Проброс и перенаправление портов в iptables
Содержание:
- ШАГ 2: Проверка или включение UPnP (Universal Plug and Play)
- MikroTik проброс портов по туннелю L2TP
- Примеры пробросов
- Подключитесь к веб-интерфейсу
- Создайте правило NAT
- Пример правила
- Как протестировать переадресацию портов
- Destination NAT
- Технические ограничения
- Проброс портов на примере программы uTorrent
- Для чего нужен проброс портов?
- Проброс портов на роутере
- О пробросе портов
- Проброс порта mikrotik в графическом интерфейсе программы Winbox
- Схема сети и описание сценария проброса портов
- Проверка работы перенаправления порта
- Почему не открываются порты на роутере TP-Link — возможные проблемы
- Настройка проброса портов
- Что такое порты в Windows 7/10 и зачем они нужны
- Ошибка конфигурации
- С какими трудностями может столкнуться пользователь?
ШАГ 2: Проверка или включение UPnP (Universal Plug and Play)
Во-первых, давайте рассмотрим концепцию UPnP на примере. Как правило, по умолчанию все маршрутизаторы, включая ZyXEL Keenetic, запрещают входящие соединения из Интернета из-за работы межсетевого экрана. Это для безопасности локальной сети. Технология UPnP позволяет автоматически перенаправлять порт через маршрутизатор при запуске программ на компьютере, телефоне или даже телевизоре.
Например, вы запустили Торрент на своем компьютере. Этот порт автоматически перенаправляется на маршрутизатор. При закрытии программы порт и форвард закрываются. То же самое верно практически для любой программы, работающей с Интернетом. По умолчанию эта функция включена на вашем маршрутизаторе, но лучше сразу проверить ее. Фактически, UPnP постоянно отслеживает пересылку именно тех портов, которые необходимы приложениям для работы на компьютере, телефоне или другом устройстве, которое работает с Интернетом.
Прежде чем мы перейдем к делу, еще несколько слов. Иногда, даже когда UPnP включен, некоторые программы могут не работать. Или, может быть, вам нужно перенаправить порты для работы отдельного устройства, например, для выделенного сервера или для доступа к камере видеонаблюдения. В этом случае переадресацию необходимо выполнять вручную, как описано в 3-м шаге. В любом случае вам необходимо убедиться, что эта функция включена, поэтому не пропускайте этот шаг.
Новая прошивка
В меню выберите раздел «Общие настройки», а затем выберите «Редактировать набор компонентов». Убедитесь, что служба включена и установлена.
Старая прошивка
- Нажмите на шестеренку.
- Перейдите во вкладку Обновления и найдите наш сервис в списке. Если он включен, рядом с ним будет галочка и статус будет в режиме «Установлено».
- Если вы хотите включить эту функцию, установите флажок, а если вы хотите отключить ее, снимите флажок.
- Чтобы изменения вступили в силу, вам нужно нажать кнопку установки внизу.
MikroTik проброс портов по туннелю L2TP
Рассмотрим пример проброса портов между двумя устройствами Mikrotik, которые объединены туннелем L2TP. Есть два роутера, один из них выходит в интернет по «серому IP», а второму провайдер выдает «белый IP». Попробуем пробросить порт до компьютера, который находится за роутером с приватным адресом, через Микротик с публичным IP-адресом. Чтобы лучше понять задачу, нарисуем схему:
Нам нужно пробросить порт до компьютера (WS01), через GW1.
Для этого зайдем на маршрутизатор GW2 и выполним маркировку соединений для «Input»:
IP => Firewall => Mangle => «+».
Переходим во вкладку «Action»:
Аналогичным образом промаркируем соединения цепочки «forward»:
Пункт меню «Action»:
Следующим шагом, на основании соединений сделаем маркировку маршрутов:
Маркировка маршрута цепочки «prerouting»:
В итоге правила «Mangle» у нас должны выглядеть так:
Осталось добавить маршрут по умолчанию для пакетов маркированных как пришедшие из туннеля. Для этого открываем:
IP => Routes => «+».
Настройка GW2 закончена. Переходим к конфигурированию GW1, выполнив проброс порта до хоста 192.168.13.48:
Настройка проброса порта на MikroTik через туннель L2TP закончена.
