Проброс портов (port forwarding) в linux используя iptables

Является ли переадресация портов безопасной?

Представьте себе, что порты вашего маршрутизатора — это двери, и большинство из них заперты. Информация из интернета все еще может попасть внутрь — она должна быть проверена и допущена маршрутизатором. Но если одна из этих дверей открыта, то любой, кто попытается войти внутрь, сможет это сделать.

В каком – то смысле это не так плохо, как кажется — открытый порт (или незапертая дверь) ведет только к тому устройству, на которое он был направлен. Но если, например, ваша камера видеонаблюдения имеет слабый пароль (или не имеет его вообще), злоумышленник может видеть то же, что видит ваша камера и даже контролировать ее. Порт, открытый непосредственно на вашем компьютере, может использоваться для заражения компьютера или для взлома вашей сети

Поэтому очень важно защищать свои устройства надежными паролями

Другая проблема заключается в том, что порты, настроенные вручную, остаются открытыми до тех пор, пока вы не закроете их вручную. Их можно легко взломать. Обычно невозможно использовать уже занятый порт, но хакеру ничего не стоит подключиться к открытому и неиспользуемому порту.

Внешний IP-адрес

IP-адрес может быть:

• Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
• Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
• Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер. Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
• Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.

Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети – серыми.

Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.

Итак, как настраивать проброс портов, для того, чтобы работала наша почта через стандартные порты gmail?

1. Для начала идем на прокси-сервер с Usergate и там открываем раздел Назначение портов.Проброс портов на прокси — общий вид

На приведенном скриншоте видно конечный результат, который необходимо получить для настройки на порты gmail.com — 465 и 995 (в данном случае используется реальные имена и порты smtp и pop3-серверов соотстветствующего почтового сервера).

Следующим действием для настройки проброса портов необходимо нажать кнопку Добавить, и заполнить появившуся форму.

Проброс портов на прокси — smtp

Имя связи — указываем произвольно, но желательно, чтобы это было емкое название, помогающее вам впоследствии без труда идентифицировать плоды своего труда.

Протокол – TCP

Исходящий адрес – выбираем Адреса клиентов – по сути, здесь можно указать только один единственный адрес той машины, на которой нужен почтовый клиент, но раз мы говорим о работе всего, пусть и небольшого офиса, ставим именно так – Адреса клиентов. В этом случае все пользователи, которым разрешен доступ к прокси-серверу, независимо от их реального IP-адреса,  смогут работать через почтовый клиент.

Слушающий адрес – а вот здесь ставим внутренний (принадлежащий вашей локальной сети) IP-адрес машины, на которой находится прокси-сервер.

Слушающий порт – любой выбранный вами порт, по которому будет работать OutlookExpress на машине-клиенте, обращаясь к почтовику (gmail.com) через внутренний прокси-сервер.

Хост назначения – smtp.gmail.com

Порт назначения – 465

Последние два параметра – имя хоста, и порт на котором он принимает пакеты. Небольшой итог того, что мы поучили. Создано правило, по которому от компьютеров сети, являющихся пользователями в UserGate, запросы, идущие на IP-адрес прокси-сервера на порт 9025, прокси-сервером будут пересылаться в Интернет на 465 порт gmail.com, чего и нужно было достичь.

Аналогичные манипуляции для проброса портов почтового сервера gmail проводим со входящей почтой:

Проброс портов на прокси — pop

После того, когда мы разобрались с тем, как настроить проброс портов для почтового сервера на прокси-сервере, переходим к настройкам клиентской части.

Страницы: 1

Как сделать переадресацию порта на Wi-Fi роутере

Процесс настройки переадресации портов сильно различается в зависимости от модели и прошивки маршрутизатора. При этом общие шаги должны быть аналогичными:

1. При подключении к маршрутизатору перейдите в панель администратора маршрутизатора. Обычно это можно сделать, открыв веб-браузер и введя 192.168.0.1 или 192.168.1.1 в адресную строку.
2. Введите имя пользователя и пароль для админ-панели. Если вы еще не установили их самостоятельно, вы можете найти в Интернете имя пользователя и пароль по умолчанию для вашей модели маршрутизатора.
3. Найдите в настройках раздел перенаправления портов. Расположение зависит от модели маршрутизатора и прошивки.
4. Добавьте правило переадресации портов для устройства, которое вы хотите переадресовать. Для этого вам понадобится его локальный IP-адрес и номер порта, который вы хотите использовать.
5. Сохраните ваши настройки.

