Co je přesměrování portů a jak jej nastavit na routeru


Pokud čtete tento článek, gratulujeme! Úspěšně komunikujete s jiným serverem na internetu pomocí portů 80 a 443, což jsou standardní otevřené síťové porty pro webový provoz. Pokud by byly tyto porty na našem serveru uzavřeny, nemohli byste si přečíst tento článek. Uzavřené porty chrání vaši síť (a náš server) před hackery.

Naše webové porty mohou být otevřené, ale porty vašeho domácího routeru by neměly být, protože to otevírá díru škodlivým hackerům. Možná však budete muset čas od času povolit přístup k vašim zařízením přes internet pomocí přesměrování portů. Abyste se dozvěděli více o přesměrování portů, potřebujete vědět.

Co je přesměrování portů?

Přesměrování portů je proces na směrovačích místní sítě, který předává pokusy o připojení z online zařízení na konkrétní zařízení v místní síti. Je to díky pravidlům předávání portů na vašem síťovém routeru, která odpovídají pokusům o připojení ke správnému portu a IP adrese zařízení ve vaší síti.

Místní síť může mít jednu veřejnou IP adresu, ale každé zařízení ve vaší interní síti má svou vlastní interní IP. Port forwarding spojuje tyto vnější požadavky z A (veřejná IP a externí port) s B (požadovaný port a místní IP adresa zařízení ve vaší síti).

Abychom vysvětlili, proč by to mohlo být užitečné, představme si, že vaše domácí síť je trochu jako středověká pevnost. I když se můžete dívat ven za zdi, ostatní se nemohou dívat dovnitř nebo porušovat vaši obranu - jste v bezpečí před útokem.

Díky integrovaným síťovým firewallům je vaše síť na stejné pozici. Můžete přistupovat k dalším online službám, jako jsou webové stránky nebo herní servery, ale ostatní uživatelé internetu nemají přístup k vašim zařízením na oplátku. Padací most je zvednutý, protože váš firewall aktivně blokuje jakékoli pokusy vnějších připojení o narušení vaší sítě.

Existují však situace, kdy je tato úroveň ochrany nežádoucí. Pokud chcete provozovat server ve vaší domácí síti (například pomocí Raspberry Pi ), jsou nutná externí připojení.

Toto je místo, kde přichází přesměrování portů, protože tyto vnější požadavky můžete předávat na konkrétní zařízení, aniž by to ohrozilo vaše zabezpečení.

Předpokládejme například používáte místní webový server na zařízení s interní IP adresou 192.168.1.12, zatímco vaše veřejná IP adresa je 80.80.100.110. Vnější požadavky na port 80(80.90.100.110:80) by byly povoleny díky pravidlům přesměrování portů s přenosem přesměrovaným na port 80dne 192.168.1.12

Chcete-li to provést, musíte nakonfigurovat síť tak, aby umožňovala přesměrování portů, a poté ve svém síťovém routeru vytvořte příslušná pravidla pro přesměrování portů. Možná budete muset nakonfigurovat další brány firewall ve vaší síti, včetně Brána firewall systému Windows, abyste povolili provoz.

Proč byste se měli vyhnout UPnP (automatické předávání portů)

Nastavení přesměrování portů v místní síti není pro pokročilé uživatele obtížné, ale pro nováčky může způsobit všechny typy potíží. Abychom tento problém pomohli překonat, vytvořili výrobci síťových zařízení automatizovaný systém pro předávání portů s názvem UPnP(nebo Universal Plug and Play).

Myšlenka pozadí UPnP bylo (a je) umožnit internetovým aplikacím a zařízením automaticky vytvářet pravidla předávání portů na vašem routeru, aby umožňoval vnější provoz. Například UPnP může automaticky otevírat porty a předávat provoz zařízení se spuštěným herním serverem, aniž by bylo nutné ručně konfigurovat přístup v nastavení routeru.

Koncept je skvělý, ale bohužel je poprava chybná - ne-li extrémně nebezpečná. UPnP je sen malwaru, protože automaticky předpokládá, že všechny aplikace a služby běžící ve vaší síti jsou bezpečné. Položka Web UPnP hackuje odhaluje počet nejistot, které jsou i dnes snadno zahrnuty do síťových routerů.

Z hlediska zabezpečení je nejlepší chyba na straně opatrnosti. Spíše než riskovat zabezpečení sítě, nepoužívejte UPnP pro automatické předávání portů (a pokud je to možné, úplně jej deaktivujte). Místo toho byste měli vytvářet pravidla ručního předávání portů pouze pro aplikace a služby, kterým důvěřujete a které nemají žádné známé chyby zabezpečení.

Jak nastavit předávání portů ve vaší síti

Pokud se vyhýbáte UPnP a chcete nastavit předávání portů ručně, můžete to obvykle provést na stránce webové správy routeru. Pokud si nejste jisti, jak k tomu získat přístup, obvykle najdete informace na spodní straně routeru nebo jsou uvedeny v příručce k routeru.