Примеры пробросов
RDP (удаленный рабочий стол)
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — rdp;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
* если данная настройка не сработает, меняем протокол на tcp и задаем порт RDP — по умолчанию, 3389.
WWW (80 или веб-сервер или http)
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 80;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
FTP
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 20,21;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
Видеонаблюдение
Системы видеонаблюдения могут работать на различных портах, поэтому первым делом обращаемся к инструкции системы, с которой необходимо работать.
В данном примере рассмотрим проброс RTSP.
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — udp;
- Dst. Port — 554;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
* RTSP работает по протоколам TCP и UDP. В данном примере правило настроено для последнего.
Почтовая система Zimbra
Для нормальной работы почтовой системы необходимо пробросить следующие порты:
- 25 — основной порт для обмена почтой по протоколу SMTP.
- 80 — веб-интерфейс для чтения почты (http).
- 110 — POP3 для загрузки почты.
- 143 — IMAP для работы с почтовым ящиком с помощью клиента.
- 443 — SSL веб-интерфейс для чтения почты (https).
- 465 — безопасный SMTP для отправки почты с почтового клиента.
- 587 — SMTP для отправки почты с почтового клиента (submission).
- 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
- 995 — SSL POP3 для загрузки почты.
- 5222 — для подключения к Zimbra по протоколу XMPP.
- 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
- 7071 — для защищенного доступа к администраторской консоли.
- 8443 — SSL веб-интерфейс для чтения почты (https).
- 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
- 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
- 7110 — POP3 для загрузки почты.
- 7995 — SSL POP3 для загрузки почты.
- 9071 — для защищенного подключения к администраторской консоли.
Важно отметить, что не все перечисленные порты понадобятся именно вам. Если мы не планируем использовать POP3, то и соответствующие порты для него пробрасывать не нужно
Сама настройка на микротике будет такой:
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
Подключитесь к веб-интерфейсу
Чтобы настроить правило NAT, вам необходимо подключиться к веб-интерфейсу вашего маршрутизатора pfSense. Для этого введите IP-адрес своего поля pfSense в адресной строке браузера.
Имя пользователя по умолчанию — admin, пароль по умолчанию — pfsense.
Создайте правило NAT
Чтобы настроить переадресацию портов, щелкните NAT в меню брандмауэра в pfSense. В правом верхнем углу щелкните значок плюса, чтобы создать новое правило. Откроется редактор правил NAT.
Если вам нужно отредактировать существующее правило, нажмите «e» рядом с правилом, которое вы хотите изменить. Щелчок по «x» удалит правило.
Пример правила
В этом примере я покажу вам, как создать правило для перенаправления порта 80 (HTTP) на компьютер в вашей сети. Вы можете изменить порт и IP-адрес в зависимости от того, что вам нужно сделать.
- В раскрывающемся списке протокола убедитесь, что выбран TCP.
- В диапазоне портов назначения введите 80 в поле «от», поле «в» можно оставить, если вы перенаправляете один порт.
- Введите IP-адрес компьютера, на котором запущен веб-сервер, в поле IP-адрес перенаправления.
- Введите 80 в поле целевого порта перенаправления.
- Нажмите «Сохранить», а затем нажмите «Применить изменения».
Вот и все, теперь, когда маршрутизатор pfSense получает пакет, предназначенный для порта 80, он будет перенаправлен на внутренний IP-адрес веб-сервера.
Как протестировать переадресацию портов
Создав правило переадресации портов, вы должны протестировать его, чтобы убедиться, что оно работает правильно. Если у вас есть доступ к компьютеру за пределами вашей сети, вы можете просто попытаться получить доступ к удаленной службе, которую вы настроили.
Если вы не включили отражение NAT, вы не сможете протестировать службу изнутри своей сети. Например, вы не можете получить доступ к порту your-public-IP>: из-за маршрутизатора pfSense.
Один из самых простых способов проверить ваше правило NAT — использовать онлайн-средство проверки портов. Онлайн-утилиты автоматически определят ваш общедоступный IP-адрес, поэтому вам нужно только ввести номер порта, который вы хотите протестировать.
Если средство проверки порта может подключиться к порту, значит, вы успешно настроили NAT!
Эта статья точна и правдива, насколько известно автору. Контент предназначен только для информационных или развлекательных целей и не заменяет личного или профессионального совета по деловым, финансовым, юридическим или техническим вопросам.
Destination NAT
Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.