Если вы не знаете, какой у вашего устройства локальный IP-адрес, вы сможете найти его в панели администратора маршрутизатора в списке подключенных устройств, возможно, в настройках DHCP.

Какая польза от открытия портов роутера?

Если вы собираетесь настроить сервер для чего-то в своей локальной сети, где им необходимо получить к нему доступ из Интернета, вам необходимо открыть порты. Например, для следующих целей необходимо открыть порты:

• Настройте FTP-сервер для удаленного доступа к вашим файлам.
• Настройте VPN-сервер для безопасного доступа к локальной сети.
• Настройте SSH-сервер на своем компьютере, чтобы управлять им удаленно.
• Настройте почтовый сервер или веб-сервер.
• Если вы собираетесь использовать частное облако Nextcloud для синхронизации файлов или папок.
• Если вы собираетесь играть онлайн, в играх необходимо сделать переадресацию портов, потому что мы сами выступаем в роли сервера.
• Если вы собираетесь загружать через eMule, необходимо открыть порты, чтобы другие узлы могли подключиться к вам.
• Если вы собираетесь загружать через BitTorrent, необходимо открыть один или несколько портов, чтобы другие узлы могли соединиться с вами, чтобы вы могли быстрее загружать и выгружать.
• Любое другое использование, которое требует подключения из Интернета к вашей внутренней локальной сети (ПК, сервер, консоль и т. Д.).

Наконец, если вы собираетесь использовать игры на своей консоли, рекомендуется открыть DMZ для консолей, потому что они обычно используют много разных портов для каждой игры, которую мы используем.

Все домашние маршрутизаторы используют NAT для одновременного выхода в Интернет с несколькими устройствами, используя один и тот же общедоступный IP-адрес. Когда компьютер в локальной сети (внутренней сети) пытается получить доступ к Интернету, NAT отвечает за перевод адресов и использование портов TCP / UDP без каких-либо действий, это полностью автоматически и прозрачно для пользователя.

Однако, если связь начинается через Интернет (WAN, внешняя сеть) с локальной сетью, необходимо открыть порт, чтобы правильно перенаправить пакеты к месту назначения. Как вы могли заметить, компьютеры локальной сети используют частную адресацию, которая не маршрутизируется через Интернет. Чтобы сделать их доступными извне, нам нужно будет «открыть порт» в NAT, чтобы все пакеты, которые достигают общедоступного IP-адреса и определенного порта, были правильно перенаправлены их получателю.

Прежде чем мы начнем объяснять, как проверять открытые порты на вашем маршрутизаторе, давайте начнем с объяснения классов IP, которые мы имеем в домашней сети. Чтобы выполнить сканирование портов, чтобы проверить открытые порты на вашем маршрутизаторе, вы должны сделать это в отношении определенного типа IP, в частности публичного IP, который предоставляет нам наш оператор.

Перенаправление локального порта

Перенаправление локального порта позволяет вам перенаправить порт на локальном (ssh-клиент) компьютере на порт на удаленном (ssh-сервере), который затем перенаправляется на порт на конечном компьютере.

В этом типе пересылки клиент SSH прослушивает данный порт и туннелирует любое соединение с этим портом на указанный порт на удаленном сервере SSH, который затем подключается к порту на конечном компьютере. Конечный компьютер может быть удаленным SSH-сервером или любым другим компьютером.

Перенаправление локальных портов в основном используется для подключения к удаленной службе во внутренней сети, такой как база данных или сервер VNC.

