Kaj je posredovanje vrat in kako ga nastaviti na usmerjevalniku

Če berete ta članek, čestitamo! Uspešno komunicirate z drugim strežnikom v internetu z uporabo vrat 80 in 443, standardnih odprtih omrežnih vrat za spletni promet. Če bi bila ta vrata na našem strežniku zaprta, tega članka ne bi mogli prebrati. Zaprta vrata varujejo vaše omrežje (in naš strežnik) pred hekerji.

Naša spletna vrata so morda odprta, vendar vrata vašega domačega usmerjevalnika ne bi smela biti, saj to odpira luknjo za zlonamerne hekerje. Vendar boste morda morali občasno dovoliti dostop do svojih naprav prek interneta s posredovanjem vrat. Da boste lažje izvedeli več o posredovanju vrat, je to, kar morate vedeti.

Kaj je posredovanje vrat?

Posredovanje vrat je postopek na usmerjevalnikih lokalnega omrežja, ki posreduje poskuse povezave s spletnih naprav na določene naprave v lokalnem omrežju. To je posledica pravil za posredovanje vrat na vašem omrežnem usmerjevalniku, ki se ujemajo s poskusi povezave s pravilnimi vrati in naslovom IP naprave v vašem omrežju.

Lokalno omrežje ima lahko en sam javni naslov IP, vendar ima vsaka naprava v vašem notranjem omrežju svoj notranji IP. Posredovanje vrat povezuje te zunanje zahteve od A (javni IP in zunanja vrata) do B (zahtevana vrata in lokalni naslov IP naprave v vašem omrežju). 

Da bi pojasnili, zakaj je to lahko koristno, si predstavljajmo, da je vaše domače omrežje nekoliko podobno srednjeveški trdnjavi. Medtem ko lahko gledate čez zidove, drugi ne morejo pogledati ali zlomiti vaše obrambe – varni ste pred napadom. 

Zahvaljujoč vgrajenim omrežnim požarnim zidovim je vaše omrežje v enakem položaju. Dostopate lahko do drugih spletnih storitev, kot so spletna mesta ali strežniki za igre, vendar drugi uporabniki interneta ne morejo dostopati do vaših naprav. Dvižni most je dvignjen, saj vaš požarni zid aktivno blokira vse poskuse zunanjih povezav, da bi vdrli v vaše omrežje.

V nekaterih situacijah pa je ta raven zaščite nezaželena. Če želite zagnati strežnik v domačem omrežju ( na primer z uporabo Raspberry Pi ), so potrebne zunanje povezave. 

Tukaj nastopi posredovanje vrat, saj lahko te zunanje zahteve posredujete določenim napravam, ne da bi pri tem ogrozili svojo varnost.

Na primer, predpostavimo, da izvajate lokalni spletni strežnik v napravi z notranjim naslovom IP 192.168.1.12 , medtem ko je vaš javni naslov IP 80.80.100.110 . Zunanje zahteve do vrat 80 ( 80.90.100.110:80 ) bi bile dovoljene zaradi pravil za posredovanje vrat, pri čemer bi bil promet posredovan do vrat 80 na 192.168.1.12 .

Če želite to narediti, boste morali konfigurirati svoje omrežje tako, da bo omogočilo posredovanje vrat, nato pa v omrežnem usmerjevalniku ustvariti ustrezna pravila za posredovanje vrat. Morda boste morali konfigurirati tudi druge požarne zidove v vašem omrežju, vključno s požarnim zidom Windows , da omogočite promet.

Zakaj bi se morali izogibati UPnP (samodejnemu posredovanju vrat)

Nastavitev posredovanja vrat v vašem lokalnem omrežju ni težka za napredne uporabnike, vendar lahko povzroči vse vrste težav za začetnike. Za pomoč pri premagovanju te težave so proizvajalci omrežnih naprav ustvarili avtomatiziran sistem za posredovanje vrat, imenovan UPnP (ali Universal Plug and Play ).

Ideja za UPnP je bila (in je) omogočiti internetnim aplikacijam in napravam, da samodejno ustvarijo pravila za posredovanje vrat na vašem usmerjevalniku, da omogočijo zunanji promet. UPnP lahko na primer samodejno odpre vrata in posreduje promet za napravo, v kateri se izvaja strežnik za igre, ne da bi bilo treba ročno konfigurirati dostop v nastavitvah usmerjevalnika.

Koncept je sijajen, a na žalost je izvedba pomanjkljiva - če že ne izjemno nevarna. UPnP je sanje zlonamerne programske opreme, saj samodejno domneva, da so vse aplikacije ali storitve, ki se izvajajo v vašem omrežju, varne. Spletno mesto za vdore UPnP razkriva število negotovosti, ki so še danes zlahka vključene v omrežne usmerjevalnike.

Z varnostnega vidika je najbolje, da ste previdni. Namesto da bi tvegali svojo varnost omrežja, se izogibajte uporabi UPnP za samodejno posredovanje vrat (in ga, kjer je mogoče, popolnoma onemogočite). Namesto tega bi morali ustvariti samo ročna pravila za posredovanje vrat za aplikacije in storitve, ki jim zaupate in nimajo znanih ranljivosti.

Kako nastaviti posredovanje vrat v vašem omrežju

Če se izogibate UPnP in želite ročno nastaviti posredovanje vrat, lahko to običajno storite na spletni skrbniški strani usmerjevalnika. Če niste prepričani, kako dostopati do tega, lahko informacije običajno najdete na dnu usmerjevalnika ali v priročniku za dokumentacijo usmerjevalnika.

