Kas ir portu pāradresācija un kā to iestatīt maršrutētājā

Ja lasāt šo rakstu, apsveicam! Jūs veiksmīgi mijiedarbojaties ar citu serveri internetā, izmantojot portus 80 un 443 — standarta atvērtā tīkla portus tīmekļa trafikam. Ja šie porti mūsu serverī būtu aizvērti, jūs nevarētu izlasīt šo rakstu. Slēgtie porti aizsargā jūsu tīklu (un mūsu serveri) no hakeriem.

Mūsu tīmekļa pieslēgvietas var būt atvērtas, taču jūsu mājas maršrutētāja portiem nevajadzētu būt atvērtiem, jo ​​tas paver caurumu ļaunprātīgiem hakeriem. Tomēr, iespējams, jums būs jāatļauj piekļuve savām ierīcēm, izmantojot internetu, laiku pa laikam izmantojot portu pāradresāciju. Lai palīdzētu jums uzzināt vairāk par portu pārsūtīšanu, jums jāzina tālāk norādītā informācija.

Kas ir ostas pāradresācija?

Portu pārsūtīšana ir process vietējā tīkla maršrutētājos, kas pārsūta savienojuma mēģinājumus no tiešsaistes ierīcēm uz konkrētām ierīcēm vietējā tīklā. Tas notiek, pateicoties tīkla maršrutētāja portu pāradresācijas noteikumiem, kas atbilst savienojuma mēģinājumiem ar pareizo jūsu tīkla ierīces portu un IP adresi.

Vietējam tīklam var būt viena publiska IP adrese, taču katrai ierīcei jūsu iekšējā tīklā ir savs iekšējais IP. Portu pāradresācija saista šos ārējos pieprasījumus no A (publiskā IP un ārējā porta) ar B (pieprasīto portu un ierīces lokālo IP adresi jūsu tīklā). 

Lai izskaidrotu, kāpēc tas varētu būt noderīgi, iedomāsimies, ka jūsu mājas tīkls nedaudz atgādina viduslaiku cietoksni. Lai gan jūs varat skatīties ārpus sienām, citi nevar ielūkoties vai pārkāpt jūsu aizsardzību — jūs esat pasargāts no uzbrukuma. 

Pateicoties integrētajiem tīkla ugunsmūriem, jūsu tīkls atrodas tādā pašā pozīcijā. Varat piekļūt citiem tiešsaistes pakalpojumiem, piemēram, vietnēm vai spēļu serveriem, taču citi interneta lietotāji nevarēs piekļūt jūsu ierīcēm. Paceļamais tilts ir pacelts, jo jūsu ugunsmūris aktīvi bloķē jebkādus mēģinājumus no ārējiem savienojumiem uzlauzt jūsu tīklu.

Tomēr ir dažas situācijas, kad šāds aizsardzības līmenis nav vēlams. Ja vēlaties darbināt serveri savā mājas tīklā ( piemēram, izmantojot Raspberry Pi ), ir nepieciešami ārējie savienojumi. 

Šeit tiek izmantota portu pārsūtīšana, jo jūs varat pārsūtīt šos ārējos pieprasījumus uz noteiktām ierīcēm, neapdraudot savu drošību.

Piemēram, pieņemsim, ka izmantojat vietējo tīmekļa serveri ierīcē ar iekšējo IP adresi 192.168.1.12 , bet jūsu publiskā IP adrese ir 80.80.100.110 . Pateicoties porta pāradresācijas noteikumiem, ārējie pieprasījumi uz 80. portu ( 80.90.100.110:80 ) būtu atļauti, trafiku pāradresējot uz 80. portu pa 192.168.1.12 .

Lai to izdarītu, jums būs jākonfigurē tīkls, lai atļautu portu pāradresāciju, un pēc tam tīkla maršrutētājā izveidojiet atbilstošus portu pāradresācijas noteikumus. Lai atļautu trafiku, iespējams, būs jākonfigurē arī citi tīkla ugunsmūri, tostarp Windows ugunsmūris .

Kāpēc jums vajadzētu izvairīties no UPnP (automātiskās portu pārsūtīšanas)

Portu pāradresācijas iestatīšana vietējā tīklā pieredzējušiem lietotājiem nav grūta, taču iesācējiem tas var radīt visa veida grūtības. Lai palīdzētu novērst šo problēmu, tīkla ierīču ražotāji izveidoja automatizētu sistēmu portu pārsūtīšanai, ko sauc par UPnP (vai universālo Plug and Play ).

