Jeśli czytasz ten artykuł, gratulacje! Pomyślnie komunikujesz się z innym serwerem w Internecie za pomocą portów 80 i 443, standardowych otwartych portów sieciowych dla ruchu internetowego. Gdyby te porty były zamknięte na naszym serwerze, nie byłbyś w stanie przeczytać tego artykułu. Zamknięte porty chronią Twoją sieć (i nasz serwer) przed hakerami.
Nasze porty internetowe mogą być otwarte, ale porty routera domowego nie powinny być, ponieważ otwiera to dziurę dla złośliwych hakerów. Jednak od czasu do czasu może być konieczne zezwolenie na dostęp do urządzeń przez Internet za pomocą przekierowania portów. Aby pomóc Ci dowiedzieć się więcej o przekierowaniu portów, oto, co musisz wiedzieć.
Co to jest przekierowanie portów?
Przekazywanie portów to proces na routerach sieci lokalnej, który przekazuje próby połączenia z urządzeń online do określonych urządzeń w sieci lokalnej. Dzieje się tak dzięki regułom przekierowania portów na routerze sieciowym, które dopasowują próby połączenia wykonane do prawidłowego portu i adresu IP urządzenia w Twojej sieci.
Sieć lokalna może mieć jeden publiczny adres IP, ale każde urządzenie w sieci wewnętrznej ma swój własny wewnętrzny adres IP. Przekierowanie portów łączy te zewnętrzne żądania z A (publiczny adres IP i port zewnętrzny) do B (żądany port i lokalny adres IP urządzenia w sieci).
Aby wyjaśnić, dlaczego może to być przydatne, wyobraźmy sobie, że Twoja sieć domowa przypomina trochę średniowieczną fortecę. Podczas gdy ty możesz wyjrzeć poza mury, inni nie mogą zajrzeć ani przełamać twoich zabezpieczeń — jesteś chroniony przed atakiem.
Dzięki zintegrowanym zaporom sieciowym Twoja sieć znajduje się w tej samej pozycji. Możesz uzyskać dostęp do innych usług online, takich jak strony internetowe lub serwery gier, ale inni użytkownicy internetu nie mogą w zamian uzyskać dostępu do Twoich urządzeń. Most zwodzony jest podnoszony, ponieważ zapora aktywnie blokuje wszelkie próby naruszenia sieci przez połączenia zewnętrzne.
Są jednak sytuacje, w których ten poziom ochrony jest niepożądany. Jeśli chcesz uruchomić serwer w swojej sieci domowej (na przykład za pomocą Raspberry Pi ), konieczne są połączenia zewnętrzne.
W tym miejscu pojawia się przekierowanie portów, ponieważ możesz przekazywać te zewnętrzne żądania do określonych urządzeń bez narażania bezpieczeństwa.
Załóżmy na przykład używasz lokalnego serwera internetowego na urządzeniu z wewnętrznym adresem IP 192.168.1.12, a Twój publiczny adres IP to 80.80.100.110. Żądania zewnętrzne do portu 80(80.90.100.110:80) byłyby dozwolone dzięki regułom przekierowania portów, a ruch był przekazywany do portu 80na 192.168.1.12.
Aby to zrobić, musisz skonfigurować sieć tak, aby zezwalała na przekierowanie portów, a następnie utworzyć odpowiednie reguły przekierowania portów w routerze sieciowym. Może być również konieczne skonfigurowanie innych zapór w sieci, w tym Zapora systemu Windows, aby zezwolić na ruch.
Dlaczego należy unikać UPnP (automatycznego przekierowania portów)
Konfiguracja przekierowania portów w sieci lokalnej nie jest trudna dla zaawansowanych użytkowników, ale może powodować wszelkiego rodzaju trudności dla nowicjuszy. Aby rozwiązać ten problem, producenci urządzeń sieciowych stworzyli zautomatyzowany system przekierowania portów o nazwie UPnP(lub Universal Plug and Play).
Idea stojąca za Protokół UPnP umożliwiał (i jest) zezwolenie aplikacjom i urządzeniom internetowym na automatyczne tworzenie reguł przekierowania portów na routerze, aby umożliwić ruch zewnętrzny. Na przykład UPnP może automatycznie otwierać porty i przekazywać ruch dla urządzenia z uruchomionym serwerem gier bez konieczności ręcznego konfigurowania dostępu w ustawieniach routera.
Pomysł jest genialny, ale niestety wykonanie jest wadliwe – jeśli nie wyjątkowo niebezpieczne. UPnP to marzenie złośliwego oprogramowania, ponieważ automatycznie zakłada, że wszelkie aplikacje lub usługi działające w Twojej sieci są bezpieczne. Witryna hakerów UPnP ujawnia liczbę zagrożeń, które nawet dzisiaj są łatwo uwzględniane w routerach sieciowych.
Z punktu widzenia bezpieczeństwa najlepiej jest błądzić po stronie ostrożności. Zamiast ryzykować bezpieczeństwo sieci, unikaj używania UPnP do automatycznego przekierowania portów (i, jeśli to możliwe, wyłącz je całkowicie). Zamiast tego powinieneś tworzyć ręczne reguły przekierowania portów tylko dla aplikacji i usług, którym ufasz i które nie mają znanych luk w zabezpieczeniach.
Jak skonfigurować przekierowanie portów w swojej sieci
Jeśli unikasz UPnP i chcesz ręcznie skonfigurować przekierowanie portów, zwykle możesz to zrobić na stronie administracyjnej routera. Jeśli nie masz pewności, jak uzyskać do niego dostęp, zazwyczaj informacje można znaleźć na spodzie routera lub w instrukcji obsługi routera.
