Що таке переадресація портів і як її налаштувати на маршрутизаторі

Якщо ви читаєте цю статтю, вітаємо! Ви успішно взаємодієте з іншим сервером в Інтернеті за допомогою портів 80 і 443, стандартних відкритих мережевих портів для веб-трафіку. Якби ці порти були закриті на нашому сервері, ви б не змогли прочитати цю статтю. Закриті порти захищають вашу мережу (і наш сервер) від хакерів.

Наші веб-порти можуть бути відкритими, але порти вашого домашнього маршрутизатора не повинні бути відкритими, оскільки це відкриває діру для зловмисних хакерів. Однак час від часу вам може знадобитися дозволити доступ до ваших пристроїв через Інтернет за допомогою переадресації портів. Щоб дізнатися більше про переадресацію портів, ось що вам потрібно знати.

Що таке переадресація портів?

Перенаправлення портів – це процес на маршрутизаторах локальної мережі, який пересилає спроби з’єднання з онлайн-пристроїв на певні пристрої в локальній мережі. Це відбувається завдяки правилам переадресації портів на вашому мережевому маршрутизаторі, які відповідають спробам підключення до правильного порту та IP-адреси пристрою у вашій мережі.

Локальна мережа може мати одну загальнодоступну IP-адресу, але кожен пристрій у вашій внутрішній мережі має власну внутрішню IP-адресу. Переадресація портів зв’язує ці зовнішні запити від A (загальнодоступна IP-адреса та зовнішній порт) до B (запитаний порт і локальна IP-адреса пристрою у вашій мережі). 

Щоб пояснити, чому це може бути корисним, уявімо, що ваша домашня мережа трохи схожа на середньовічну фортецю. Хоча ви можете дивитися за стіни, інші не можуть зазирнути або зламати ваш захист — ви в безпеці від нападу. 

Завдяки інтегрованим мережевим брандмауерам ваша мережа знаходиться в тому ж положенні. Ви можете отримати доступ до інших онлайн-сервісів, таких як веб-сайти чи ігрові сервери, але інші користувачі Інтернету не матимуть доступу до ваших пристроїв. Підйомний міст піднятий, оскільки ваш брандмауер активно блокує будь-які спроби зовнішніх з’єднань зламати вашу мережу.

Проте в деяких ситуаціях такий рівень захисту є небажаним. Якщо ви хочете запустити сервер у своїй домашній мережі ( наприклад, за допомогою Raspberry Pi ), необхідні зовнішні підключення. 

Ось тут і з’являється переадресація портів, оскільки ви можете пересилати ці зовнішні запити на певні пристрої без шкоди для вашої безпеки.

Наприклад, припустімо, що ви використовуєте локальний веб-сервер на пристрої з внутрішньою IP-адресою 192.168.1.12 , а ваша публічна IP-адреса – 80.80.100.110 . Зовнішні запити до порту 80 ( 80.90.100.110:80 ) будуть дозволені завдяки правилам переадресації портів, а трафік буде переадресовано до порту 80 на 192.168.1.12 .

Для цього вам потрібно налаштувати мережу, щоб дозволити переадресацію портів, а потім створити відповідні правила переадресації портів у мережевому маршрутизаторі. Вам також може знадобитися налаштувати інші брандмауери у вашій мережі, включаючи брандмауер Windows , щоб дозволити трафік.

Чому вам слід уникати UPnP (автоматичне перенаправлення портів)

Налаштувати перенаправлення портів у локальній мережі не складно для досвідчених користувачів, але це може створити різноманітні труднощі для новачків. Щоб допомогти подолати цю проблему, виробники мережевих пристроїв створили автоматизовану систему переадресації портів під назвою UPnP (або Universal Plug and Play ).

Ідея UPnP полягала (і є) у тому, щоб дозволити інтернет-додаткам і пристроям автоматично створювати правила переадресації портів на вашому маршрутизаторі, щоб пропускати зовнішній трафік. Наприклад, UPnP може автоматично відкривати порти та пересилати трафік для пристрою, на якому працює ігровий сервер, без необхідності вручну налаштовувати доступ у налаштуваннях маршрутизатора.

Концепція чудова, але, на жаль, її реалізація помилкова — якщо не сказати, надзвичайно небезпечна. UPnP — це мрія зловмисного програмного забезпечення, оскільки воно автоматично припускає, що будь-які програми чи служби, запущені у вашій мережі, безпечні. Веб -сайт UPnP hacks розкриває кількість небезпек, які навіть сьогодні легко включаються в мережеві маршрутизатори.

З точки зору безпеки, найкраще бути обережним. Замість того, щоб ризикувати безпекою мережі, уникайте використання UPnP для автоматичного перенаправлення портів (і, якщо можливо, повністю вимкніть його). Натомість вам слід створювати правила переадресації портів вручну лише для програм і служб, яким ви довіряєте та які не мають відомих вразливостей.

Як налаштувати перенаправлення портів у вашій мережі

Якщо ви уникаєте UPnP і хочете налаштувати переадресацію портів вручну, зазвичай це можна зробити на веб-сторінці адміністрування маршрутизатора. Якщо ви не впевнені, як отримати доступ до цього, зазвичай ви можете знайти інформацію на нижній панелі маршрутизатора або в посібнику з документації маршрутизатора.

