Содержание
Откройте порты и направьте трафик через брандмауэр
В идеале большинство локальных сетей защищены от внешнего мира. Если вы когда-либо пытались установить службу, такую как веб-сервер или экземпляр Nextcloud, дома, то вы, вероятно, знаете из первых рук, что, хотя служба легко доступна внутри сети, она недоступна по всему миру. веб.
Для этого есть как технические причины, так и причины безопасности, но иногда вы хотите открыть доступ к чему-то внутри локальной сети для внешнего мира. Это означает, что вы должны иметь возможность направлять трафик из Интернета в локальную сеть — правильно и безопасно. В этой статье я объясню как.
Локальные и общедоступные IP-адреса
Первое, что вам нужно понять, это разница между локальным IP-адресом и общедоступным IP-адресом. В настоящее время большая часть мира (по-прежнему) использует систему адресации под названием IPv4, которая, как известно, имеет ограниченный пул номеров, доступных для назначения сетевым электронным устройствам.
На самом деле в мире больше подключенных к сети устройств, чем IPv4-адресов, и тем не менее IPv4 продолжает функционировать. Это возможно благодаря локальным адресам.
Все локальные сети в мире используют одни и те же пулы адресов . Например, локальный IP-адрес моего домашнего маршрутизатора — 192.168.1.1. Один из них, вероятно, имеет тот же номер, что и ваш домашний маршрутизатор, но когда я перехожу к 192.168.1.1, я получаю экран входа в систему моего маршрутизатора , а не экран входа в систему вашего маршрутизатора . Это потому, что ваш домашний маршрутизатор на самом деле имеет два адреса: один общедоступный и один локальный, а общедоступный защищает локальный от обнаружения в Интернете, а тем более от того, чтобы его не перепутали с чужим 19 адресом.2.168.1.1.
Изображение:
(Сет Кенлон, CC BY-SA 4.0)
Именно поэтому Интернет и называется Интернетом: это «паутина» взаимосвязанных и в остальном автономных сетей.
Каждая сеть, будь то ваше рабочее место, дом, школа, большой центр обработки данных или само «облако», представляет собой набор подключенных хостов, которые, в свою очередь, взаимодействуют со шлюзом (обычно маршрутизатором), который управляет трафиком из сети. Интернет и в локальную сеть, а также из локальной сети в Интернет.
Это означает, что если вы пытаетесь получить доступ к компьютеру в сети, отличной от той сети, к которой вы в данный момент подключены, то знание локального адреса этого компьютера вам не поможет. Вам необходимо знать общедоступный адрес шлюза удаленной сети. И это еще не все. Вам также необходимо разрешение на проход через этот шлюз в удаленную сеть.
Брандмауэры
В идеале, даже сейчас вокруг вас должны быть брандмауэры. Вы их не видите (надеюсь), но они есть. С точки зрения технологий у брандмауэров забавное название, но на самом деле они немного скучны. Брандмауэр — это просто компьютерная служба (также называемая «демон»), подсистема, работающая в фоновом режиме большинства электронных устройств.
На вашем компьютере запущено множество демонов, в том числе, например, тот, который прослушивает движения мыши или трекпада. Брандмауэр — это демон, запрограммированный либо принимать, либо блокировать определенные виды сетевого трафика.
Брандмауэры — это относительно небольшие программы, поэтому они встроены в большинство современных устройств. Они работают на вашем мобильном телефоне, на вашем маршрутизаторе и на вашем компьютере. Брандмауэры разрабатываются на основе сетевых протоколов, и частью спецификации взаимодействия с другими компьютерами является то, что пакет данных, отправляемый по сети, должен сообщать о себе определенные фрагменты информации (или игнорироваться). Одна вещь, которую содержат сетевые данные, — это номер порта , который является одним из основных элементов, используемых брандмауэром при приеме или отклонении трафика.
Веб-сайты, например, размещены на веб-серверах. Когда вы хотите просмотреть веб-сайт, ваш компьютер отправляет сетевые данные, идентифицируя себя как трафик, предназначенный для порта 80 веб-узла.
