Что такое переадресация портов
Wi-CAT LLC
Wireless Comprehensive Advanced Technology. Build your network now.
В данной статье рассмотрим всё, что связано с Port Forward (проброс портов) – автоматически и вручную.
Часто, помимо обеспечения доступа в интернет пользователям, подключенным к маршрутизатору, возникают такие задачи как:
– прозрачный доступ к какому-либо устройству или сервису, находящемуся в локальной сети
– фильтрация входящих или исходящих соединений с целью ограничить посещение тех или иных ресурсов, работу сервисов, и другие несанкционированные активности.
По сути, раздел веб-интерфейса Firewall (Сетевой Экран) — это не что иное, как GUI, позволяющий создавать правила iptables, не прибегая к консоли. Разумеется, последний вариант (консоль) позволяет осуществить более гибкую настройку политик разрешений и запретов, и если есть такая возможность, то лучше «подружиться» с iptables (тем более, что это штатное средство unix-систем, и понимание логики его работы будет применимо и к работе с другими unix-based устройствами). Однако, базовые пользовательские задачи вполне решаются посредством web.
1. Настройки проброса портов (Port Forwarding).
Иногда нам необходимо организовать удаленный доступ к устройству, находящемуся в локальной сети, по тому или иному протоколу. К примеру, доступ к web-интерфейсу IP телефона (по умолчанию, порт 80), или же работу с удаленным рабочим столом по протоколу RDP (по умолчанию порт в Windows 3389). Также, может возникнуть задача обеспечения функционирования сервиса, запущенного в локальной сети, который ведет прием и передачу данных по конкретному диапазону равнозначных портов (к примеру, SIP сервер, или же раздача контента посредством torrent клиента).
Но с точки зрения того, кто находится в глобальной сети, все эти устройства имеют один и тот же IP адрес (либо доменное имя). Именно тут на помощь приходит проброс портов (port forward).
Включение проброса портов (port forward)
Для включения сервиса необходимо обратиться к пунктам меню:
Сетевой экран (Firewall) → Сетевой экран (Firewall) → Настройка проброса портов (Port Forwarding), и включить сервис.
Настройка проброса портов (Port forward) на роутере
Например, правило вида:
Interface (Интерфейс) = WAN,
Protocol (Протокол) = TCP,
Src Ports (Порт ист.) = 8888,
Dst IP (IP назначения) = 192.168.1.124,
Dst Ports (Порт назн.) = 80,
Comment (Комментарий) = ‘IP Phone’
будет означать, что при обращении по адресу http://Ваш_IP_адрес:8888 либо http://Ваш_Домен:8888 весь TCP трафик будет перенаправляться на устройство, имеющее IP адрес 192.168.1.124 в Вашей локальной сети, а именно — на 80 порт.
TCP&UDP / 3389 / 192.168.1.150 / 3389 / ‘RDP’
гласит о том, что в Вашей сети есть ПК, живущий на IP адресе 192.168.1.150, к удаленному рабочему столу на котором Вы подключитесь, сказав “http://Ваш_Домен:3389” (т.к в примере выбран интерфейс VPN, то судя по всему, указать статический IP просто невозможно — для решения этой проблемы можно воспользоваться аккаунтом на одном из DynDNS сервисов (такая возможность также доступна штатно в ПО Wive-NG).
Настройка Dynamic DNS
Настройка статической пары MAC-IP на DHCP сервере роутера
Если же Вам необходимо пробросить диапазон портов, необходимо учесть следующее:
1. Стоит по возможности избегать проброса с разными портами src/dst, т.к при использовании комплексных протоколов обслуживаемых ALG (FTP/RTSP/SIP/PPTP/L2TP etc) т.к., могут возникать разночтения.
2. Ширина диапазонов src и dst портов должна совпадать.
3. Порты должны быть равнозначны. Т.е, работа сервиса не должна зависеть от конкретного выбранного порта из диапазона. Такими случаями, например, являются: data порты FTP сервера, порты для передачи голоса SIP сервера, порты раздачи torrent, и т.д.