Практически применяется в следующих случаях:
- Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
- Перенаправление любого DNS-трафика через маршрутизатор.
Стандартные действия возможные для цепочки dst-nat:
- dst-nat – преобразование адреса и/или порта получателя;
- redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.
Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.
Проброс портов на MikroTik
Пример проброса порта для RDP
Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.
Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.
Для этого откроем:
IP=>Firewall=>NAT=> “+”.
На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:
Где:
- Chain: dstnat – цепочка правил для IP-адреса назначения;
- Protocol: 6 (tcp) – протокол;
- Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
- In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).
Следующим шагом откроем вкладку “Action”:
- Для поля “Action” указываем значение dst-nat;
- To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
- To Ports – порт на который будут перенаправляться запросы.
Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).
Проброс порта на MikroTik для видеонаблюдения
Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.
Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:
Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:
Откроем пункт меню “Action”:
- Указываем действие dst-nat;
- To Addresses – внутренний IP видеосервера или видеорегистратора.
Проброс портов для нескольких внешних IP
Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:
Создадим новый лист для интерфейсов “ISP”:
- Interfaces;
- Interface List => Lists => “+”.
Name: ISP – произвольное имя для Interface List.
Следующим шагом добавим нужные WAN интерфейсы:
Повторить данный шаг для всех WAN-интерфейсов.
Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:
Так можно настроить проброс портов на MikroTik для нескольких WAN.
Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.
Перенаправление трафика на маршрутизатор
С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.
Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.
Для этого выполним настройку NAT на MikroTik следующим образом.
Откроем: IP=>Firewall=>NAT=> “+”.
Добавим запись:
Перейдем в пункт меню “Action” и укажем действие redirect:
Технические ограничения
У этой услуги есть некоторые технические ограничения, которые могут не позволить Вам ее использовать. Работа системы базируется на функциональности «обратный прокси», то фактически, вы будете иметь не прямой доступ из Интернет к своему домашнему устройству и его порту, а к серверу, который выступив прокси сервером, получит поток данных с домашнего устройства и передаст его вам во внешнюю сеть. В этой связи, есть вероятность того, что не все клиентские приложения смогут устойчиво работать при такой организации удаленного доступа.
Дополнительно следует учесть, что введенные вами на странице настройки будут применены не моментально (!), а через некоторое время (около 5 минут), о чем вам будет сообщено на странице настройки «Проброса TCP порта».
Проброс портов на примере программы uTorrent
Для тех, кто не хочет рисковать защищенностью интернет-подключения и знает, какие порты нужны для той или иной программы, подойдет метод выборочного открытия. На примере программы «uTorrent» это помогает увеличить скорость закачек и раздач, т. к. настроенный по умолчанию файрволл роутера может блокировать входящие и исходящие соединения. Для перенаправления портов нужно выполнить следующие действия:
- Зайти в параметры программы «uTorrent», выбрать вкладку «Соединение».
- Напротив строки «Порт входящих соединений» нажать кнопку «Генерировать».
- Появившийся номер скопировать в буфер обмена или записать, закрыть окно настроек кнопкой «ОК».
- Зайти в настройки роутера Ростелеком.
- В разделе «Дополнительные настройки» — «NAT» — «Виртуальные серверы» нажать кнопку «Добавить».
- Выбрать интерфейс подключения, настроенный на данном маршрутизаторе (на примере ADSL-подключений от Ростелекома это чаще всего PPPoE).
- Выбрать сервис, для которого выполняется проброс: в доступном для выбора списке можно найти большинство программ и игр, для которых необходима эта процедура. Если «uTorrent» в этом списке нет, то ее можно вписать вручную, выбрав «Пользовательский сервис».
- В поле «IP-адрес сервера» вписать локальный IP компьютера.
- В таблице вставить в поля для внутренних и внешних портов номер, сгенерированный программой «uTorrent», выбрать протокол TCP/UDP.
- Нажать кнопку «Применить/Сохранить».
На этом настройку можно считать оконченной, торрент-клиент сможет работать на полной скорости без ограничения входящих и исходящих соединений.
Для чего нужен проброс портов?
Вопрос, как пробросить порты на роутере Ростелеком, становится все более актуальным из-за увеличения числа устройств. Если раньше ПК был роскошью, сегодня такие аппараты (в том числе ноутбуки) установлены в каждом доме. Многие люди имеют по несколько ноутов, смартфонов и других аппаратов. Чтобы это оборудование безошибочно работало с Сетью, необходим правильно настроенный роутер.
