti ir ištirti. Tačiau dėl saugumo rizikos rekomenduojame iš naujo įgalinti Windows ugniasienę, kai pašalinsite triktį, nes ji suteikia papildomos apsaugos nuo galimų bandymų įsilaužti .

Namų tinklo apsauga

Sužinojote, kaip nustatyti prievado peradresavimą, tačiau nepamirškite rizikos. Kiekvienas atidarytas prievadas prideda dar vieną skylę už maršruto parinktuvo ugniasienės, kurią prievadų nuskaitymo įrankiai gali rasti ir piktnaudžiauti. Jei reikia atidaryti tam tikrų programų ar paslaugų prievadus, įsitikinkite, kad juos apribojate atskirais prievadais, o ne dideliais prievadų diapazonais, kurie gali būti pažeisti.

Jei nerimaujate dėl savo namų tinklo, galite padidinti tinklo saugumą pridėdami trečiosios šalies užkardą . Tai gali būti jūsų asmeniniame arba „Mac“ kompiuteryje įdiegta programinės įrangos užkarda arba visą parą veikianti aparatinės įrangos ugniasienė, pvz., „ Firewalla Gold “, prijungta prie tinklo maršruto parinktuvo, kad vienu metu apsaugotų visus įrenginius.