4. Если необходимо настроить NETMAP, т.е проброс 1:1 (фиксированные пары src и dst портов диапазона), то необходимо каждую пару создавать отдельным правилом. В общем случае при указании диапазона соединение осуществляется на первый доступный порт для которого в conntrack отсутствует запись.
2. Пара слов про UPNP
На сегодняшний день многие приложения, включая torrent-клиенты, умеют UPNP IGD (Universal Plug and Play Internet Gateway Device), что позволяет не пробрасывать порты вручную для этих приложений, а воспользоваться автоматичесим пробросом. OS Wive-NG также поддерживает эту возможность. Основным условием является включение UPNP как на роутере, так и в настройках клиента.
Включить UPNP можно в блоке настроек Сервисы → Разное → Сервис
Включение UPNP на роутере
3. Пара слов про настройки ALG (Шлюз прикладного уровня)
ALG (Application Layer Gateway, Шлюз прикладного уровня) анализирует проходящий трафик, распрозает конкретные протоколы и осуществляет ретрансляцию на стандартный порт, соответствующий протоколу. Это позволяет нескольким клиентским устройствам, находящимся за NAT (т.е, в локальной сети маршрутизатора) одновременно и беспрепятственно вести обмен трафиком ряда прикладных протоколов с внешними хостами без настройки проброса портов. В linux данная опция называется Conntrack NAT Helpers.
Включение ALG на роутере
В Wive-NG ручная настройка ALG не требуется — достаточно выбрать интересующий протокол из списка.
4. Пара слов про DMZ (Демилитаризованная зона)
Настройка DMZ на роутере
Важно: при включении DMZ NAT loopback соединения с LAN на маршрутизатор будут обрабатываться тем же образом, что и соединения с WAN. То есть, доступ к маршрутизатору будет утерян, тк все запросы будут перенаправлены на соответствующие порты по адресу, указанному в качестве DMZ.
Важно: чтобы избежать конфликта, не следует одновременно с DMZ настраивать правила firewall, содержащие в себе тот же адрес, что указан в качестве DMZ.
Особенности фильтрации трафика по IP / MAC / портам рассмотрим в следующей статье…..
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Как настроить переадресацию портов на роутере?
Переадресация портов (так называемое сопоставление портов) – это процесс пересылки интернет-пакетов конкретным хостам на основе определенной таблицы маршрутизации. В этом посте я объясню, как настроить переадресацию портов на вашем маршрутизаторе. Вы должны знать, как настроить переадресацию портов, если 1) у вас есть такие сервисы, как веб-сервер, SSH, CouchPotato, Sick Beard, SABnzbd, qBittorrent, Transmission, Deluge, ShellInABox или Webmin, 2) вы хотели бы иметь возможность доступа к этим службам за пределами вашей локальной сети (Интернет), и 3) ваши компьютеры / хосты, на которых работают эти службы, находятся за трансляцией сетевых адресов (NAT) или DHCP-сервером. Устройство NAT или DHCP – это устройство, которое назначает локальные IP-адреса (например, 192.168.XX) всем подключенным устройствам. Он бывает разных типов, но в этом посте мы настроим переадресацию портов на маршрутизаторе.
Основы переадресации портов
Прежде чем мы настроим переадресацию портов, лучше понять, что это такое. Давайте рассмотрим простую аналогию делового комплекса, состоящего из двух офисных зданий A и B. Административный и торговый отделы находятся в корпусе A, а сервисный и исследовательский отделы – в корпусе B. Каждый из них имеет свой собственный почтовый ящик (1, 2, 3, и 4) в своих соответствующих зданиях. В таком случае уличный адрес офисного комплекса похож на внешний IP-адрес вашей сети. Имя здания (A / B) похоже на внутренний IP-адрес хоста / компьютера, на котором запущена определенная служба. Номер почтового ящика похож на номер порта. Любой пакет (интернет-пакет), полученный на ваш уличный адрес (внешний IP-адрес) для определенного почтового ящика (порта), будет автоматически перенаправлен в правильное здание (внутренний хост) с правильным отделом (службой), который принимает посылки через свой почтовый ящик (порт), Во избежание конфликтов во время маршрутизации две службы не могут работать на одном и том же порту. На следующем рисунке показано схематическое представление переадресации портов.
