Главная » Разное » Проброс портов что это такое

Проброс портов что это такое


Что такое проброс порта. Как пробросить порты на роутере

Главная » Wi-Fi Роутер » Что такое проброс порта. Как пробросить порты на роутере

Перенаправление порта  — это сопоставление определённого порта на внешнем интерфейсе роутера с определённым портом нужного устройства в локальной сети.

Перенаправление порта является одной из функций механизма NAT (трансляции сетевых адресов). Суть NAT заключается в использовании несколькими устройствами в локальной сети одного внешнего интерфейса. В домашних сетях внешний интерфейс — это WAN-порт роутера, а сетевые устройства — это компьютеры, планшеты и смартфоны. А суть перенаправления заключается в том, чтобы предоставить доступ к какому-то устройству в сети из Интернета, используя какой-либо открытый порт роутера.

Как сделать проброс порта на шлюзе (роутере, модеме)

Это то, что в народе называется «как открыть порт на роутере».

Допустим, есть задача предоставить доступ к удалённому рабочему столу компьютера, который подключён к Интернету через роутер. Для этого нужно создать правило перенаправления любого свободного порта WAN-интерфейса роутера на порт 3389 нужного компьютера. 3389 — это порт, который используется по умолчанию для приёма входящих подключений службы сервера удалённых рабочих столов. После создания такого правила и применения настроек на роутере запросы, поступившие на указанный внешний порт будут перенаправлены на 3389 нужного компьютера в сети.

Для этого на роутере необходимо зайти в настройки перенаправления портов и добавить правило.

Пример настройки перенаправления порта на роутере D-Link.

1 Откройте раздел Advanced (Расширенные настройки).

2 Выберите настройку Port Forwarding (перенаправление портов).

3 Настройте правило перенаправления:

  • Укажите любое удобное для вас имя правила;
  • Укажите номер публичного порта (или диапазон). Публичный порт — это тот, который будет открыт на роутере для доступа из Интернета через WAN-интерфейс. Если нужно открыть только один порт, укажите один и тот же порт и в качестве начального в диапазоне, и в качестве конечного. В нашем случае нам нужно открыть порт 3389, поэтому мы два раза указали его в верхней строке настроек.
  • Укажите IP-адрес компьютера (сервера) в локальной сети, на котором запущена служба, доступ к которой нужно предоставить. Рекомендуется зарезервировать IP-адрес для данного сервера в настройках DHCP-резервирования на роутере, чтобы он не поменялся в дальнейшем. Вместо этого также можно указать IP-адрес вручную в настройках сетевого адаптера на компьютере, проброс до которого вы будете делать на роутере. В нашем примере мы указываем внутренний серый IP-адрес 192.168.1.100, который принадлежит компьютеру с Windows Server 2008 с настроенным сервером удалённых рабочих столов.
  • Укажите порт для приёма входящих подключений на компьютере в локальной сети. В нашем случае на сервере для службы Сервер удалённых рабочих столов используется порт по умолчанию 3389.
  • Установите флажок слева для включения правила.

4 Нажмите Save Setting (Сохранить настройки)

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server. Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

compfixer.info

Как сделать проброс портов на роутере: для чего нужен и настройка

Иногда возникает необходимость доступа извне  к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.

О пробросе портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

При всем этом следует обратить особое внимание на безопасность. Ведь открыв к ресурсам локальной сети через интернет, ими могут попытаться воспользоваться злоумышленники.

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание.

Внешний IP-адрес

IP-адрес может быть:

  • Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
  • Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
  • Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер.  Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
  • Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.
Для того чтобы извне подключаться к вашей локальной сети, должен быть у нее настроен внешний статический IP-адрес. Конечно, можно использовать и динамический, но в случае его изменения, все перестанет работать. Про IP-адрес можно уточнить у интернет-провайдера.

Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети – серыми.

Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.

Безопасность

Так как в случае проброса портов будет открыт доступ к устройствам, находящимся внутри вашей локальной сети, особое внимание следует уделить безопасности:

  • Для подключения к устройству должен использоваться надежный пароль;
  • Если передается конфиденциальная информация, то она должна быть в шифрованном виде.
Особое внимание следует уделить при передаче удаленного доступа к компьютеру.

В этом случае злоумышленник может:

  • Установить на компьютер свои программы;
  • Перенастроить локальную сеть;
  • Отслеживать и влиять на обмен данными по локальной сети.