Możesz połączyć się z stronę administratora routera, używając domyślnego adresu bramy routera. Zazwyczaj jest to 192.168.0.1lub podobna odmiana – wpisz ten adres w pasku adresu przeglądarki internetowej. Będziesz także musiał uwierzytelnić się przy użyciu nazwy użytkownika i hasła dostarczonych z routerem (np. admin).
Konfigurowanie statycznych adresów IP za pomocą rezerwacji DHCP
Większość sieci lokalnych używa dynamicznej alokacji adresów IP do przypisywania tymczasowych adresów IP urządzeniom, które się łączą. Po pewnym czasie adres IP jest odnawiany. Te tymczasowe adresy IP mogą być przetwarzane i używane w innym miejscu, a Twoje urządzenie może mieć przypisany inny lokalny adres IP.
Jednak przekierowanie portów wymaga, aby adres IP używany dla wszelkich urządzeń lokalnych pozostał taki sam. Możesz przypisz statyczny adres IP ręcznie, ale większość routerów sieciowych umożliwia przypisanie statycznego adresu IP do niektórych urządzeń na stronie ustawień routera za pomocą rezerwacji DHCP.
Niestety, każdy producent routera jest inne, a kroki pokazane na poniższych zrzutach ekranu (wykonanych przy użyciu routera TP-Link) mogą nie pasować do routera. W takim przypadku może być konieczne przejrzenie dokumentacji routera, aby uzyskać dodatkowe wsparcie.
Aby rozpocząć, wejdź na stronę administracyjną routera sieciowego za pomocą przeglądarki internetowej i uwierzytelnij się przy użyciu nazwy użytkownika i hasła administratora routera. Po zalogowaniu uzyskaj dostęp do obszaru ustawień DHCP routera.
Możesz skanować w poszukiwaniu już podłączonych urządzeń lokalnych (aby automatycznie wypełnić wymaganą regułę alokacji) lub może być konieczne podanie konkretny adres MAC urządzenia, któremu chcesz przypisać statyczny adres IP. Utwórz regułę, używając prawidłowego adresu MAC i adresu IP, którego chcesz użyć, a następnie zapisz wpis.
Tworzenie nowej reguły przekierowania portów
Jeśli Twoje urządzenie ma statyczny adres IP (ustawiony ręcznie lub zarezerwowany w ustawieniach alokacji DHCP), możesz przejść do utworzenia reguły przekierowania portów. Warunki tego mogą się różnić. Na przykład niektóre routery TP-Link określają tę funkcję jako serwery wirtualne, podczas gdy routery Cisco określają ją standardową nazwą (Przekierowanie portów).
W odpowiednim menu na stronie administratora routera utwórz nową regułę przekierowania portów. Reguła będzie wymagać portu zewnętrznego(lub zakresu portów), z którym mają się łączyć użytkownicy zewnętrzni. Ten port jest połączony z Twoim publicznym adresem IP (np. port 80dla publicznego adresu IP 80.80.30.10).
Musisz także określić port wewnętrzny, na który chcesz przekierować ruch z portu zewnętrznego. Może to być ten sam port lub port alternatywny (aby ukryć cel ruchu). Musisz także podać statyczny adres IP urządzenia lokalnego(np. 192.168.0.10) oraz używany protokół portu (np. TCP lub UDP).
W zależności od routera możesz wybrać typ usługi, aby automatycznie wypełnić wymagane dane reguły (np. HTTPdla portu 80 lub HTTPSdla portu 443). Po skonfigurowaniu reguły zapisz ją, aby zastosować zmianę.
Dodatkowe kroki
Twój router sieciowy powinien automatycznie zastosować zmianę do reguł zapory . Wszelkie próby połączenia zewnętrznego z otwartym portem powinny być przekazywane do urządzenia wewnętrznego przy użyciu utworzonej reguły, chociaż może być konieczne utworzenie dodatkowych reguł dla usług korzystających z kilku portów lub zakresów portów.
W przypadku problemów może być konieczne dodanie dodatkowych reguł zapory do zapory programowej komputera PC lub Mac (w tym zapory systemu Windows), aby umożliwić ruch. Na przykład Zapora systemu Windows zwykle nie zezwala na połączenia zewnętrzne, więc może być konieczne skonfigurowanie tego w menu Ustawienia systemu Windows.
Jeśli Zapora systemu Windows powoduje trudności, możesz wyłącz to tymczasowo zbadać. Jednak ze względu na zagrożenia bezpieczeństwa zalecamy ponowne włączenie Zapory systemu Windows po rozwiązaniu problemu, ponieważ zapewnia ona dodatkową ochronę przed możliwe próby włamania.
Zabezpieczanie Twoja sieć domowa
Nauczyłeś się konfigurować przekierowanie portów, ale nie zapominaj o ryzyku. Każdy otwarty port dodaje kolejną dziurę za zaporą routera, którą narzędzia do skanowania portów może znaleźć i nadużyć. Jeśli chcesz otworzyć porty dla niektórych aplikacji lub usług, upewnij się, że ograniczasz je do poszczególnych portów, a nie do ogromnych zakresów portów, które mogą zostać naruszone.
Jeśli martwisz się o swoją sieć domową, możesz zwiększyć bezpieczeństwo sieci o dodanie zapory innej firmy. Może to być zapora programowa zainstalowana na komputerze PC lub Mac lub całodobowa zapora sprzętowa, taka jak Firewalla Złota, podłączona do routera sieciowego w celu ochrony wszystkich urządzeń jednocześnie.