Брандмауэр веб-сервера запрограммирован на прием входящего трафика, предназначенного для порта 80, поэтому он принимает ваш запрос (а веб-сервер, в свою очередь, отправляет вам веб-страницу в ответ). Однако, если бы вы отправили (случайно или преднамеренно) сетевые данные, предназначенные для порта 22 этого веб-сервера, брандмауэр, скорее всего, отклонил бы вас (и, возможно, заблокировал бы на некоторое время).
Это может показаться странным для понимания, потому что, как и IP-адреса, порты и брандмауэры на самом деле не «существуют» в физическом мире. Это концепции, определенные в программном обеспечении. Вы не можете открыть свой компьютер или маршрутизатор, чтобы физически осмотреть сетевые порты, и вы не можете посмотреть на число, напечатанное на чипе, чтобы найти свой IP-адрес, и вы не можете окунуть свой брандмауэр в воду, чтобы потушить его. Но теперь, когда вы знаете, что эти концепции существуют, вы знаете о препятствиях, связанных с переходом с одного компьютера в одной сети на другой в другой сети.
Теперь пришло время обойти эти блокады.
Ваш IP-адрес
Я предполагаю, что у вас есть контроль над вашей собственной сетью, и вы пытаетесь открыть свои собственные брандмауэры и направить свой собственный трафик, чтобы разрешить внешний трафик в вашу сеть. Во-первых, вам нужны ваши локальные и общедоступные IP-адреса.
Чтобы узнать свой локальный IP-адрес, вы можете использовать команду ip address в Linux:
$ ip addr show | grep "инет" инет 127.0.0.1/8 область хоста lo инет 192.168.1.6/27 brd 10.1.1.31 область [...]
В этом примере мой локальный IP-адрес — 192.168.1.6. Другой адрес (127.0.0.1) — это специальный «петлевой» адрес, который ваш компьютер использует для обращения к себе изнутри.
Чтобы найти свой локальный IP-адрес в macOS, вы можете использовать ifconfig :
$ ifconfig | grep "инет" инет 127.0.0.1 сетевая маска 0xff000000 inet 192.168.1.6 сетевая маска 0xffffffe0 [...]
А в Windows используйте ipconfig :
$ ipconfig
Получите общедоступный IP-адрес вашего маршрутизатора на сайте icanhazip.
com. В Linux вы можете получить это из терминала с помощью команды curl:
$ curl http://icanhazip.com 93.184.216.34
Держите эти номера под рукой на будущее.
Направление трафика через маршрутизатор
Первое устройство, которое необходимо настроить, — это шлюз. Это может быть большой физический сервер или крошечный маршрутизатор. В любом случае шлюз почти наверняка выполняет преобразование сетевых адресов (NAT), то есть процесс приема трафика и изменения IP-адреса назначения.
Когда вы создаете сетевой трафик для просмотра внешнего веб-сайта, ваш компьютер должен отправлять этот трафик на шлюз вашей локальной сети, потому что ваш компьютер, по сути, ничего не знает о внешнем мире. Насколько известно вашему компьютеру, весь Интернет — это просто ваш сетевой маршрутизатор 192.168.1.1 (или любой другой адрес вашего маршрутизатора). Итак, ваш компьютер отправляет все на ваш шлюз. Работа шлюза заключается в том, чтобы просмотреть трафик и определить, куда на самом деле направляется , а затем передать эти данные в реальный Интернет.
Когда шлюз получает ответ, он пересылает входящие данные обратно на ваш компьютер.
Если ваш шлюз является маршрутизатором, то для того, чтобы ваш компьютер был открыт для внешнего мира, вы должны назначить порт в своем маршрутизаторе для представления вашего компьютера. Это настраивает ваш маршрутизатор для приема трафика на определенный порт и направления всего этого трафика прямо на ваш компьютер. В зависимости от марки маршрутизатора, который вы используете, этот процесс имеет несколько разных названий, включая переадресацию портов или виртуальный сервер, а иногда даже настройки брандмауэра.
Все устройства разные, поэтому я не могу сказать вам, что именно вам нужно нажать, чтобы изменить настройки. Как правило, вы получаете доступ к своему домашнему маршрутизатору через веб-браузер. Адрес вашего маршрутизатора иногда печатается на нижней части маршрутизатора и начинается либо с 19,2.168 или 10.
Перейдите по адресу вашего маршрутизатора и войдите в систему, используя учетные данные, которые вы предоставили при подключении к Интернету.