Ви можете підключитися до сторінки адміністратора вашого маршрутизатора, використовуючи адресу шлюзу за замовчуванням для вашого маршрутизатора. Зазвичай це 192.168.0.1 або подібний варіант — введіть цю адресу в адресний рядок веб-переглядача. Вам також потрібно буде пройти автентифікацію за допомогою імені користувача та пароля, які надаються разом із маршрутизатором (наприклад, admin ).

Налаштування статичних IP-адрес за допомогою резервування DHCP

Більшість локальних мереж використовують динамічний IP-адрес для призначення тимчасових IP-адрес пристроям, які підключаються. Через певний час IP-адреса оновлюється. Ці тимчасові IP-адреси можуть бути перероблені та використані деінде, а вашому пристрою може бути призначена інша локальна IP-адреса.

Однак переадресація портів вимагає, щоб IP-адреса, яка використовується для будь-яких локальних пристроїв, залишалася незмінною. Ви можете призначити статичну IP-адресу вручну, але більшість мережевих маршрутизаторів дозволяють призначати статичну IP-адресу певним пристроям на сторінці налаштувань маршрутизатора за допомогою резервування DHCP.

На жаль, кожен виробник маршрутизатора відрізняється, і дії, показані на знімках екрана нижче (зроблені за допомогою маршрутизатора TP-Link), можуть не відповідати вашому маршрутизатору. Якщо це так, можливо, вам доведеться переглянути документацію маршрутизатора, щоб отримати додаткову підтримку.

Для початку перейдіть на веб-сторінку адміністрування свого мережевого маршрутизатора за допомогою веб-браузера та пройдіть автентифікацію за допомогою імені користувача та пароля адміністратора маршрутизатора. Увійшовши, перейдіть до області налаштувань DHCP маршрутизатора.

Можливо, ви зможете сканувати локальні пристрої, які вже підключені (для автоматичного заповнення необхідного правила розподілу), або вам може знадобитися надати конкретну MAC-адресу для пристрою, якому ви хочете призначити статичну IP-адресу. Створіть правило, використовуючи правильну MAC-адресу та IP-адресу, які ви бажаєте використовувати, а потім збережіть запис.

Створення нового правила переадресації портів

Якщо ваш пристрій має статичну IP-адресу (встановлену вручну або зарезервовану в налаштуваннях розподілу DHCP), ви можете перейти до створення правила переадресації портів. Умови для цього можуть бути різними. Наприклад, деякі маршрутизатори TP-Link називають цю функцію віртуальними серверами , тоді як маршрутизатори Cisco називають її стандартною назвою ( переадресація портів ).

У правильному меню на сторінці веб-адміністрування маршрутизатора створіть нове правило переадресації портів. Правило потребує зовнішнього порту (або діапазону портів), до якого ви бажаєте підключатися зовнішнім користувачам. Цей порт пов’язано з вашою публічною IP-адресою (наприклад, порт 80 для публічної IP -адреси 80.80.30.10 ).

Вам також потрібно буде визначити внутрішній порт, на який ви хочете перенаправляти трафік із зовнішнього порту. Це може бути той самий порт або альтернативний порт (щоб приховати призначення трафіку). Вам також потрібно буде надати статичну IP-адресу вашого локального пристрою (наприклад, 192.168.0.10 ) і протокол порту, який використовується (наприклад, TCP або UDP).

Залежно від вашого маршрутизатора ви можете вибрати тип служби для автоматичного заповнення необхідних даних правила (наприклад , HTTP для порту 80 або HTTPS для порту 443). Налаштувавши правило, збережіть його, щоб застосувати зміни.

Додаткові кроки

Ваш мережевий маршрутизатор має автоматично застосувати зміни до правил брандмауера. Будь-які спроби зовнішнього підключення до відкритого порту мають бути перенаправлені на внутрішній пристрій за допомогою створеного вами правила, хоча вам може знадобитися створити додаткові правила для служб, які використовують кілька портів або діапазонів портів.

Якщо у вас виникли проблеми, вам також може знадобитися додати додаткові правила брандмауера до програмного брандмауера ПК або Mac (включаючи брандмауер Windows), щоб дозволити трафік. Наприклад, брандмауер Windows зазвичай не дозволяє зовнішні підключення, тому вам може знадобитися налаштувати це в меню налаштувань Windows.

Якщо брандмауер Windows викликає у вас труднощі, ви можете тимчасово вимкнути його для дослідження. Проте через загрози безпеці ми рекомендуємо вам повторно ввімкнути брандмауер Windows після усунення проблеми, оскільки він забезпечує додатковий захист від можливих спроб злому .

Захист вашої домашньої мережі

Ви навчилися налаштовувати переадресацію портів, але не забувайте про ризики. Кожен порт, який ви відкриваєте, додає до брандмауера вашого маршрутизатора ще одну діру, яку можуть знайти інструменти сканування портів і зловживати ними. Якщо вам потрібно відкрити порти для певних програм або служб, переконайтеся, що ви обмежили їх окремими портами, а не величезними діапазонами портів, які можуть бути зламані.

Якщо ви турбуєтеся про свою домашню мережу, ви мож��те підвищити безпеку мережі, додавши брандмауер третьої сторони . Це може бути програмний брандмауер, встановлений на вашому ПК чи Mac, або цілодобовий апаратний брандмауер, наприклад Firewalla Gold , підключений до вашого мережевого маршрутизатора для захисту всіх ваших пристроїв одночасно.