В Linux, macOS и других системах Unix, чтобы создать переадресацию локального порта, передайте параметр клиенту :

Используются следующие параметры:

• — IP-адрес и номер порта локального компьютера. Если опущен, клиент ssh привязывается к локальному хосту.
• — IP или имя хоста и порт конечного компьютера.
• — удаленный пользователь SSH и IP-адрес сервера.

В качестве можно использовать любой порт с номером больше . Порты с номерами меньше являются привилегированными и могут использоваться только пользователем root. Если ваш SSH-сервер прослушивает порт, отличный от 22 (по умолчанию), используйте параметр .

Имя хоста назначения должно разрешаться с сервера SSH.

Допустим, у вас есть сервер базы данных MySQL, работающий на машине во внутренней (частной) сети, на порте 3306, который доступен с машины , и вы хотите подключиться к базе данных с помощью клиента MySQL на локальном компьютере. сервер. Для этого вы можете перенаправить соединение, используя следующую команду:

После запуска команды вам будет предложено ввести пароль удаленного пользователя SSH. После входа вы войдете на удаленный сервер, и туннель SSH будет установлен. Также рекомендуется настроить аутентификацию на основе ключей SSH и подключаться к серверу без ввода пароля.

Теперь, если вы базы данных на компьютере , соединение будет перенаправлено на MySQL через компьютер который действует как промежуточный сервер.

Вы можете перенаправить несколько портов в несколько пунктов назначения с помощью одной команды ssh. Например, у вас есть другой сервер базы данных MySQL, работающий на компьютере , и вы хотите подключиться к обоим серверам со своего локального клиента, вы должны запустить:

Чтобы подключиться ко второму серверу, вы должны использовать .

Когда целевой хост совпадает с SSH-сервером, вместо указания IP-адреса или имени хоста назначения вы можете использовать .

Допустим, вам нужно подключиться к удаленному компьютеру через VNC, который работает на том же сервере и недоступен извне. Вы бы использовали следующую команду:

Параметр указывает команде работать в фоновом режиме, а не выполнять удаленную команду. Мы используем потому что VNC и SSH-сервер работают на одном хосте.

Если у вас возникли проблемы с настройкой туннелирования, проверьте конфигурацию удаленного SSH-сервера и убедитесь, что для параметра не задано значение . По умолчанию пересылка разрешена.

Настройка проброса

Чтобы работал проброс, должны быть выполнены три основных тербования:

1. Для целевого сервера создана учетную запись с аутентификацией по IP-адресу.
2. Создано правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT).
3. Создано разрешающее правило во внешнем сетевом экране программы Traffic Inspector.

Данные действия могут быть выполнены вручную или с помощью Мастера публикации служб.

Ручная настройка проброса

1. Создайте правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT) на шлюзе Traffic Inspector.

Проброс в ICS настраивается в свойствах сетевого подключения WAN (подключения, по которому «приходит Интернет»), вкладка Доступ, кнопка Настройки.

Проброс в RRAS настраивается в оснастке rrasmgmt.msc в разделе дерева Преобразование сетевых адресов (NAT) в свойствах сетевого подключения WAN на вкладке Службы и порты.

В правиле проброса нужно указать IP-адрес целевого сервера (как он есть в локальной сети), и входящий и исходящий порт. Чаще всего, указывается одинаковый входящий и исходящий порт.

Примечание

Нужно запомнить «входящий порт», так как именно этот порт нужно будет разрешить во внешнем сетевом экране Traffic Inspector и именно на него нужно будет подключаться со стороны Интернета после настройки проброса.

Примечание

На самом шлюзе Traffic Inspector никто не должен занимать («слушать») порт, выбранный вами как «внешний / публичный / входящий» в правиле проброса.

1. Убедитесь, что целевой сервер авторизован в Traffic Inspector

Если для целевого сервера уже заведена учетная запись, то убедитесь, что целевой сервер авторизован в Traffic Inspector. Соответствующая информация отображается в Мониторе Работы, который доступен в Учет трафикаМонитор работы].

При необходимости, создайте учетную запись для целевого сервера с авторизацией по IP-адресу.