Подключение

Перед настройкой проброса портов, следует подключиться к роутеру. У роутера обычно по умолчанию IP-адрес 192.168.0.1 или 192.168.1.1. Логин по умолчанию admin, а пароль может быть тоже admin, иногда 1234. Настройки роутера по умолчанию указываются на наклейке с тыльной стороны.

Вводим адрес роутера в браузере. На рисунке фото выше это 192.168.1.1, на запрос имени пользователя и пароля – заполняем соответствующие поля. После этого попадаем в главное меню роутера.

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

  • Статические, то есть заданные вручную на каждом устройстве;
  • Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Настройка проброса портов

После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:

  • Порт роутера;
  • IP устройства;
  • Порт устройства.

Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.

В настройках переадресации добваляем новый виртуальный сервер.

Запись настраивается следующим образом:

  • Порт сервиса – это как раз тот порт, по которому будут подключаться из интернета;
  • Внутренний порт – это порт устройства, к которому надо открыть доступ;
  • IP-адрес – это адрес устройства в локальной сети
  • Протокол – тут можно выбрать протокол TCP или UDP. Можно выбрать “ВСЕ”, тогда будут перенаправляться оба протокола.
  • Состояние – здесь выбираем “включено”. При не надобности, можно отключить проброс, не удаляя запись.

Пункт “стандартный порт сервиса” предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля “порт сервиса” и “внутренний порт”. Ниже будут рассмотрены основные сервисы.

После того как все настройки выполнены, следует их сохранить.

Номера портов

Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536.

На компьютере эти порты делятся на следующие группы :

  • Системные (от 0 до 1023);
  • Пользовательские (от 1024 до 49151);
  • Динамические (от 49152 до 65535).

Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.

Стандартные сервисы

Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:

Сервис Порт Пояснение
DNS 53 Преобразование символьного наименования в IP-адрес
FTP 21 Хранение и передача файлов
GOPHTER 70 Хранение и передача документов
HTTP 80 Получение информации с сайтов
NNTP 119 Сервер новостей
POP3 110 Получение почты
PPTP 1723 Защищенное соединение
SMTP 25 Прием и передача почты
SOCK 1080 Передача минуя межсетевой экран
TELNET 23 Управление в текстовом виде

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

  • Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
  • Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш +, в поле поле открыть записываем команду и нажимаем “OK”.

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

С точки зрения безопасности, тут важно выбирать не все локальные порты, а именно указать нужный.

Выбираем “Разрешить подключение”.

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

naseti.com

Что такое проброс портов и для чего он нужен

Наверняка, Вы не раз слышали о пробросе портов. Это достаточно несложный в настройке и крайне полезный инструмент. Освоить его не помешает тем, кто собирается разворачивать игровые сервера или настраивать системы видеонаблюдения.

Несколько слов о портах

Портом называют натуральное число, которое записывается в заголовке протокола транспортного уровня OSI и применяется для определения процесса-отправителя. Обмен данными по сети производится по определенному протоколу между двумя процессами (отправитель и получатель). Чтобы установить соединение и передать информацию, нужны следующие данные:

  • два IP-адреса (хоста-отправителя и хоста-получателя);
  • номер протокола;
  • номера портов процессов отправителя и получателя.

Для чего нужен проброс портов

Стандартные настройки маршрутизатора предусматривают маскировку адресов устройств, расположенных за ним. Когда на роутер поступают исходящие пакеты данных с устройства из внутренней сети, он открывает определенный порт и отправляет данные, изменяя внутренний IP-адрес устройства-адресанта на свой собственный внешний адрес. Когда на этот порт роутера приходят пакеты данных в ответ, он перенаправляет их на устройство, для которого предназначается информация. Получается, что из внешней сети виден только IP-адрес роутера, а устройства за ним остаются невидимыми.

Такая технология хороша в условиях критического снижения количества свободных адресов IPv4, однако имеет недостаток: роутер примет только те пакеты данных, которые придут по соединению, инициированному устройством внутренней сети. А вот если сервер или компьютер попытаются обратиться к устройству за роутером первыми, запросы будут отклонены. Получить доступ к устройствам в локальной сети из внешней — не так просто. Для этого нужно настроить проброс портов.