Схематическое изображение переадресации портов
Настройка перенаправления портов на маршрутизаторе
Недавно я заменил свой Linksys WRT320n под управлением DD-WRT на Asus N66U под управлением Asus-WRT (сборка Merlin ). Если вы простите цену, это, безусловно, лучший маршрутизатор, которым я когда-либо владел. В любом случае, приведенные ниже изображения взяты из веб-интерфейса Asus-WRT, но другие прошивки маршрутизатора должны выглядеть очень похоже, и поэтому независимо от того, какой у вас маршрутизатор, вы сможете настроить переадресацию портов на нем, используя это руководство.
ASUS (RT-AC68U) Wireless-AC1900 Двухдиапазонный гигабитный маршрутизатор
ASUS (RT-AC68U) Wireless-AC1900 Двухдиапазонный гигабитный маршрутизатор
Узнайте, почему он считается лучшим беспроводным маршрутизатором в своем классе.Службы, порты и IP-адрес
Первое, что вы должны сделать, это перечислить все внутренние IP-адреса компьютеров, на которых запущены такие службы, как веб-сервер, SSH, CouchPotato, Sick Beard, SABnzbd, qBittorrent, Transmission, Deluge, ShellInABox или Webmin., Затем определите и запишите порты, на которых эти службы прослушивают. Это в основном все, что вам нужно для настройки переадресации портов на маршрутизаторе. Как правило, большинство из вышеперечисленных служб будут работать на вашем ПК медиа-центра, и у большинства людей дома есть только один сервер. Если у вас более одного домашнего сервера, на котором запущена одна и та же служба, убедитесь, что служба настроена на прослушивание разных номеров портов на разных хостах. Наши руководства по вышеперечисленным сервисам объясняют, как изменить номера портов, которые прослушиваются этими сервисами. Помните, что сервисы также могут быть подключенными к Интернету играми (пример: Ages of Empires), а хосты / серверы могут быть вашей игровой консолью (пример: XBOX Live). Когда у вас есть все номера, вы готовы настроить переадресацию портов на вашем маршрутизаторе.
Включить переадресацию портов
Некоторые прошивки, такие как Asus-WRT, предлагают предопределенный список услуг и игр, которые вы можете выбрать, но большинство прошивок, включая DD-WRT, этого не делают.
Общие службы, требующие переадресации портов
Общие игры, требующие переадресации портов
В большинстве прошивок вы можете настроить переадресацию портов, создав таблицу маршрутизации. Эти таблицы обычно имеют один или несколько из следующих столбцов (Сервис, Порт или Диапазон портов, внутренний IP-адрес, локальный порт и протокол (TCP / UDP / Both). Начните создавать таблицу маршрутизации на основе служб, IP-адресов и порты данных, которые вы собрали ранее. Прошивка Asus-WRT показывает некоторые из наиболее распространенных служб, которые работают на домашнем сервере, и порты по умолчанию, на которых они прослушивают. Номера портов могут отличаться (на самом деле, для дополнительной безопасности мы рекомендуем ). Ниже приведены примеры обеих прошивок Asus-WRT.
Таблица переадресации портов на Asus-WRT
Обратите внимание, что большинство служб прослушивают порты TCP, и поэтому вы можете выбрать «TCP» или «Оба» (TCP / UDP) для протокола. Вам редко придется указывать внутренний или локальный порт. В моем случае (старый HTTP в приведенной выше таблице) я ранее запускал веб-сервер Apache на порту 8000, потому что мой провайдер блокировал порт 80. Некоторые из этих обратных ссылок все еще были активны. Чтобы сохранить этот трафик, мне пришлось перенаправить все соединения с полученного на порт 8000 на порт 80, который слушает мой новый веб-сервер Apache.
Таблица переадресации портов на DD-WRT
Примените новые настройки и перезагрузите маршрутизатор. Теперь вы должны иметь доступ к своим услугам удаленно. Это все, что нужно сделать. Идите вперед, настройте переадресацию портов и наслаждайтесь возможностью доступа к вашим услугам из любого места.
Проброс портов — для чего он нужен, и как его сделать?