1. Создайте разрещающее правило во внешнем сетевом экране Traffic Inspector.

Правила внешнего сетевого экрана создаются в \Правила\Правила внешнего сетевого экрана].

Создание правила во внешнем сетевом экране осуществляется в разделе Настройка сетевого экрана Traffic Inspector.

Во внешнем сетевом экране Traffic Inspector необходимо открыт порт, который был указан как «внешний / публичный / входящий» в правиле проброса.

Для чего нужен проброс портов?

Вопрос, как пробросить порты на роутере Ростелеком, становится все более актуальным из-за увеличения числа устройств. Если раньше ПК был роскошью, сегодня такие аппараты (в том числе ноутбуки) установлены в каждом доме. Многие люди имеют по несколько ноутов, смартфонов и других аппаратов. Чтобы это оборудование безошибочно работало с Сетью, необходим правильно настроенный роутер.

После подключения к маршрутизатору Ростелеком пользователь может открыть страницы, скачать какие-либо файлы или выполнить иные действия. Но некоторые программы могут работать со сбоями или вообще отказываются подчиняться. Причиной может быть закрытие некоторых портов маршрутизатора. В таком случае их нужно открыть, чтобы дать доступ для всего ПО на ноутбуках, ПК или телефонах.

Проброска входов на маршрутизаторе Ростелеком может потребоваться в таких случаях:

1. Возникли трудности с подключением какой-либо программы к Сети.
2. Необходимо на одном ПК посмотреть картинку с видео, которое получает другой компьютер или ноутбук. Это работает при условии, что устройства подключены к одному маршрутизатору. Возможны ситуации, когда нужно увидеть видео с камеры, находящейся вообще в другом месте.
3. Требуется подключить программу torrent-трекер. Для раздачи файлов придется открыть необходимый вход.
4. Интересует просмотр изображения, напрямую поступающего с IP-камеры, работающей через маршрутизатор.
5. Необходимо создать на компьютере сервер для игр в режиме онлайн, к примеру, Counter-Strike.

Вне зависимости от ситуации пользователю придется найти и открыть нужные порты на роутере Ростелеком. Зная, как это сделать, работа займет не больше 5-10 минут.

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server. Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

• Как создать FTP-сервер и открыть к нему доступ из Интернета;
• Как изменить номер порта по умолчанию для RDP-сервера;
• Настройка резервирования DHCP;
• Как задать статический IP в Windows;
• Как привязать динамический IP к доменному имени. Сервис No-IP.

Различия между публичным и частным IP

IP может быть определен как логический и уникальный идентификатор для каждого из компьютеров, подключенных к сети , Кроме того, IP-адрес в сетях IPv4 состоит из четырех групп чисел от 0 до 255, разделенных точками, длиной 32 бита. Эти адреса представлены в десятичной системе счисления, разделенной точками, например адрес 192.168.1.1.

Что касается IP-адресов, можно сказать, что существует два класса:

1. Открытый IP-адрес .
2. Частный IP .

Самый большой публичный IP — это идентификатор нашей сети, выходящей в Интернет, то есть тот, который вы назначили в своем домашнем маршрутизаторе в интерфейсе Internet WAN. На этот публичный IP вы не можете поставить то, что хотите, в этом случае именно ваш поставщик услуг (оператор или интернет-провайдер) назначает вам статический или динамический (последний является наиболее нормальным).

Также в рамках публичного IP у нас есть две категории:

1. Самый большой статический публичный IP Это означает, что оно никогда не изменится и всегда будет таким же.
2. Самый большой динамический публичный IP, это означает, что это может измениться, когда маршрутизатор выключен, или после периода времени, который решает наш поставщик.

Сегодня подавляющее большинство имеют динамичный публичный IP. Статический IP-адрес обычно используется компаниями для настройки своих серверов, и в дополнение к оплате за подключение к Интернету они должны добавить небольшую плату за наличие этого фиксированного IP-адреса. Для частный IP именно оно идентифицирует каждое из устройств, подключенных к нашей сети. Поэтому мы ссылаемся на каждый из IP-адресов, которые назначает маршрутизатор:

• Наш ПК.
• К смартфону.
• К планшету.
• Smart TV или устройство Android TV.
• Другие устройства, такие как интеллектуальные разъемы, IP-камеры и многое другое.

