Что такое переадресация портов и как ее настроить на маршрутизаторе

Если вы читаете эту статью, примите наши поздравления! Вы успешно взаимодействуете с другим сервером в Интернете, используя порты 80 и 443, стандартные открытые сетевые порты для веб-трафика. Если бы эти порты были закрыты на нашем сервере, вы бы не смогли прочитать эту статью. Закрытые порты защищают вашу сеть (и наш сервер) от хакеров.

Наши веб-порты могут быть открыты, но порты вашего домашнего маршрутизатора не должны быть открыты, поскольку это открывает лазейку для злонамеренных хакеров. Однако вам может потребоваться разрешить доступ к вашим устройствам через Интернет, время от времени используя переадресацию портов. Вот что вам нужно знать, чтобы помочь вам узнать больше о переадресации портов.

Что такое перенаправление портов?

Перенаправление портов – это процесс на маршрутизаторах локальной сети, который перенаправляет попытки подключения с сетевых устройств на определенные устройства в локальной сети. Это благодаря правилам переадресации портов на вашем сетевом маршрутизаторе, которые соответствуют попыткам подключения к правильному порту и IP-адресу устройства в вашей сети.

В локальной сети может быть один общедоступный IP-адрес, но каждое устройство в вашей внутренней сети имеет свой собственный внутренний IP-адрес. Перенаправление портов связывает эти внешние запросы от A (общедоступный IP-адрес и внешний порт) с B (запрошенный порт и локальный IP-адрес устройства в вашей сети).

Чтобы объяснить, почему это может быть полезно, давайте представим, что ваша домашняя сеть немного похожа на средневековую крепость. Хотя вы можете смотреть за стены, другие не могут заглядывать внутрь или ломать вашу защиту – вы защищены от нападения.

Благодаря встроенным сетевым брандмауэрам ваша сеть находится в таком же положении. Вы можете получить доступ к другим онлайн-сервисам, таким как веб-сайты или игровые серверы, но другие пользователи Интернета не могут получить доступ к вашим устройствам взамен. Подъемный мост поднят, так как ваш брандмауэр активно блокирует любые попытки внешних подключений нарушить работу вашей сети.

Однако в некоторых ситуациях такой уровень защиты нежелателен. Если вы хотите запустить сервер в домашней сети (используя Raspberry Pi, например), необходимы внешние подключения.

Здесь на помощь приходит переадресация портов, так как вы можете пересылать эти внешние запросы на определенные устройства без ущерба для вашей безопасности.

Например, предположим, что вы используете локальный веб-сервер на устройстве с внутренним IP-адресом 192.168.1.12, а ваш общедоступный IP-адрес – 80.80.100.110. Внешние запросы к порту 80 (80.90.100.110:80) будут разрешены благодаря правилам переадресации портов, при этом трафик будет перенаправляться на порт 80 на 192.168.1.12.

Для этого вам необходимо настроить вашу сеть так, чтобы разрешить переадресацию портов, а затем создать соответствующие правила переадресации портов в вашем сетевом маршрутизаторе. Вам также может потребоваться настроить другие брандмауэры в вашей сети, включая брандмауэр Windows, чтобы разрешить трафик.

Почему вам следует избегать UPnP (автоматическая переадресация портов)

Настроить переадресацию портов в вашей локальной сети не сложно для опытных пользователей, но для новичков это может создать всевозможные трудности. Чтобы решить эту проблему, производители сетевых устройств создали автоматизированную систему переадресации портов под названием UPnP (или Universal Plug and Play).

Идея UPnP заключалась (и есть) в том, чтобы разрешить интернет-приложениям и устройствам автоматически создавать правила переадресации портов на вашем маршрутизаторе, чтобы разрешить внешний трафик. Например, UPnP может автоматически открывать порты и пересылать трафик для устройства, на котором запущен игровой сервер, без необходимости вручную настраивать доступ в настройках вашего маршрутизатора.

Идея блестящая, но, к сожалению, исполнение некорректно – если не сказать чрезвычайно опасно. UPnP – это мечта вредоносного ПО, поскольку он автоматически предполагает, что любые приложения или службы, работающие в вашей сети, безопасны. В UPnP взламывает сайт раскрывает ряд уязвимостей, которые даже сегодня легко допускаются сетевыми маршрутизаторами.

С точки зрения безопасности лучше проявить осторожность. Вместо того, чтобы подвергать риску вашу сетевую безопасность, избегайте использования UPnP для автоматической переадресации портов (и, если возможно, полностью отключите его). Вместо этого вам следует вручную создавать правила переадресации портов только для приложений и служб, которым вы доверяете и которые не имеют известных уязвимостей.

Как настроить переадресацию портов в сети

Если вы избегаете UPnP и хотите настроить переадресацию портов вручную, обычно это можно сделать на странице веб-администрирования вашего маршрутизатора. Если вы не знаете, как получить к нему доступ, вы обычно можете найти информацию в нижней части маршрутизатора или включить ее в руководство по документации вашего маршрутизатора.