Проброс портов обычно используется для того, чтобы получить доступ к информации и данным на другом устройстве, которое подключёно к той же сети по Wi-Fi-роутеру. Для каких целей используется переадресация портов? Допустим, вы хотите подсоединиться к компьютеру, который транслирует видеосигнал, чтобы смотреть транслируемое видео или создаёте сервер для общей игры в Интернете. В некоторых случаях нужно открыть доступ к ПК, если вы хотите обмениваться трафиком через торрент-приложения.
Функцию виртуального сервера используют лишь продвинутые пользователи сети
Как включить проброс портов?
Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.
На моделях TP-Link это делается так:
В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.
При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.
Ручной способ переадресации
Выполнить проброс портов вручную немного сложнее, но этот способ считается более верным. При автоматической переадресации иногда возникает ситуация, когда роутер открывает доступ не для того устройства, и если вы хотите все контролировать в целях безопасности сети, то остановитесь на этом способе настройки. Есть один минус — переадресация перестанет работать, если поменять данные роутера, поэтому придётся заново вносить всю необходимую информацию.
Когда вы уже знаете, какой порт хотите открыть и делаете это для отдельной программы, например, торрента, выполните следующее:
Ещё нужен MAC-адрес компьютера, дабы по нему найти свой компьютер в списке всех устройств, подключённых к маршрутизатору.
Его вы узнаете при помощи таких действий:
Теперь настроим роутер на проброс портов. Прежде всего, в меню оборудования измените способ установки IP-адреса на статический, так как для открытия порта необходимо, чтобы он оставался неизменным.
Рассмотрим, как сделать переадресацию на моделях TP-Link, так как они наиболее востребованы среди провайдеров и их клиентов.
Вы связали вместе IP и MAC-адреса вашего компьютера, теперь осталось внести параметры для переадресации. Это делается так:
Теперь вы осведомлены в том, как делается проброс портов автоматически и вручную. Выбрать оптимальный вариант установки вы можете по своему усмотрению, а если что-то пойдёт не так, то всегда можно сбросить настройки и начать процесс сначала.
Как Открыть Порты на Роутере TP-Link — Проброс 80 Порта и NAT Переадресация
Поговорим про то, как открыть порты на роутере TP-Link. Слышали когда-нибудь о том, как сделать проброс портов, который еще называют «переадресация», «перенаправление», или «Port Forwarding», «Port Triggering»? Для чего вообще нужна эта функция на маршрутизаторе? Прежде чем посмотреть на конкретные примеры, давайте сначала я немного расскажу о том, что такое проброс портов, а потом подробно разберемся, как открыть порты на маршрутизаторе TP-Link.
Для чего нужно открывать порты на роутере?
Вопрос, который чаще всего задают новички, — для чего вообще необходимо перенаправление портов?
Открыть порты на роутере и выполнить их проброс нужно в том случае, если мы хотим с одного устройства в локальной сети получить доступ к какому-то конкретному сетевому приложению, запущенному на другом. Например, транслировать изображение с IP камеры на ноутбук. Или подключиться к игровому серверу, запущенному на одном из компьютеров.
Если мы наберем в браузере IP адрес роутера TP-Link http://192.168.0.1, то попадем на страницу панели администратора. Однако мы знаем, что маршрутизатор назначает такие же адреса всем остальным устройствам внутри локальной сети — компьютерам, ноутбукам, смартфонам, сетевым камерам, ТВ приставке и так далее. У каждого из них есть свой IP адрес.
Как же объяснить другому ноутбуку, с которого мы хотим подключиться к веб-камере, что мы хотим попасть именно на эту самую программу онлайн трансляции видео, запущенную на другом компьютере?
Здесь нам на помощь приходит как раз функция перенаправления портов на wifi роутере. Приведу аналогию с улицей и домами. Вася, Петя и Лена живут в одном доме на одной и той же улице, но в разных квартирах. Если бы у всех ребят в адресе был только дом и улица, то невозможно было бы понять, в какой именно квартире живет каждый из них.
Соответственно, если курьеру на упаковке указать только дом и улицу, то он будет ходить к каждому из жильцов, но не знать точно, кому адресуется посылка. Номер квартиры точно укажет, куда именно ее нужно отнести.