После подключения к маршрутизатору Ростелеком пользователь может открыть страницы, скачать какие-либо файлы или выполнить иные действия. Но некоторые программы могут работать со сбоями или вообще отказываются подчиняться. Причиной может быть закрытие некоторых портов маршрутизатора. В таком случае их нужно открыть, чтобы дать доступ для всего ПО на ноутбуках, ПК или телефонах.
Проброска входов на маршрутизаторе Ростелеком может потребоваться в таких случаях:
- Возникли трудности с подключением какой-либо программы к Сети.
- Необходимо на одном ПК посмотреть картинку с видео, которое получает другой компьютер или ноутбук. Это работает при условии, что устройства подключены к одному маршрутизатору. Возможны ситуации, когда нужно увидеть видео с камеры, находящейся вообще в другом месте.
- Требуется подключить программу torrent-трекер. Для раздачи файлов придется открыть необходимый вход.
- Интересует просмотр изображения, напрямую поступающего с IP-камеры, работающей через маршрутизатор.
- Необходимо создать на компьютере сервер для игр в режиме онлайн, к примеру, Counter-Strike.
Проброс портов на роутере
Процедура шаг за шагом:
- Запустить браузер и написать в поле адреса локальный адрес маршрутизатора. По стандарту это TP-LINK (адрес 192.168.0.1). Имя пользователя «admin», пароль «admin».
- После введения данных запустится интерфейс роутера.
- Нужно посмотреть на левое верхнее меню и отыскать там строку «Переадресация» («Retrack» или «Forwarding»). Если на маршрутизаторе есть альтернативный язык, нужно загрузить прошивку с сайта разработчика и установить её.
- Далее нужно кликнуть по пункту «Сервер» и перейти в меню «Виртуальные серверы» (Virtual Servers).
- Данная процедура позволит настроить удалённый доступ к любому ПК в локальной сети, причём машина, которая подключена к локальной сети не обязательно должна быть включена в сеть.
- Далее, ищем кнопку «Добавить» (Add New) и нажимаем её.
- Затем заполняем поля, чтобы можно было открыть доступ для другого устройства.
- Порт сервиса (Service Port) можно указать наугад, например 28. Этот порт указывается при заходе на устройство из Интернета. Нужно прописать значение в адресном поле браузера (после двоеточия в хост-адресе).
- Строку «Внутренний порт» (Internal Port) Оставляем пустой. Стандартное значение — «80». Можно просмотреть его в руководстве пользователя.
- IP адрес (IP Address) – это внутренний локальный адрес указанного устройства. Его можно либо посмотреть в «Параметрах оборудования» в «Диспетчере устройств Windows».
- Сохранить изменения при помощи кнопки (Save). Теперь у нас есть новый проброшенный порт, который можно
- Удалить (Delete) или Изменить (Modify) по желанию.
Перезапускать устройство не требуется. - Ещё раз нажать кнопку Добавить (Add New) и пробросить ещё один порт.
После нажатия клавиши «Сохранить» будет доступно два порта для удаленного доступа.
Другой способ — запустить роутер в режиме «Теста» (зажать кнопку де-активации и функциональную клавишу). Пока гаджет перезагружается, нужно прописать в полу браузера адрес 192.168.0.1. Когда страница откроется, данные загрузятся не сразу.
Для получения данных время от времени обновляйте страницу, пока коннект не будет установлен. На странице имеется 2 кнопки «Return to standart settings» и «Swap port». Первая — возврат к заводским настройкам, вторая — замена портов. Нажатие по второй клавише автоматически создаёт максимум свободных портов, которые можно привязать к устройствам. Выполнить это можно добавив новое соединение.
О пробросе портов
Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.
Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.
Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.
После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.
Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.
При всем этом следует обратить особое внимание на безопасность. Ведь открыв к ресурсам локальной сети через интернет, ими могут попытаться воспользоваться злоумышленники.. Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание
Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание
Проброс порта mikrotik в графическом интерфейсе программы Winbox
Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.
1. Путь к настройкам NAT в Mikrotik:
Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.
2. Настройки вкладки General NAT:
На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.