Часто это просто admin с числовым паролем (иногда этот пароль также печатается на маршрутизаторе). Если вы не знаете логин, позвоните своему интернет-провайдеру и узнайте подробности.
В графическом интерфейсе перенаправить входящий трафик для одного порта на порт (как правило, тот же самый) локального IP-адреса вашего компьютера. В этом примере я перенаправляю входящий трафик, предназначенный для порта 22 (используемого для соединений SSH) моего домашнего маршрутизатора, на мой настольный ПК.
Изображение:
(Сет Кенлон, CC BY-SA 4.0)
Вы можете перенаправить любой порт, какой захотите. Например, если вы размещаете веб-сайт на резервном компьютере, вы можете перенаправить трафик, предназначенный для порта 80 вашего маршрутизатора, на порт 80 хоста вашего веб-сайта.
Направление трафика через сервер
Если ваш шлюз является физическим сервером, вы можете направлять трафик с помощью firewall-cmd.
Используя параметр rich rule , вы можете заставить свой сервер прослушивать входящий запрос по определенному адресу (ваш общедоступный IP-адрес) и определенному порту (в этом примере я использую 22, который является портом, используемым для SSH), а затем направлять этот трафик на IP-адрес и порт в локальной сети (локальный адрес вашего компьютера).
$ firewall-cmd --permanent --zone=public \ --add-rich-rule 'rule family="ipv4" адрес назначения="93.184.216.34" forward-port port=22 protocol=tcp to-port=22 to-addr=192.168.1.6'
Установите брандмауэр
Большинство устройств имеют брандмауэры, поэтому вы можете обнаружить, что трафик не может пройти на ваш локальный компьютер даже после переадресации портов и трафика. Возможно, брандмауэр блокирует трафик даже внутри вашей локальной сети. Брандмауэры предназначены для обеспечения безопасности вашего компьютера, поэтому не поддавайтесь желанию полностью деактивировать брандмауэр (за исключением устранения неполадок).
Вместо этого вы можете выборочно разрешать трафик.
Процесс изменения вашего персонального брандмауэра зависит от вашей операционной системы.
В Linux уже определено множество служб. Просмотрите доступные:
$ sudo firewall-cmd --get-services Аманда-клиент Аманда-k5-клиент bacula bacula-client bgp биткойн биткойн-RPC ceph cfengine кондор-сборщик ctdb dhcp dhcpv6 dhcpv6-client DNS elasticsearch freeipa-ldaps ftp [...] ssh steam-streaming svdrp [...]
Если служба, которую вы пытаетесь разрешить, указана в списке, вы можете добавить ее в свой брандмауэр:
$ sudo firewall-cmd --add-service ssh --permanent
Если вашей службы нет в списке, вы можете добавить порт, который хотите открыть вручную:
$ sudo firewall-cmd --add-port 22 /tcp --permanent
Открытие порта в брандмауэре зависит от вашей текущей зоны . Для получения дополнительной информации о брандмауэрах, firewall-cmd и портах обратитесь к моей статье Сделайте Linux сильнее с помощью брандмауэров и загрузите нашу памятку по брандмауэрам для быстрого ознакомления.
Этот шаг касается только открытия порта на вашем компьютере, чтобы трафик, предназначенный для него через определенный порт, принимался. Вам не нужно перенаправлять трафик, потому что вы уже сделали это на своем шлюзе.
Установить соединение
Вы настроили шлюз и локальную сеть для маршрутизации трафика за вас. Теперь, когда кто-то за пределами вашей сети переходит на ваш общедоступный IP-адрес, предназначенный для определенного порта, он будет перенаправлен на ваш компьютер через тот же порт. Вы должны контролировать и защищать свою сеть, поэтому используйте свои новые знания с осторожностью. Слишком много открытых портов может выглядеть как приглашение для злоумышленников и ботов, поэтому открывайте только то, что собираетесь использовать. И самое главное, получайте удовольствие!
Общие сведения о переадресации портов — Руководство для начинающих
Что такое переадресация портов ? и что он делает?
Переадресация портов — это метод, который используется для предоставления внешним устройствам доступа к службам компьютеров в частных сетях.
Это делается путем сопоставления внешнего порта с внутренним IP-адресом и портом .