Что такое проброс портов на маршрутизаторе?
Проброс портов (Port Forwarding) — это закрепление за той или иной программой, запущенной на каком-либо из устройств, которое подключено к wifi роутеру, определенного порта для подключения к ней с другого компьютера, ноутбука или смартфона.
Именно определенный закрепленный за конкретным приложением порт определяет, к какой именно программе, запущенной на данном компьютере, мы хотим получить удаленный доступ с другого устройства. На одном и том же ПК может быть одновременно запущено несколько ресурсов для общего сетевого использования — файловое хранилище, игровой сервер, видеонаблюдение и т.д. У всех у них будет один и тот же IP адрес, который принадлежит данному ПК. А порты — разные.
Но wifi роутер по умолчанию не знает, какой именно порт использует ваша программа на компьютере. Поэтому ему нужно «объяснить», то есть открыть порт и прописать в настройках перенаправление (проброс) на нужное приложение при обращении к определенному компьютеру.
Как пробросить порты на роутере TP-Link — NAT переадресация
Итак, на практике для проброса портов на ТП-Линк нам необходимо сделать две вещи:
Для того, чтобы открыть порт на роутере TP-Link, необходимо зайти в меню «Дополнительные настройки — NAT-переадресация». Здесь данная функция называется «Port Triggering». Для добавления нового перенаправления нажимаем на ссылку «Добавить +»
Здесь удобно реализована функция выбора из уже работающих на компьютере программ — нажимаем на «Просмотр существующих приложений» и кликаем по тому, к которому нужно получить внешний доступ.
Маршрутизатор автоматически подставит внутренний и внешний порт, который по умолчанию задан для переадресации на этой программе. Можно оставить все, как есть, проверить наличие галочки на пункте «Включить» и добавить это условие кнопкой «ОК»
Вернемся к примеру с веб-камерой. В моем случае она использует порт «80», то есть нам нужно его открыть и пробросить на роутере. IP компьютера имеет значение «192.168.0.20».
В результате выполненного перенаправления на TP-Link при вводе в браузер адреса «http://192.168.0.20:80» мы попадаем в панель управления веб-камерой.
Видео, как открыть порт ТП-Линк
Почему не открываются порты на роутере TP-Link — возможные проблемы
Даже если вы сделаете все правильно, то есть вероятность столкнуться с ошибкой, что порты на роутере TP-Link не открываются — почему?
Если при обращении к внутреннему устройству через интернет вы попадаете на главную страницу админки роутера TP-Link, то попробуйте поменять WEB-порт (http-порт) и медиа-порт на другие значения и пробросить их. Также учтите, что проверять работу проброса портов следует только из внешней сети интернет, а не с устройства, входящего в вашу локальную сеть.
Если при обращении к внутреннему устройству через интернет вообще ни чего не происходит, то проверьте:
Быстрый проброс портов на роутере: рабочие инструкции для чайников
Иногда у пользователей персональных компьютеров возникает необходимость удаленного использования сторонних устройств, находящихся в пределах одной локальной сети. Эту возможность обеспечивает сервис сетевого шлюза под названием проброс портов.
Для чего нужен проброс портов? Эта функция создана для обмена информацией между устройствами, трансляции изображения с видеокамер, создания серверов для онлайн-игр и подобных действий.
Как работает технология?
Что такое порты, зачем они нужны и как их перенаправлять, узнаете в следующем видео:
Сетевые технологии используют систему пакетов. Пакеты – блоки данных, которые передают информацию в сети. Пакеты имеют адрес получателя и значение порта. Когда сетевой шлюз получает пакет, он передаёт его дальше на определённый IP-адрес.
Функция перенаправления портов позволяет выбрать адрес получателя пакета по своему усмотрению. Тогда пакеты, поступившие на роутер, будут перенаправляться на соответствующий порт компьютера, подключенного к локальной сети.
Прежде чем перейти к включению и настройке проброса портов, разберёмся с понятием IP-адреса. IP-адрес – это адрес компьютера в сети. Бывают следующие виды IP-адресов: статический и динамический. Подключение к локальной сети происходит через статический IP-адрес.