Проброс или перенаправление порта – это операция, входящая в комплекс функций преобразования сетевых адресов или NAT (механизм NAT предусматривает использование одного внешнего интерфейса несколькими устройствами локальной сети). Проброс предполагает сопоставление заданного порта на внешнем интерфейсе роутера с определенным портом запрашиваемого устройства в локальной сети.

Стоит отметить, что с внедрением IPv6, необходимость в пробросе портов и NAT в целом исчезнет.

Случаи применения

Проброс портов настраивают для таких случаев:

  • организация игрового сервера;
  • удаленное управление компьютером;
  • подключение к IP-видеокамере или к компьютеру, на который передается изображение с камеры;
  • организация работы WEB/FTP-серверов.

Как это работает

«Пробросить» порты — это дать команду роутеру зарезервировать один порт и все приходящие на него данные для передачи на определенный компьютер. Другими словами, сделать исключение из правила отклонения неинициированных внешних запросов и принимать их при заданных условиях.

Для этого задается правило перенаправления любого свободного порта интерфейса WAN на роутере на определенный порт указанного устройства.

После того, как правило перенаправления будет создано, входящие на указанный внешний порт запросы будут адресованы указанному порту определенного устройства.

Настройка на примере роутеров Totolink

Для начала подключите роутер к компьютеру через кабель и войдите в настройки. Как это сделать, читайте здесь. Зайдите в «Расширенные настройки» / “Advanced Setup”, далее в «Переадресацию портов» / “Port Forwarding”.

Далее следует выбрать: «Тип правила»: «Определяется пользователем» (Rule Type: User defined).

Следующий шаг — придумать название правила, выбрать протокол (TCP), указать IP-адрес хоста-получателя (только для Totolink). Для других моделей может присутствовать поле ввода IP отправителя. Оно нужно для того, чтобы к настраиваему процессу (например, потоку видеорегистратора) имел доступ только пользователь с определенного IP или подсети IP. Далее нужно назначить внешний и внутренний порты для сопоставления.

После ввода данных нажать кнопку «Добавить», после этого правило будет работать.

blog.maxnet.ua

Проброс портов в Микротике — ликбез для начинающих

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности. Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ. Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу». Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.

Подключаемся через web-интерфейс или Winbox'ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).

Далее, ether1-gateway. Ether1 — это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway — «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway'ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров). Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local, остальные 3 — неполиткорректно называются slave-local. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки. Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2. Для этого и нужен NAT.

В Микротике управление NAT'ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете. Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas. Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat. Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет. Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp. Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим. Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413. Затем идёт забавный пункт Any. Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется. Теперь очень важный момент:

In. interface (входящий интерфейс) — это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.

Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла. Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться. В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:

accept — Просто принимает пакет; add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов; add-src-to-address-list — Аналогично предыдущему, но для исходного адреса; dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю; jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat; log — Просто добавляет информацию о пакете в лог роутера; masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера; netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat; passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики; redirect — Перенаправляет данные на другой порт в пределах роутера; return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump; same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов; src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю. Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.

Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply, роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает. Обратите внимание — дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Теги:
  • mikrotik
  • RouterOS
  • Для начинающих
  • NAT

habr.com

Пробрасываем порты. Нюансы Port Forward .

В данной статье рассмотрим всё, что связано с Port Forward (проброс портов) – автоматически и вручную.

Часто, помимо обеспечения доступа в интернет пользователям, подключенным к маршрутизатору, возникают такие задачи как: – прозрачный доступ к какому-либо устройству или сервису, находящемуся в локальной сети

– фильтрация входящих или исходящих соединений с целью ограничить посещение тех или иных ресурсов, работу сервисов, и другие несанкционированные активности.

Для этих целей в ПО Wive-NG предусмотрен блок настроек , именуемый Firewall (Сетевой Экран).

По сути, раздел веб-интерфейса Firewall (Сетевой Экран) — это не что иное, как GUI, позволяющий создавать правила iptables, не прибегая к консоли. Разумеется, последний вариант (консоль) позволяет осуществить более гибкую настройку политик разрешений и запретов, и если есть такая возможность, то лучше «подружиться» с iptables (тем более, что это штатное средство unix-систем, и понимание логики его работы будет применимо и к работе с другими unix-based устройствами). Однако, базовые пользовательские задачи вполне решаются посредством web.

1. Настройки проброса портов (Port Forwarding).