Большинство приложений для онлайн-игр требуют настройки переадресации портов на домашнем роутере.
Чтобы понять переадресацию портов, вам необходимо понять, что такое порт TCP/IP и как порты и IP-адреса используются вместе.
Вам также необходимо понимать разницу между внутренними и внешними IP-адресами и внутренними и внешними портами .
Порты TCP/IP
Порт TCP/UDP идентифицирует приложение или службу на машине в сети TCP/IP.
В сети TCP/IP каждое устройство должно иметь уникальный IP-адрес.
IP-адрес идентифицирует устройство .
Однако устройство может запускать несколько приложений/служб .
Порт идентифицирует приложение/службу , работающую на машине.
Использование портов позволяет компьютерам/устройствам запускать несколько служб/приложений.
Стандартные номера портов выделяются службам сервера (0-1023) Администрация адресного пространства Интернета (IANA). например, веб-серверы обычно используют порт 80 и SMTP-серверы используют порт 25 .
Комбинация IP-адреса и порта называется сокетом . См. описание сетевых портов
В качестве примера . Представьте, что вы сидите дома за компьютером, и у вас открыто два окна браузера. Один смотрит на сайт Google, а другой на сайт Yahoo.
подключение к Google будет:
Ваш ПК — IP1 +порт 2020 ——– Google IP2 +порт 80 (стандартный порт)
подключение к Yahoo будет:
наш ПК — IP1 901 46 +порт 2040 ——— Yahoo IP3 +port 80 (стандартный порт)
Примечания : IP1 — это IP-адрес вашего ПК.
Номера клиентских портов динамически назначаются и могут быть повторно использованы после закрытия сеанса.
Возврат к порту переадресации. .
В домашних или небольших офисных сетях маршрутизатор использует NAT (преобразование сетевых адресов), что позволяет внутренним устройствам совместно использовать один внешний IP4-адрес.
IP-адреса во внутренней сети являются частными адресами и не маршрутизируются в Интернете.
Внешние компьютеры или устройства видят только общедоступный IP-адрес, назначенный интерфейсу маршрутизатора NAT .
Маршрутизатор NAT сопоставляет Внутренний IP-адрес + внутренний порт на внешний IP-адрес + внешний порт .
Внешние устройства отправляют пакеты на внешний IP-адрес и внешний порт.
Маршрутизатор NAT сопоставляет эти пакеты и повторно передает эти пакеты во внутреннюю сеть на внутренний IP-адрес и внутренний порт .
Порты, используемые NAT, обычно назначаются случайным образом, что нормально, когда сеанс инициируется из внутренней сети.
Однако, если вы хотите, например, разместить веб-сайт во внутренней сети и этот веб-сайт должен быть доступен для внешних клиентов, вам потребуется использовать стандартный порт (, порт 80 для http) в качестве внешнего клиента. ожидает этого.
Для этого вы статически сопоставляете внешний IP-адрес + порт 80 с внутренним IP-адресом веб-сервера + порт 80 .– Это переадресация портов.
Для домашних пользователей наиболее распространенной причиной использования переадресации портов являются игры.
- Видео – что такое переадресация портов
- Видео Внутренние и внешние IP-адреса
Включение переадресации портов и проверка открытых портов
Перед настройкой переадресации портов в идеале необходимо настроить статический IP-адрес для внутреннего устройства.
Этот шаг важен, поскольку переадресация будет настроена на отправку пакетов на определенный внутренний IP-адрес .
В зависимости от вашего приложения вам может понадобиться список портов , которые должны быть доступны из внешней сети (т. е. Интернета) и перенаправлены во внутреннюю сеть.
Чтобы настроить переадресацию портов на вашем маршрутизаторе, вам потребуются права администратора.
На этом сайте есть подробное руководство, охватывающее сотни маршрутизаторов, а также списки портов для многих игр и приложений.
Независимо от того, как вы его настроите, так как он зависит от устройства, вы, по сути, создаете 9Таблица сопоставления 0145 , которая сопоставляет внешний адрес и порт с внутренним адресом и портом .
В этом видео показано, как настроить переадресацию портов на домашнем концентраторе BT .
В этом видео показано, как настроить его на маршрутизаторе Linksys .
В нем также показано, как установить статический IP-адрес для вашей машины.