Таким образом, мы можем сказать, что устройства, подключенные к одному и тому же маршрутизатору, имеют разные частные IP-адреса, но одинаковые общедоступные IP-адреса. В этом смысле именно маршрутизатор действует как шлюз для связи с внешним миром.

Как открыть порт в Windows 7 и Windows 8

О том, как открыть порт на роутерах различных моделей я написал уже немало статей. Но в х почти к каждой из таких инструкций я сталкиваюсь с такой ситуацией, что пользователь открывает порт на роутере, но при проверке его из-вне — оказывается что он закрыт.

 В это многие упираются и не знают что делать дальше. Одной из частых причин является система безопасности компьютера. Дело тут в том, что открыть порт на роутере часто оказывается половиной дела — нужно ещё открыть его и в правилах брандмауэра (фаервола) на компьютере.

1 практически идентична, соответственно как и процедура создания правил проброса портов.

Как попасть в настройки брандмауэра Windows

Настройка встроенного брандмауэра находится в «Панели управления», раздел «Система и безопасность».
В Windows 8 и 8.1 можно воспользоваться элементом рабочего стола — Поиск. Нужно начать вводить слово «Брандмауэр» и система выдаст ссылку в результатах.

Ещё один быстрый и удобный способ быстро попасть в настройки Брандмауэра — нажать комбинацию клавиш Win+R:

В строке открыть пишем firewall.cpl, нажимаем кнопку ОК.

Как открыть порт в брандмауэре Windows

Вам откроется раздел настройки Брандмауэра в режиме повышенной безопасности. В поле слева кликаем на раздел «Правила для входящих соединений»:

Откроется список всех правил для входящих соединений. Теперь надо создать правило. Для этого справа, в окне «Действия», кликаем на ссылку «Создать правило».
Откроется Мастер создания правила для нового входящего подключения:

Выбираем тип правила — «Для порта». Нажимаем кнопку Далее.

Теперь нужно выбрать тип протокола и указать порт. «Тип протокола» для игр, как правило, «Протокол TCP». В некоторых случаях, например для файлообменных программ или игр, нужно ещё открыть и порт UDP.

Поэтому, если нужно открыть и TCP-порт и UDP-порт в Windows — Вам придется создавать два правила.  В поле Определенные порты нужно указать номер нужного порта. Например, для Minecraft нужно открывать порт 25565 и TCP и UDP.

Нажимаем кнопку Далее.

Ставим галку «Разрешить подключение». Нажимаем кнопку Далее.

Здесь ничего не меняем. Нажимаем кнопку Далее.

В поле Имя прописываем название для создаваемого правила — например DC++ или Minecraft. Нажимаем кнопку Готово.

Правило создано и порт в брандмауэре Windows 7 и Windows 8 открыт. Проверить доступность порта из-вне можно с помощью программы PFPortChecker.

Только теперь не для порта — а «Для программы». Нажимаем кнопку Далее.

Выбираем пункт «Путь программы» и нажимаем кнопку Обзор. В открывшемся окне нужно выбрать программы, к которой нужен доступ из внешней сети — например, UTorrent, DC++ или Minecraft. Нажимаем кнопку Далее.

Ставим галочку «Разрешить подключение». Нажимаем кнопку Далее.

В этом окне ничего не меняя, нажимаем кнопку Далее.

В поле имя вводим название правила — например, dc++, utorrnet или minecraft и нажимаем кнопку Готово.

Правило для программы создано.
Если и это не помогло — можно попробовать для чистоты эксперимента вообще отключить встроенных в систему фаервол.