Иногда нам необходимо организовать удаленный доступ к устройству, находящемуся в локальной сети, по тому или иному протоколу. К примеру, доступ к web-интерфейсу IP телефона (по умолчанию, порт 80), или же работу с удаленным рабочим столом по протоколу RDP (по умолчанию порт в Windows 3389). Также, может возникнуть задача обеспечения функционирования сервиса, запущенного в локальной сети, который ведет прием и передачу данных по конкретному диапазону равнозначных портов (к примеру, SIP сервер, или же раздача контента посредством torrent клиента).

Но с точки зрения того, кто находится в глобальной сети, все эти устройства имеют один и тот же IP адрес (либо доменное имя). Именно тут на помощь приходит проброс портов (port forward).

Включение проброса портов (port forward)

Для включения сервиса необходимо обратиться к пунктам меню: Сетевой экран (Firewall) → Сетевой экран (Firewall) → Настройка проброса портов (Port Forwarding), и включить сервис.

Настройка проброса портов через web интерфейс достаточно проста , и состоит из следующих шагов:

1. Выбор интерфейса, для которого дейстует правило. По умолчанию это WAN, но если Ваш оператор использует VPN, то следует указывать его. 2. Протокол. Возможные варианты: TCP (например , доступ к web), UDP (например, работа VoIP ). Также доступен вариант выбора обоих TCP и UDP . Данный вариант стоит использовать только в случае, если целевой сервис использует и TCP и UDP (например, torrent). Во всех остальных случаях (например, Вы точно не уверены нужно ли TCP или же UDP) рекомендуется ознакомиться с документацией, выяснить, какой протокол используется и указать нужный, дабы избежать бреши в безопасности и эксплуатации ее троянами. 3. Порты, на которые будет производиться обращение извне, для переадресации на нужное устройство / сервис, для которого создается правило. Т.е, по сути, то, за счёт чего маршрутизатор поймет, к чему именно в локальной сети Вы обращаетесь. Можно указать как один порт, так и диапазон. 4. IP адрес в локальной сети, соответствующий устройству, к которому Вы обращаетесь. 5. Порты, которые соответствует необходимому сервису на самом устройстве в локальной сети, к которому происходит обращение.

Важно: рекомендуется использовать одинаковые порты dst и src, т.к данная схема снижает нагрузку на CPU и гарантирует корректрую работу программного и аппаратного offload.

6. NAT loopback — т.е, будет ли работать доступ при обращении на глобальный адрес и src порт из локальной сети. Важно: корректная работа NAT loopback зависит от множества факторов, включая операционную систему, src/dst порты на клиенте и сервере, и т. д. Поэтому установленное положительное значение не является гарантией корректной работы данной службы. 7. Комментарий в свободнонй форме, позволяющий не держать в голове, какое правило и зачем Вы создавали.

8. Действие, а именно — что вы хотите сделать с правилом: добавить (новое) либо удалить (уже существующее).

Важно: После завершения работы с правилами (добавление , удаление) необходимо нажать Применить / Apply, в противном случае все добавленные правила не будут сохранены. Добавление правила (нажатие Добавить / Add) в ходе редактирования таблицы port forwarding само по себе не является мгновенной записью созданного правила в конфигурацию роутера, а лишь предварительно сохраняет его на странице.

Настройка проброса портов (Port forward) на роутере

Например, правило вида:

Interface (Интерфейс) = WAN, Protocol (Протокол) = TCP, Src Ports (Порт ист.) = 8888, Dst IP (IP назначения) = 192.168.1.124, Dst Ports (Порт назн.) = 80,

Comment (Комментарий) = ‘IP Phone’

будет означать, что при обращении по адресу http://Ваш_IP_адрес:8888 либо http://Ваш_Домен:8888 весь TCP трафик будет перенаправляться на устройство, имеющее IP адрес 192.168.1.124 в Вашей локальной сети, а именно — на 80 порт.

А правило вида

TCP&UDP / 3389 / 192.168.1.150 / 3389 / ‘RDP’

гласит о том, что в Вашей сети есть ПК, живущий на IP адресе 192.168.1.150, к удаленному рабочему столу на котором Вы подключитесь, сказав “http://Ваш_Домен:3389” (т.к в примере выбран интерфейс VPN, то судя по всему, указать статический IP просто невозможно — для решения этой проблемы можно воспользоваться аккаунтом на одном из DynDNS сервисов (такая возможность также доступна штатно в ПО Wive-NG).