UPnP ideja bija (un ir) ļaut interneta lietotnēm un ierīcēm automātiski izveidot portu pāradresācijas noteikumus jūsu maršrutētājā, lai atļautu ārēju trafiku. Piemēram, UPnP var automātiski atvērt portus un pārsūtīt trafiku ierīcei, kurā darbojas spēļu serveris, bez nepieciešamības manuāli konfigurēt piekļuvi maršrutētāja iestatījumos.

Koncepcija ir izcila, taču diemžēl izpildījums ir kļūdains, ja ne īpaši bīstams. UPnP ir ļaunprogrammatūras sapnis, jo tas automātiski pieņem, ka visas jūsu tīklā esošās lietotnes vai pakalpojumi ir droši. UPnP uzlaušanas vietne atklāj nedrošības gadījumu skaitu, kas pat mūsdienās ir viegli iekļauti tīkla maršrutētājos .

No drošības viedokļa vislabāk ir kļūdīties piesardzīgi. Tā vietā, lai riskētu ar tīkla drošību, izvairieties izmantot UPnP automātiskai portu pārsūtīšanai (un, ja iespējams, pilnībā atspējojiet to). Tā vietā izveidojiet manuālas portu pārsūtīšanas kārtulas tikai tām lietotnēm un pakalpojumiem, kurām uzticaties un kurām nav zināmu ievainojamību.

Kā iestatīt portu pārsūtīšanu tīklā

Ja izvairāties no UPnP un vēlaties manuāli iestatīt portu pāradresāciju, parasti varat to izdarīt maršrutētāja tīmekļa administrēšanas lapā. Ja neesat pārliecināts, kā tam piekļūt, informāciju parasti varat atrast maršrutētāja apakšā vai iekļaut maršrutētāja dokumentācijas rokasgrāmatā.

Varat izveidot savienojumu ar maršrutētāja administratora lapu, izmantojot maršrutētāja noklusējuma vārtejas adresi. Parasti tas ir 192.168.0.1 vai līdzīgs variants — ierakstiet šo adresi tīmekļa pārlūkprogrammas adreses joslā. Jums būs jāveic arī autentifikācija, izmantojot maršrutētāja komplektācijā iekļauto lietotājvārdu un paroli (piemēram, admin ).

Statisko IP adrešu konfigurēšana, izmantojot DHCP rezervāciju

Lielākā daļa vietējo tīklu izmanto dinamisko IP piešķiršanu, lai piešķirtu pagaidu IP adreses ierīcēm, kas savienojas. Pēc noteikta laika IP adrese tiek atjaunota. Šīs pagaidu IP adreses var tikt pārstrādātas un izmantotas citur, un jūsu ierīcei var būt piešķirta cita vietējā IP adrese.

Tomēr portu pāradresācijai ir nepieciešams, lai vietējām ierīcēm izmantotā IP adrese paliktu nemainīga. Statisku IP adresi var piešķirt manuāli, taču lielākā daļa tīkla maršrutētāju ļauj maršrutētāja iestatījumu lapā piešķirt statisku IP adreses piešķiršanu noteiktām ierīcēm, izmantojot DHCP rezervāciju.

Diemžēl katrs maršrutētāja ražotājs ir atšķirīgs, un tālāk redzamajos ekrānuzņēmumos redzamās darbības (veiktas, izmantojot TP-Link maršrutētāju), var neatbilst jūsu maršrutētājam. Šādā gadījumā jums, iespējams, būs jāizskata maršrutētāja dokumentācija, lai iegūtu papildu atbalstu.

Lai sāktu, piekļūstiet tīkla maršrutētāja tīmekļa administrēšanas lapai, izmantojot tīmekļa pārlūkprogrammu, un autentificējieties, izmantojot maršrutētāja administratora lietotājvārdu un paroli. Kad esat pierakstījies, piekļūstiet maršrutētāja DHCP iestatījumu apgabalam.