Присвоить статический IP можно в Центре управления сетями и общим доступом. Для этого выбираем «Интернет» и получаем доступ в такое окно:
В «Свойствах» нажимаем 4 версию протокола:
Выбираем «Свойства» и отмечаем пункт «Использовать следующий адрес», куда пишем статический адрес:
Динамические адреса также дают такую возможность, но после их изменения подключение не работает.
Настройка проброса портов
Как пробросить порт на роутере? Включить проброс портов можно как автоматически, так и вручную. Автоматический способ возможен, если устройство имеет UPup. Эта функция даёт возможность перенаправить порт. По данной теме есть конкретные инструкции для отдельных моделей:
При обмене файлами через приложение торрент или создании локальной сети для игры, нужно удостовериться, что функция UPup включена. На модемах TP-Link это делается следующим образом:
Для модемов фирмы Asus:
Как сделать проброс портов вручную?
Ручная настройка проброса портов требует больше усилий, но этот способ более надёжен. Автоматическая переадресация портов не гарантирует безопасности сети. Ваш роутер может открыть доступ стороннему устройству. Ручная настройка позволяет контролировать процесс передачи данных.
Если вам уже известно, какой порт необходимо задействовать, и вы выполняете проброс для определенной программы, то настройки выполняются следующим образом:
Для дальнейшей настройки понадобиться MAC-адрес компьютера. Его нужно найти при помощи таких действий:
Дальше настраиваем проброс портов на роутере. Для этого нужно изменить установку IP-адреса на статический. На модемах TP-LINK это делается так:
Когда IP и MAC-адреса связаны, нужно настроить параметры переадресации. Найдите раздел «Переадресация», в нём пункт «Виртуальные серверы», нажмите на «Добавить новую…».
В первых двух строках введите номер из параметров торрента и впишите IP-адрес, а из выпадающих окон выберите пункт «Все» и состояние «Включено».
Настройка для роутеров D-Link
В следующем видео – инструкция по пробросу портов на роутере D-Link DIR-300:
Заходим в браузер, вводим свой IP-адрес и авторизуемся. Затем нажимаем на «Межсетевой экран» и заходим в «Мастер настройки виртуального сервера».
Далее заполняем поля:
Альтернативный способ
Заходим в Web-интерфейс, затем в «Расширенные настройки». Здесь выбираем «Межсетевой экран», затем «Виртуальные серверы». Нажимаем «Добавить». После этого нужно заполнить следующие поля:
Внутренний IP – выбираем из списка одно из устройств локальной сети. Удаленный IP – Вводим адрес устройства, для которого необходимо открыть доступ из внешней сети. Либо оставляем поле пустым – это позволит подключаться любому устройству.
Возможные трудности
Как только проброс портов будет настроен, удаленный доступ должен заработать. Но иногда возникают неполадки. Их причиной может быть антивирус или Брандмауэр основного компьютера. Эти программы могут счесть новые подключения опасными.
Чтобы решить эту проблему, нужно зайти в Брандмауэр и разрешить подключение к заданному порту. Брандмауэр можно найти в меню «Пуск» и зайти в окно настроек. Нажимаем на пункт «Дополнительные параметры».
Затем – «Правила для входящих подключений».
Затем – «Создать правило». Выбираем тип правила «Для порта» и жмем далее.
Указываем нужный протокол и порт, на который настроен проброс. Затем жмём на «Разрешить подключение».
Отмечаем профили и вписываем свое имя.
После того, как нужные поля будут заполнены, жмите «Готово». Созданное таким образом новое правило можно изменять, отключать и удалить.
Как альтернативу можно использовать отключение Брандмауэра. Однако делать это не рекомендуется, чтобы не оставить свою ОС без защитника.
Пара слов о безопасности
При включении локальной сети нужно помнить о безопасности компьютера. Используйте сложные пароли и шифруйте личную информацию. Удаленным доступом к вашему компьютеру могут завладеть злоумышленники. Они смогут устанавливать на ваш ПК вредоносное программное оборудование или следить за данными, которые передаются через устройства локальной сети.