Настройка Dynamic DNS

Важно: необходимо удостовериться в следующих моментах: -указываемый Вами порт назначения (dst) действительно настроен на целевом устройстве для необходимого сервиса. -доступ по указанному порту доступен с WAN на устройстве (если настраиваемый роутер является шлюзом для целевого устройства), и в целом доступ извне не блокируется локальным firewall.

Например, в настройках IP телефона из примера необходимо проверить две вещи: порт доступа к web / http = 80 , доступ к web / http разрешен для wan интерфейса всем, либо как минимум конкретному хосту роутера.

Важно: правило не будет работать, если IP адрес целевого устройства в локальной сети изменится. Для исключения такой возможности, есть два варианта: 1. Настройка статического адреса сетевого интерфейса на целевом устройстве. Т.е, отказ от получения IP адреса от DHCP сервера роутера .

2. Закрепление IP адреса, выдаваемого DHCP сервером роутера, за MAC адресом конкретного устройства. Осуществить это можно , зайдя в раздел меню Сервисы → Сервер DHCP и создав новую пару MAC — IP с соответствующим комментарием. Если в текущий момент времени устройство имеет активную аренду IP адреса от DHCP сервера роутера, то его текущий выданный IP , а также MAC можно будет увидеть на этой же странице в соответствующем списке.

Настройка статической пары MAC-IP на DHCP сервере роутера

Если же Вам необходимо пробросить диапазон портов, необходимо учесть следующее: 1. Стоит по возможности избегать проброса с разными портами src/dst, т.к при использовании комплексных протоколов обслуживаемых ALG (FTP/RTSP/SIP/PPTP/L2TP etc) т.к., могут возникать разночтения. 2. Ширина диапазонов src и dst портов должна совпадать. 3. Порты должны быть равнозначны. Т.е, работа сервиса не должна зависеть от конкретного выбранного порта из диапазона. Такими случаями, например, являются: data порты FTP сервера, порты для передачи голоса SIP сервера, порты раздачи torrent, и т.д.

4. Если необходимо настроить NETMAP, т.е проброс 1:1 (фиксированные пары src и dst портов диапазона), то необходимо каждую пару создавать отдельным правилом. В общем случае при указании диапазона соединение осуществляется на первый доступный порт для которого в conntrack отсутствует запись.

Уже созданные правила проброса портов можно проверить в консоли в Chain FORWARD, скомандовав iptables -L -v -n -t nat . Необходимо помнить, что для получения корректных данных счетчиков (например, в диагностических целях), весь возможный offload должен быть отключен, иначе большая часть трафика в счетчик не попадет. Разумеется, если такой цели не стоит, offload использовать можно и нужно.

2. Пара слов про UPNP

На сегодняшний день многие приложения, включая torrent-клиенты, умеют UPNP IGD (Universal Plug and Play Internet Gateway Device), что позволяет не пробрасывать порты вручную для этих приложений, а воспользоваться автоматичесим пробросом. OS Wive-NG также поддерживает эту возможность. Основным условием является включение UPNP как на роутере, так и в настройках клиента. Включить UPNP можно в блоке настроек Сервисы → Разное → Сервис

Включение UPNP на роутере

3. Пара слов про настройки ALG (Шлюз прикладного уровня)

ALG (Application Layer Gateway, Шлюз прикладного уровня) анализирует проходящий трафик, распрозает конкретные протоколы и осуществляет ретрансляцию на стандартный порт, соответствующий протоколу. Это позволяет нескольким клиентским устройствам, находящимся за NAT (т.е, в локальной сети маршрутизатора) одновременно и беспрепятственно вести обмен трафиком ряда прикладных протоколов с внешними хостами без настройки проброса портов. В linux данная опция называется Conntrack NAT Helpers.

Включение ALG на роутере

В Wive-NG ручная настройка ALG не требуется — достаточно выбрать интересующий протокол из списка.

4. Пара слов про DMZ (Демилитаризованная зона)

DMZ позволяет выделить опредленный хост в локальной сети в сегмент, общедоступный с WAN по всем портам, открытым на этом хосте (будь то локальный сервер или другое устройство). В этом случае, все соединения, инициированные из WAN будут попадать в DMZ, и ровно на те порты , которые были указаны в качестве портов назначения в соединении. Доступ к остальным устройствам локальной сети из WAN, включая сам маршрутизатор, будет при этом закрыт.