S skrbniško stranjo usmerjevalnika se lahko povežete s privzetim naslovom prehoda za vaš usmerjevalnik. To je običajno 192.168.0.1 ali podobna različica – vnesite ta naslov v naslovno vrstico spletnega brskalnika. Preveriti se boste morali tudi z uporabniškim imenom in geslom, ki ste ju dobili z usmerjevalnikom (npr. admin ).

Konfiguriranje statičnih naslovov IP z rezervacijo DHCP

Večina lokalnih omrežij uporablja dinamično dodeljevanje IP za dodelitev začasnih naslovov IP napravam, ki se povezujejo. Po določenem času se naslov IP obnovi. Ti začasni naslovi IP se lahko reciklirajo in uporabijo drugje, vaši napravi pa je lahko dodeljen drug lokalni naslov IP.

Vendar posredovanje vrat zahteva, da naslov IP, uporabljen za vse lokalne naprave, ostane enak. Statični naslov IP lahko dodelite ročno, vendar večina omrežnih usmerjevalnikov omogoča dodelitev statičnega naslova IP določenim napravam na strani z nastavitvami vašega usmerjevalnika z rezervacijo DHCP.

Na žalost je vsak proizvajalec usmerjevalnika drugačen in koraki, prikazani na spodnjih posnetkih zaslona (izdelani z usmerjevalnikom TP-Link), morda ne ustrezajo vašemu usmerjevalniku. Če je temu tako, boste morda morali poiskati dodatno podporo v dokumentaciji usmerjevalnika.

Za začetek odprite stran za spletno administracijo vašega omrežnega usmerjevalnika s spletnim brskalnikom in preverite pristnost z uporabniškim imenom in geslom skrbnika usmerjevalnika. Ko se prijavite, odprite območje z nastavitvami DHCP usmerjevalnika.

Morda boste lahko iskali lokalne naprave, ki so že povezane (za samodejno izpolnjevanje zahtevanega pravila dodeljevanja) ali pa boste morda morali zagotoviti določen naslov MAC za napravo, ki ji želite dodeliti statični IP. Ustvarite pravilo s pravilnim naslovom MAC in naslovom IP, ki ga želite uporabiti, nato shranite vnos.

Ustvarjanje novega pravila za posredovanje vrat

Če ima vaša naprava statični IP (nastavljen ročno ali rezerviran v nastavitvah dodelitve DHCP), lahko ustvarite pravilo za posredovanje vrat. Pogoji za to so lahko različni. Na primer, nekateri usmerjevalniki TP-Link to funkcijo imenujejo navidezni strežniki , medtem ko usmerjevalniki Cisco to funkcijo označujejo s standardnim imenom ( Posredovanje vrat ).

V pravilnem meniju na spletni skrbniški strani usmerjevalnika ustvarite novo pravilo za posredovanje vrat. Pravilo bo zahtevalo zunanja vrata (ali obseg vrat), na katera želite, da se povežejo zunanji uporabniki. Ta vrata so povezana z vašim javnim naslovom IP (npr. vrata 80 za javni IP 80.80.30.10 ).

Prav tako boste morali določiti notranja vrata, kamor želite posredovati promet iz zunanjih vrat. To so lahko ista vrata ali alternativna vrata (za skrivanje namena prometa). Navesti boste morali tudi statični naslov IP za vašo lokalno napravo (npr. 192.168.0.10 ) in uporabljeni protokol vrat (npr. TCP ali UDP).

Odvisno od vašega usmerjevalnika boste morda lahko izbrali vrsto storitve za samodejno izpolnjevanje zahtevanih podatkov pravila (npr. HTTP za vrata 80 ali HTTPS za vrata 443). Ko konfigurirate pravilo, ga shranite, da uveljavite spremembo.

Dodatni koraki

Vaš omrežni usmerjevalnik bi moral samodejno uporabiti spremembo pravil požarnega zidu. Vse zunanje poskuse povezave z odprtimi vrati je treba posredovati notranji napravi z uporabo pravila, ki ste ga ustvarili, čeprav boste morda morali ustvariti dodatna pravila za storitve, ki uporabljajo več vrat ali obsegov vrat.

Če imate težave, boste morda morali razmisliti tudi o dodajanju dodatnih pravil požarnega zidu požarnemu zidu programske opreme vašega računalnika ali Maca (vključno s požarnim zidom Windows), da omogočite promet. Požarni zid Windows običajno na primer ne dovoli zunanjih povezav, zato boste morda morali to konfigurirati v meniju z nastavitvami sistema Windows.

Če vam požarni zid Windows povzroča težave, ga lahko začasno onemogočite, da raziščete. Zaradi varnostnih tveganj pa vam priporočamo, da po odpravi težave znova omogočite požarni zid Windows, saj zagotavlja dodatno zaščito pred morebitnimi poskusi vdora .

Zaščita vašega domačega omrežja

Naučili ste se nastaviti posredovanje vrat, vendar ne pozabite na tveganja. Vsaka vrata, ki jih odprete, dodajo novo luknjo mimo požarnega zidu usmerjevalnika, ki jo lahko orodja za pregledovanje vrat najdejo in zlorabijo. Če morate odpreti vrata za določene aplikacije ali storitve, se prepričajte, da jih omejite na posamezna vrata, namesto na velikanske obsege vrat, ki bi jih lahko vdrli.

Če vas skrbi domače omrežje, lahko varnost omrežja povečate tako, da dodate požarni zid drugega proizvajalca . To je lahko programski požarni zid, nameščen na vašem računalniku ali Macu, ali strojni požarni zid, ki deluje 24/7, kot je Firewalla Gold , priključen na vaš omrežni usmerjevalnik za zaščito vseh vaših naprav hkrati.