Můžete se připojit k vašemu stránka správce routeru s použitím adresy výchozí brány pro váš router. Jedná se obvykle o 192.168.0.1nebo podobnou variantu - zadejte tuto adresu do adresního řádku webového prohlížeče. Budete také muset ověřit pomocí uživatelského jména a hesla dodaného s routerem (např. admin

Konfigurace statických adres IP pomocí rezervace DHCP

Většina místních sítí používá dynamické přidělování IP k přiřazování dočasných IP adres zařízením, která se připojují. Po určité době se IP adresa obnoví. Tyto dočasné adresy IP mohou být recyklovány a použity jinde a vašemu zařízení může být přiřazena jiná místní adresa IP.

Přesměrování portů však vyžaduje, aby adresa IP použitá pro všechna místní zařízení zůstala stejná. Můžete přiřadit statickou adresu IP ručně, ale většina síťových směrovačů vám umožňuje přiřadit přidělení statické IP adresy určitým zařízením na stránce nastavení vašeho routeru pomocí rezervace DHCP.

Bohužel každý výrobce routeru je odlišné a kroky uvedené na obrázcích níže (provedené pomocí routeru TP-Link) se nemusí shodovat s vaším routerem. V takovém případě možná budete muset prohlédnout dokumentaci k routeru, kde získáte další podporu.

Začněte tím, že pomocí webového prohlížeče přejdete na stránku pro správu vašeho síťového routeru a autentizujete se pomocí uživatelského jména a hesla správce routeru. Jakmile se přihlásíte, přejděte do oblasti nastavení DHCP routeru.

Možná budete moci vyhledávat již připojená místní zařízení (k automatickému vyplnění požadovaného pravidla přidělení), nebo možná budete muset zadat konkrétní MAC adresu pro zařízení, kterému chcete přiřadit statickou IP adresu. Vytvořte pravidlo pomocí správné adresy MAC a adresy IP, kterou chcete použít, a poté záznam uložte.

Vytvoření nového pravidla pro předávání portů

Pokud má vaše zařízení statickou adresu IP (nastavenou ručně nebo rezervovanou v nastavení přidělení DHCP), můžete přejít k vytvoření pravidla předávání portů. Podmínky se mohou lišit. Některé směrovače TP-Link například označují tuto funkci jako Virtuální servery, zatímco směrovače Cisco ji označují standardním názvem (Port Forwarding).

Ve správné nabídce na stránce webové správy routeru vytvořte nové pravidlo pro předávání portů. Pravidlo bude vyžadovat externíport (nebo rozsah portů), ke kterému se chcete připojit externími uživateli. Tento port je propojen s vaší veřejnou IP adresou (např. Port 80pro veřejnou IP 80.80.30.10

Budete také muset určit interníport, na který chcete přesměrovat provoz z externíhoportu. Může to být stejný port nebo alternativní port (pro skrytí účelu provozu). Budete také muset uvést statickou adresu IP svého místníhozařízení (např. 192.168.0.10) a používaný portový protokol (např. TCP nebo UDP).

V závislosti na vašem routeru můžete vybrat typ služby, který automaticky vyplní požadovaná data pravidel (např. HTTPpro port 80 nebo HTTPSpro port 443). Jakmile nakonfigurujete pravidlo, uložte jej, aby se změna použila.

Další kroky

Síťový směrovač by měl automaticky použít změnu na vaše pravidla brány firewall. . Jakékoli pokusy o externí připojení k otevřenému portu by měly být předány internímu zařízení pomocí vámi vytvořeného pravidla, i když možná budete muset vytvořit další pravidla pro služby, které používají několik portů nebo rozsahů portů.

Pokud máte potíže, možná budete muset zvážit přidání dalších pravidel brány firewall do softwarové brány firewall počítače PC nebo Mac (včetně brány Windows Firewall), abyste mohli přenos povolit. Brána firewall systému Windows obvykle neumožňuje například externí připojení, takže to možná budete muset nakonfigurovat v nabídce Nastavení systému Windows.

Pokud vám brána Windows Firewall způsobuje potíže, můžete dočasně deaktivovat vyšetřovat. Z důvodu bezpečnostních rizik vám však doporučujeme po vyřešení problému znovu povolit bránu Windows Firewall, protože poskytuje přidanou ochranu proti možné pokusy o hackování.

Zabezpečení Vaše domácí síť

Naučili jste se, jak nastavit přesměrování portů, ale nezapomeňte na rizika. Každý port, který otevřete, přidá další bránu kolem brány firewall vašeho routeru, kterou nástroje pro skenování portů může najít a zneužít. Pokud potřebujete otevřít porty pro určité aplikace nebo služby, nezapomeňte je omezit na jednotlivé porty, nikoli na velké rozsahy portů, které by mohly být porušeny.

Pokud se obáváte o svou domácí síť, můžete zvýšit zabezpečení sítě o přidání brány firewall jiného výrobce. Může to být softwarová brána firewall nainstalovaná ve vašem počítači PC nebo Mac nebo hardwarová brána firewall 24/7, jako je Firewalla zlato, připojená k síťovému routeru, která chrání všechna vaše zařízení najednou.

Související příspěvky:


23.05.2021