Настройка DMZ на роутере

Пример: при указании в качестве DMZ адреса 192.168.1.124 , все соединения на глобальный адрес маршрутизатора будут перенаправлены на соответствующие порты устройства 192.168.1.124. К примеру, попытка подключиться к web-интерфейсу через браузер с указанием в адресной строке http://my_ip:80 , будет интерпретировано маршрутизатором как обращение к машине 192.168.1.124 на 80 порт. Будет ли установлено такое соединение, зависит исключительно от того, открыт или закрыт указанный порт на устройстве, расположенном на 192.168.1.124.

Важно: при включении DMZ NAT loopback соединения с LAN на маршрутизатор будут обрабатываться тем же образом, что и соединения с WAN. То есть, доступ к маршрутизатору будет утерян, тк все запросы будут перенаправлены на соответствующие порты по адресу, указанному в качестве DMZ.

Важно: чтобы избежать конфликта, не следует одновременно с DMZ настраивать правила firewall, содержащие в себе тот же адрес, что указан в качестве DMZ.

Особенности фильтрации трафика по IP / MAC / портам рассмотрим в следующей статье…..

Пробрасываем порты. Нюансы Port Forward . обновлено: 2018-12-19 автором: rgn_sss

wi-cat.ru

Быстрый проброс портов на роутере: рабочие инструкции для чайников

Иногда у пользователей персональных компьютеров возникает необходимость удаленного использования сторонних устройств, находящихся в пределах одной локальной сети. Эту возможность обеспечивает сервис сетевого шлюза под названием проброс портов.

Для чего нужен проброс портов? Эта функция создана для обмена информацией между устройствами, трансляции изображения с видеокамер, создания серверов для онлайн-игр и подобных действий.

Как работает технология?

Что такое порты, зачем они нужны и как их перенаправлять, узнаете в следующем видео:

Сетевые технологии используют систему пакетов. Пакеты – блоки данных, которые передают информацию в сети. Пакеты имеют адрес получателя и значение порта. Когда сетевой шлюз получает пакет, он передаёт его дальше на определённый IP-адрес.

Функция перенаправления портов позволяет выбрать адрес получателя пакета по своему усмотрению. Тогда пакеты, поступившие на роутер, будут перенаправляться на соответствующий порт компьютера, подключенного к локальной сети.

Прежде чем перейти к включению и настройке проброса портов, разберёмся с понятием IP-адреса. IP-адрес – это адрес компьютера в сети. Бывают следующие виды IP-адресов: статический и динамический. Подключение к локальной сети происходит через статический IP-адрес.

Присвоить статический IP можно в Центре управления сетями и общим доступом. Для этого выбираем «Интернет» и получаем доступ в такое окно:

В «Свойствах» нажимаем 4 версию протокола:

Выбираем «Свойства» и отмечаем пункт «Использовать следующий адрес», куда пишем статический адрес:

Динамические адреса также дают такую возможность, но после их изменения подключение не работает.

Настройка проброса портов

Как пробросить порт на роутере? Включить проброс портов можно как автоматически, так и вручную. Автоматический способ возможен, если устройство имеет UPup. Эта функция даёт возможность перенаправить порт.

При обмене файлами через приложение торрент или создании локальной сети для игры, нужно удостовериться, что функция UPup включена. На модемах TP-Link это делается следующим образом:

  1. Нужно включить меню роутера, ввести в адресной строке браузера свой IP и авторизоваться;
  2. Выбрать пункт «Переадресация» и включить его.

Для модемов фирмы Asus:

  1. Включить меню Интернета;
  2. Найти пункт «Подключение» и активировать функцию UPnP.

Как сделать проброс портов вручную?

Ручная настройка проброса портов требует больше усилий, но этот способ более надёжен. Автоматическая переадресация портов не гарантирует безопасности сети. Ваш роутер может открыть доступ стороннему устройству. Ручная настройка позволяет контролировать процесс передачи данных.

Если вам уже известно, какой порт необходимо задействовать, и вы выполняете проброс для определенной программы, то настройки выполняются следующим образом:

  1. Нужно найти в настройках программы пункт «Соединение» и написать туда данные из пункта «Строка входящих соединений»;
  2. Убрать все флажки из нижних пунктов за исключением «В исключения Брандмауэра».