Как отключить Брандмауэр Windows 7, Windows 8 и Windows 8.1

Для того, чтобы отключить встроенный в систему фаервол нужно в настройках Брандмауэра выбрать пункт «Включение и отключение брандмауэра Windows»:

Вам откроется вот такое окно «Настройки параметров для каждого типа сети»:

Для всех типов сетей ставим галку «Отключить брандмауэр Windows». Нажимаем кнопку ОК. После этого брандмауэр станет неактивен и Ваша операционная система будет полностью открыта угрозам из внешней сети.

Поэтому я рекомендую отключать брандмауэр либо только кратковременно, для диагностики проблем с доступностью порта из-вне, либо если Вы переходите на другой, сторонний пакетный фильтр (фаервол).

Постоянная работа в сети Интернет с отключенным брандмауэром (фаерволом) крайне нежелательна.

Привязка устройств по MAC-address

Подключение и настройки роутера ZyXEL Keenetic модели Lite II

Такая привязка позволяет присвоить постоянный IP-адрес в локальной сети абоненту согласно MAC-адресу (физическому адресу) его сетевой карты. Это необходимо для того, чтобы DHCP маршрутизатора при каждом его включении не присваивал устройству в сети новый случайный IP. Таким образом, пользователю не приходится повторять все процедуры, связанные с прописыванием нового локального адреса. Он сохраняется за каждым устройством в сети постоянным.

В разделе интерфейса DHCP выбираем пункт «Резервирование адресов» и нажимаем в нем кнопку «Добавить».

На новой странице копируем в поля значения резервируемого адреса требуемого устройства и его MAC-адреса, определенные при предварительных работах, из вкладки «Состояние» ПК. Проверяем клетку «Статус», в которой должна стоять о.

Сохраняем скопированные данные и перезагружаем маршрутизатор.

Почему необходимо пробрасывать порты для доступа к внутренним ресурсам из интернета?

Такая необходимость возникает в связи с тем, что ваш роутер автоматически отфильтровывает те данные, которые вы не запрашивали. Это связано, прежде всего, с необходимостью обеспечения безопасности вашей сети. Представьте себе такую картину: у вас дома компьютер, ноутбук, хранилище файлов (файлопомойка). И ко всему этому имеет доступ любой желающий из интернета…

Чтобы не допустить всякую нечисть в домашнюю сеть, роутер пропускает только те запросы и только тому компьютеру в сети, которые он запрашивал. Для этого умные инженеры придумали NAT – Network Address Translation (преобразование сетевых адресов). Эта система позволяет скрыть от всего интернета ваш внутренний адрес. Таким образом, все устройства, подключенные к интернету в вашей домашней сети, в интернете видятся под одним единственным IP-адресом – внешним или белым. Причём, это может быть как ваш белый IP, так и просто любой провайдерский, если провайдер раздаёт внутри своей сети серые IP.

Таким образом, если вы хотите, например, подключится удалённо к вашему домашнему компьютеру через RDP – роутер просто не будет понимать, кому именно в домашней сети перенаправить запрос – вы же ему этого не объяснили… Он просто его отфильтрует. Конечно, есть ещё возможность добавить ваш домашний сервис в раздел DMZ (Demilitarized Zone) – демилитаризованную зону. Но в этом случае абсолютно все запросы извне, которые никто не запрашивал, а так же те, для которых не прописано определённое правило для портов – будут перенаправляться к вашему узлу. Таким образом вы сделаете его совершенно беззащитным, так что без острой необходимости лучше не пользоваться этим разделом в целях безопасности.

Для чего используется переадресация портов?

Переадресация портов необходима всякий раз, когда вам нужно установить прямое подключение между устройством в вашей домашней сети и удаленным устройством. Например:

• Присоединиться к камере видеонаблюдения или радионяне, когда вы находитесь вдали от дома;
• Удаленно подключиться к домашнему серверу;
• Использовать ПО для удаленного рабочего стола, чтобы получить доступ к домашнему компьютеру;
• Разрешить другим пользователям подключаться к вашему веб-серверу;
• Подключаться к устройству IoT в домашней сети;
• Подключаться к игровому серверу;
• Поддерживать непрерывный и прямой доступ к серверу вызовов VoIP.