Вы можете подключиться к странице администратора вашего маршрутизатора, используя адрес шлюза по умолчанию для вашего маршрутизатора. Обычно это 192.168.0.1 или аналогичный вариант – введите этот адрес в адресную строку браузера. Вам также потребуется пройти аутентификацию, используя имя пользователя и пароль, предоставленные вашим маршрутизатором (например, admin).

Настройка статических IP-адресов с использованием резервирования DHCP

В большинстве локальных сетей используется динамическое выделение IP-адресов для назначения временных IP-адресов устройствам, которые подключаются. Через определенное время IP-адрес обновляется. Эти временные IP-адреса могут быть переработаны и использованы в другом месте, и вашему устройству может быть назначен другой локальный IP-адрес.

Однако переадресация портов требует, чтобы IP-адрес, используемый для любых локальных устройств, оставался прежним. Вы можете назначить статический IP-адрес вручную, но большинство сетевых маршрутизаторов позволяют назначать статический IP-адрес определенным устройствам на странице настроек вашего маршрутизатора с использованием резервирования DHCP.

К сожалению, каждый производитель маршрутизатора отличается, и шаги, показанные на скриншотах ниже (сделанные с использованием маршрутизатора TP-Link), могут не соответствовать вашему маршрутизатору. В этом случае вам может потребоваться просмотреть документацию к вашему маршрутизатору для получения дополнительной поддержки.

Для начала зайдите на страницу веб-администрирования вашего сетевого маршрутизатора с помощью веб-браузера и авторизуйтесь, используя имя пользователя и пароль администратора маршрутизатора. После входа в систему войдите в область настроек DHCP вашего маршрутизатора.

Вы можете сканировать локальные устройства, которые уже подключены (для автозаполнения необходимого правила распределения), или вам может потребоваться указать конкретный MAC-адрес для устройства, которому вы хотите назначить статический IP-адрес. Создайте правило, используя правильный MAC-адрес и IP-адрес, который вы хотите использовать, затем сохраните запись.

Создание нового правила переадресации портов

Если у вашего устройства статический IP-адрес (установленный вручную или зарезервированный в настройках распределения DHCP), вы можете перейти к созданию правила переадресации портов. Условия для этого могут быть разными. Например, некоторые маршрутизаторы TP-Link называют эту функцию виртуальными серверами, тогда как маршрутизаторы Cisco называют ее стандартным именем (переадресация портов).

В правильном меню на странице веб-администрирования вашего маршрутизатора создайте новое правило переадресации портов. Правилу потребуется внешний порт (или диапазон портов), к которому вы хотите, чтобы внешние пользователи подключались. Этот порт связан с вашим общедоступным IP-адресом (например, порт 80 для общедоступного IP-адреса 80.80.30.10).

Вам также необходимо определить внутренний порт, на который вы хотите перенаправить трафик с внешнего порта. Это может быть тот же порт или альтернативный порт (чтобы скрыть назначение трафика). Вам также необходимо указать статический IP-адрес для вашего локального устройства (например, 192.168.0.10) и используемый протокол порта (например, TCP или UDP).

В зависимости от вашего маршрутизатора вы можете выбрать тип службы для автоматического заполнения необходимых данных правила (например, HTTP для порта 80 или HTTPS для порта 443). После настройки правила сохраните его, чтобы применить изменение.

Дополнительные шаги

Ваш сетевой маршрутизатор должен автоматически применить изменения к правилам вашего брандмауэра. Любые попытки внешнего подключения к открытому порту должны быть перенаправлены на внутреннее устройство с использованием созданного вами правила, хотя вам может потребоваться создать дополнительные правила для служб, использующих несколько портов или диапазонов портов.

Если у вас возникли проблемы, вам также может потребоваться добавить дополнительные правила брандмауэра на ваш ПК или программный брандмауэр Mac (включая брандмауэр Windows), чтобы разрешить прохождение трафика. Например, брандмауэр Windows обычно не разрешает внешние подключения, поэтому вам может потребоваться настроить это в меню настроек Windows.

Если брандмауэр Windows вызывает у вас трудности, вы можете временно отключить исследовать. Однако из-за угроз безопасности мы рекомендуем повторно включить брандмауэр Windows после устранения проблемы, поскольку он обеспечивает дополнительную защиту от возможных попыток взлома.

Безопасность вашей домашней сети

Вы узнали, как настроить переадресацию портов, но не забывайте о рисках. Каждый порт, который вы открываете, добавляет еще одну дыру за брандмауэром вашего маршрутизатора, которую инструменты сканирования портов могут найти и использовать. Если вам нужно открыть порты для определенных приложений или служб, убедитесь, что вы ограничили их отдельными портами, а не огромными диапазонами портов, которые могут быть нарушены.

Если вы беспокоитесь о своей домашней сети, вы можете повысить безопасность сети, добавление стороннего брандмауэра. Это может быть программный брандмауэр, установленный на вашем ПК или Mac, или аппаратный брандмауэр, работающий круглосуточно и без выходных, например Firewalla Gold, подключенный к вашему сетевому маршрутизатору, чтобы защитить все ваши устройства одновременно.