Для дальнейшей настройки понадобиться MAC-адрес компьютера. Его нужно найти при помощи таких действий:

  • Открыть меню «Пуск» и зайти в «Панель управления». Найти пункт «Центр управления сетями и общим доступом»;
  • Откройте сведения актуального подключения по локальной сети, перепишите комбинацию цифр из строки «Физический адрес».

Дальше настраиваем проброс портов на роутере. Для этого нужно изменить установку IP-адреса на статический. На модемах TP-LINK это делается так:

  1. Выбрать пункт «Таблица ARP» в меню привязки IP и MAC-адресов;
  2. Найти адрес IP по MAC-адресу и запомнить его;
  3. Открыть параметры привязки и выбрать функцию «Связывание ARP»;
  4. Нажать на строку «Добавить новую» и внести нужные данные.

Когда IP и MAC-адреса связаны, нужно настроить параметры переадресации. Найдите раздел «Переадресация», в нём пункт «Виртуальные серверы», нажмите на «Добавить новую…».

В первых двух строках введите номер из параметров торрента и впишите IP-адрес, а из выпадающих окон выберите пункт «Все» и состояние «Включено».

В следующем видео – инструкция по пробросу портов на роутере D-Link DIR-300:

Заходим в браузер, вводим свой IP-адрес и авторизуемся. Затем нажимаем на «Межсетевой экран» и заходим в «Мастер настройки виртуального сервера».

Далее заполняем поля:

  • Шаблон – Выбираем один из предложенных, либо нажимаем на Custom и указываем пользовательские значения.
  • Имя – Вводим любое имя.
  • Интерфейс – здесь нужно выбрать, к чему будет привязан создаваемый сервер.
  • Внутренний IP – выбираем из списка одно из устройств локальной сети.
  • Удаленный IP – вводим адрес устройства, для которого необходимо открыть доступ из внешней сети. Либо оставляем поле пустым – это позволит подключаться любому устройству.
  • Нажимаем «Сохранить».

Альтернативный способ

Заходим в Web-интерфейс, затем в «Расширенные настройки». Здесь выбираем «Межсетевой экран», затем «Виртуальные серверы». Нажимаем «Добавить». После этого нужно заполнить следующие поля:

  • Шаблон– выбираем один из предложенных, либо нажимаем на Custom и указываем пользовательские значения.
  • Имя– Вводим любое имя.
  • Интерфейс– здесь нужно выбрать, к чему будет привязан создаваемый сервер.
  • Протокол– выбираем нужное назначение.
  • Внешний порт (начальный)/ Внешний порт (конечный)– через них происходит передача трафика.
  • Внутренний порт/Внутренний порт.
  • Теперь нужно сохранить настройки.

Внутренний IP – выбираем из списка одно из устройств локальной сети. Удаленный IP – Вводим адрес устройства, для которого необходимо открыть доступ из внешней сети. Либо оставляем поле пустым – это позволит подключаться любому устройству.

Возможные трудности

Как только проброс портов будет настроен, удаленный доступ должен заработать. Но иногда возникают неполадки. Их причиной может быть антивирус или Брандмауэр основного компьютера. Эти программы могут счесть новые подключения опасными.

Чтобы решить эту проблему, нужно зайти в Брандмауэр и разрешить подключение к заданному порту. Брандмауэр можно найти в меню «Пуск» и зайти в окно настроек. Нажимаем на пункт «Дополнительные параметры».

Затем – «Правила для входящих подключений».

Затем – «Создать правило». Выбираем тип правила «Для порта» и жмем далее.

Указываем нужный протокол и порт, на который настроен проброс. Затем жмём на «Разрешить подключение».

Отмечаем профили и вписываем свое имя.

После того, как нужные поля будут заполнены, жмите «Готово». Созданное таким образом новое правило можно изменять, отключать и удалить.

Как альтернативу можно использовать отключение Брандмауэра. Однако делать это не рекомендуется, чтобы не оставить свою ОС без защитника.

Пара слов о безопасности

При включении локальной сети нужно помнить о безопасности компьютера. Используйте сложные пароли и шифруйте личную информацию. Удаленным доступом к вашему компьютеру могут завладеть злоумышленники. Они смогут устанавливать на ваш ПК вредоносное программное оборудование или следить за данными, которые передаются через устройства локальной сети.

wifigid.ru

Смотрите также