Существует много других законных способов использования переадресации портов, но многие из них являются сложными и будут непонятны обычным пользователям.

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Почему не открываются порты на роутере TP-Link — возможные проблемы

Даже если вы сделаете все правильно, то есть вероятность столкнуться с ошибкой, что порты на роутере TP-Link не открываются — почему?

Если при обращении к внутреннему устройству через интернет вы попадаете на главную страницу админки роутера TP-Link, то попробуйте поменять WEB-порт (http-порт) и медиа-порт на другие значения и пробросить их. Также учтите, что проверять работу проброса портов следует только из внешней сети интернет, а не с устройства, входящего в вашу локальную сеть.

Если при обращении к внутреннему устройству через интернет вообще ни чего не происходит, то проверьте:

• Отключены ли антивирусные средства (файрволл, брандмауэр) или в них должны быть настроены исключения на подключение к вашим портам.
• Также есть вероятность, что при отсутствии внешнего статического IP при использовании сервиса DDNS провайдер запретил использовать некоторые порты.
• Следующее, что имеет смысл проверить — включена ли функция NAT для того соединения, через которое вы получаете интернет от провайдера.
• В сетевых настройках устройства/компьютера, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен LAN IP-адресу роутера (по умолчанию 192.168.1.1). Это актуально, если на устройстве/компьютере вы указываете вручную сетевые настройки. Если же устройство/компьютер является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен LAN IP-адресу роутера.
• Возможно также часть проблем удастся устранить путем включения функции открытого DMZ сервера. Его работа будет заключаться в том, чтобы перенаправлять абсолютно все внешние запросы из интернета на один и тот же определенный IP адрес внутри вашей локальной сети.

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Что такое проброс портов на маршрутизаторе?

Именно определенный закрепленный за конкретным приложением порт определяет, к какой именно программе, запущенной на данном компьютере, мы хотим получить удаленный доступ с другого устройства. На одном и том же ПК может быть одновременно запущено несколько ресурсов для общего сетевого использования — файловое хранилище, игровой сервер, видеонаблюдение и т.д. У всех у них будет один и тот же IP адрес, который принадлежит данному ПК. А порты — разные.

То есть:

Но wifi роутер по умолчанию не знает, какой именно порт использует ваша программа на компьютере. Поэтому ему нужно «объяснить», то есть открыть порт и прописать в настройках перенаправление (проброс) на нужное приложение при обращении к определенному компьютеру.

Что такое проброс, или перенаправление портов?

Представьте себе — есть на компьютере некая программа, которая обменивается данными с другими устройствами в сети. Это может быть торрент-клиент, онлайн игра, почтовый сервер, программа для видеонаблюдения или что-то еще. Для ее работы необходим некий открытый порт, через который она связывается с другими участниками. Когда вы устанавливаете программу на Windows, то она автоматически делает все настройки порта для ее корректной работы.

Например, торрент-клиент. Вы установили программу, она при инсталляции прописала для операционной системы, на каком порту работает, чтобы он был открыт для внешнего доступа. Создали раздачу, и к вашему компу напрямую коннектятся люди из интернета и получают файлы.

И тут вы ставите новое звено между ПК и интернетом — роутер, у которого кроме основной функции раздачи wifi есть также и ряд дополнительных, в том числе защита локальной сети. Так вот, для ограждения ваших устройств от нежелательных подключений к ним из интернета, маршрутизатор может блокировать внешние запросы.

Чтобы этого избежать используется функция перенаправления портов, когда мы точно указываем маршрутизатору, на какой именно порт данного устройства разрешено отсылать всех «интересующихся».

Приведу несколько примеров, в которых требуется открывать порты на роутере Keenetic или Zyxel:

• Вы настроили на компьютере файловый сервер и хотите делиться какими-то документами через интернет
• У вас установлена камера видеонаблюдения, и необходимо предоставить доступ к картинке через интернет
• Вы хотите делиться торрентами со своего жесткого диска на ноутбуке с другими пользователями
• У вас на ПК запущен игровой сервер, и необходимо разрешить к нему подключаться остальным игрокам