Iespējams, varēsiet meklēt jau pievienotās vietējās ierīces (lai automātiski aizpildītu nepieciešamo piešķiršanas kārtulu), vai arī jums, iespējams, būs jānorāda konkrēta MAC adrese ierīcei, kurai vēlaties piešķirt statisku IP. Izveidojiet kārtulu, izmantojot pareizo MAC adresi un IP adresi, kuru vēlaties izmantot, pēc tam saglabājiet ierakstu.

Jauna porta pārsūtīšanas kārtula izveide

Ja jūsu ierīcei ir statisks IP (iestatīts manuāli vai rezervēts jūsu DHCP piešķiršanas iestatījumos), varat pārvietoties, lai izveidotu porta pāradresācijas kārtulu. Noteikumi šim nolūkam var atšķirties. Piemēram, daži TP-Link maršrutētāji šo funkciju dēvē par virtuālajiem serveriem , savukārt Cisco maršrutētāji to apzīmē ar standarta nosaukumu ( Port Forwarding ).

Maršrutētāja tīmekļa administrēšanas lapas pareizajā izvēlnē izveidojiet jaunu porta pāradresācijas kārtulu. Noteikumam būs nepieciešams ārējais ports (vai portu diapazons), ar kuru vēlaties izveidot savienojumu ar ārējiem lietotājiem. Šis ports ir saistīts ar jūsu publisko IP adresi (piemēram , 80. ports publiskajam IP 80.80.30.10 ).

Jums būs arī jānosaka iekšējais ports, uz kuru vēlaties pārsūtīt trafiku no ārējā porta. Tas varētu būt tas pats ports vai alternatīvs ports (lai paslēptu satiksmes mērķi). Jums būs arī jānorāda vietējās ierīces statiskā IP adrese (piemēram , 192.168.0.10 ) un izmantotais porta protokols (piemēram, TCP vai UDP).

Atkarībā no maršrutētāja, iespējams, varēsit izvēlēties pakalpojuma veidu, lai automātiski aizpildītu nepieciešamos kārtulas datus (piemēram , HTTP 80. portam vai HTTPS 443. portam). Kad kārtula ir konfigurēta, saglabājiet to, lai piemērotu izmaiņas.

Papildu soļi

Tīkla maršrutētājam automātiski jāpiemēro ugunsmūra noteikumu izmaiņas. Visi ārējie savienojuma mēģinājumi, kas veikti ar atvērto portu, ir jāpārsūta uz iekšējo ierīci, izmantojot jūsu izveidoto kārtulu, lai gan jums, iespējams, būs jāizveido papildu kārtulas pakalpojumiem, kas izmanto vairākus portus vai portu diapazonus.

Ja rodas problēmas, iespējams, jāapsver papildu ugunsmūra noteikumu pievienošana datora vai Mac programmatūras ugunsmūrim (tostarp Windows ugunsmūrim), lai nodrošinātu trafika caurlaidību. Piemēram, Windows ugunsmūris parasti nepieļauj ārējos savienojumus, tāpēc, iespējams, tas būs jākonfigurē Windows iestatījumu izvēlnē.

Ja Windows ugunsmūris rada grūtības, varat to īslaicīgi atspējot, lai veiktu izmeklēšanu. Tomēr drošības risku dēļ mēs iesakām pēc problēmas novēršanas atkārtoti iespējot Windows ugunsmūri, jo tas nodrošina papildu aizsardzību pret iespējamiem uzlaušanas mēģinājumiem .

Mājas tīkla nodrošināšana

Jūs esat iemācījies iestatīt portu pāradresāciju, taču neaizmirstiet par risku. Katrs atvērtais ports pievieno vēl vienu caurumu aiz maršrutētāja ugunsmūra, ko portu skenēšanas rīki var atrast un ļaunprātīgi izmantot. Ja jums ir jāatver porti noteiktām lietotnēm vai pakalpojumiem, noteikti ierobežojiet tos ar atsevišķiem portiem, nevis milzīgu portu diapazonu, kas var tikt pārkāpts.

Ja uztraucaties par savu mājas tīklu, varat uzlabot tīkla drošību, pievienojot trešās puses ugunsmūri . Tas varētu būt jūsu datorā vai Mac datorā instalēts programmatūras ugunsmūris vai diennakts aparatūras ugunsmūris, piemēram, Firewalla Gold , kas pievienots jūsu tīkla maršrutētājam, lai vienlaikus aizsargātu visas jūsu ierīces.