После того, как вы переадресовали порты , вы можете проверить, действительно ли они открыты, используя средство проверки открытых портов.
Подключение к переадресованному порту
Для подключения к переадресованному порту из Интернета вам необходимо знать внешний IP-адрес маршрутизатора и номер порта , который был выделен.
Однако использование IP-адреса вместо доменного имени не очень удобно, кроме того, внешний IP-адрес может измениться, так как большинство провайдеров назначают эти адреса с помощью DHCP .
Поэтому при использовании переадресации портов вы также можете рассмотреть возможность использования динамического DNS.
Пример перенаправления портов
Ниже приведен снимок экрана с конфигурацией моего домашнего маршрутизатора, на котором показаны порты, которые я переадресовал.
Обратите внимание, что в моем маршрутизаторе нет поля для внешнего IP-адреса, так как в нем нет необходимости.
Однако некоторые это делают, и обычно он настраивается на 0.0.0.0 .
Проверка открытых портов
На скриншоте выше видно, что я открыл порты 1800, 1884 и 8884.
Я использовал онлайн-проверку открытых портов, чтобы проверить эти порты, а также тот, который не должен быть открыт и вы можете увидеть результаты ниже.
Примечание: Я скрыл свой внешний IP-адрес из соображений безопасности.
Запуск порта
Это тип динамической переадресации портов, когда порты открываются приложением и не требуют предварительной настройки.
Приложение подключается к назначенному триггерному порту на маршрутизаторе, который указывает маршрутизатору открыть определенный порт для входящего трафика.
После завершения работы приложения оно закрывает открытые им порты.
Поскольку порты не остаются открытыми, это считается более безопасным, чем перенаправление портов.
UPnP (Universal Plug and Play)
Возможно, вы заметили, что ваши игры нормально работают в Интернете, даже если вы не настроили переадресацию портов.
Скорее всего, это связано с тем, что маршрутизатор поддерживает UPnP.
Используя протокол UPnP, приложение может открывать порты на маршрутизаторе.
Снимок экрана ниже сделан с моего маршрутизатора и показывает стандартное правило переадресации портов и одну автоматическую настройку с использованием UPnP.
Использование UPnP считается небезопасным и его следует по возможности избегать. Однако большинство маршрутизаторов поставляются с включенным UPnP по умолчанию.
Сводка
Переадресация портов Сопоставляет внешние IP-адреса и порты с внутренними IP-адресами и портами, обеспечивая доступ к внутренним службам из Интернета.
Настраивается на домашних маршрутизаторах и необходим, поскольку домашние маршрутизаторы используют NAT, который изолирует домашнюю сеть от Интернета.
Общие вопросы и ответы
Q- Сопоставлен ли внешний IP-адрес с внутренним IP-адресом ?
А- Нет, сопоставлен внешний порт , а не внешний IP-адрес . внешний IP-адрес может измениться, см. Dynamic DNS
Q- Должен ли я использовать статический внутренний IP-адрес или я могу использовать адреса, назначенные DHCP ?
A- Всегда следует использовать статический.
Q- Нужно ли перенаправлять порты TCP и UDP?
A- Зависит от применения. Вам нужно проверить, какие порты использует приложение.
Q- Как узнать, имеет ли мое устройство статический адрес или динамический?
A- Вы должны подойти к устройству и изучить настройки.
Q- Как узнать, какой порт мне нужно перенаправить?
A- Вам необходимо знать, какой порт использует служба, которую вы хотите использовать.
Однако большинство домашних маршрутизаторов имеют список общих игр и приложений, и вам просто нужно выбрать его, и он автоматически выберет порты.
Q- Как узнать, правильно ли я настроил его
A- Вы можете использовать онлайн-проверку переадресации портов , чтобы проверить, что порты открыты.
Q- Что такое строгий NAT?
A- Microsoft определяет три уровня NAT: строгий, умеренный и открытый. Устройства со строгими или умеренными характеристиками могут повлиять на геймеров на Xbox. Для получения справки см. эту статью
Q- Влияет ли переадресация портов на безопасность моей домашней сети?
A- Да, потому что домашняя сеть открыта для Интернета, что означает, что внешние устройства могут получить доступ к внутренним устройствам.
В- Я использую переадресацию портов, если я также использую DDNS (динамический DNS).