В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:
- Chain: dstnat
- Protocol: 6(tcp)
- Dst. Port: 3389
- In. Interface: ether1 (интерфейс, подключенный к интернету)
Пояснение к параметрам вкладки General, при создании правила NAT:
- Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
- Src. Address: ip-адрес источника (source) пакета;
- Dst. Address: ip-адрес назначения (destination) пакета;
- Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
- Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
- Dst. port: порт, на который адресован пакет источника;
- Any port: означает, что указанный номер порта может быть как источником так и назначением;
- In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
- Out. Interface: интерфейс, на который ушел пакет.
3. Настройки вкладки Action NAT:
После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.
Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.
- Action: dst-nat
- To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
- To Port: 3389 (порт локального хоста, но который перенапряются пакеты)
Пояснение к параметрам вкладки Action, при создании правила NAT:
- Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
- To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
- To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта .
Для проброса портов в Mikrotik необходимо:
- Запустить программу Winbox;
- Указать ip адрес роутера, логин, пароль и нажать клавишу ;
- В меню программы перейти IP > Firewall > вкладка NAT;
- Нажать кнопку ;
- Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
- Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
Проверка работы перенаправления порта
Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.
Нажмите win+r, введите mstsc и нажмите Enter:
В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.
Нажмите Подключить:
(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)
Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:
В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):
Почему не открываются порты на роутере TP-Link — возможные проблемы
Даже если вы сделаете все правильно, то есть вероятность столкнуться с ошибкой, что порты на роутере TP-Link не открываются — почему?
Если при обращении к внутреннему устройству через интернет вы попадаете на главную страницу админки роутера TP-Link, то попробуйте поменять WEB-порт (http-порт) и медиа-порт на другие значения и пробросить их. Также учтите, что проверять работу проброса портов следует только из внешней сети интернет, а не с устройства, входящего в вашу локальную сеть.
Если при обращении к внутреннему устройству через интернет вообще ни чего не происходит, то проверьте:
- Отключены ли антивирусные средства (файрволл, брандмауэр) или в них должны быть настроены исключения на подключение к вашим портам.
- Также есть вероятность, что при отсутствии внешнего статического IP при использовании сервиса DDNS провайдер запретил использовать некоторые порты.
- Следующее, что имеет смысл проверить — включена ли функция NAT для того соединения, через которое вы получаете интернет от провайдера.
- В сетевых настройках устройства/компьютера, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен LAN IP-адресу роутера (по умолчанию 192.168.1.1). Это актуально, если на устройстве/компьютере вы указываете вручную сетевые настройки. Если же устройство/компьютер является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен LAN IP-адресу роутера.
- Возможно также часть проблем удастся устранить путем включения функции открытого DMZ сервера. Его работа будет заключаться в том, чтобы перенаправлять абсолютно все внешние запросы из интернета на один и тот же определенный IP адрес внутри вашей локальной сети.
Настройка проброса портов
После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:
- Порт роутера;
- IP устройства;
- Порт устройства.
Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.
В настройках переадресации добваляем новый виртуальный сервер.
Запись настраивается следующим образом:
- Порт сервиса — это как раз тот порт, по которому будут подключаться из интернета;
- Внутренний порт — это порт устройства, к которому надо открыть доступ;
- IP-адрес — это адрес устройства в локальной сети
- Протокол — тут можно выбрать протокол TCP или UDP. Можно выбрать «ВСЕ», тогда будут перенаправляться оба протокола.
- Состояние — здесь выбираем «включено». При не надобности, можно отключить проброс, не удаляя запись.
Пункт «стандартный порт сервиса» предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля «порт сервиса» и «внутренний порт». Ниже будут рассмотрены основные сервисы.
После того как все настройки выполнены, следует их сохранить.
Номера портов
Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536. На компьютере эти порты делятся на следующие группы :
На компьютере эти порты делятся на следующие группы :
- Системные (от 0 до 1023);
- Пользовательские (от 1024 до 49151);
- Динамические (от 49152 до 65535).
Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.
Стандартные сервисы
Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:
Сервис | Порт | Пояснение |
DNS | 53 | Преобразование символьного наименования в IP-адрес |
FTP | 21 | Хранение и передача файлов |
GOPHTER | 70 | Хранение и передача документов |
HTTP | 80 | Получение информации с сайтов |
NNTP | 119 | Сервер новостей |
POP3 | 110 | Получение почты |
PPTP | 1723 | Защищенное соединение |
SMTP | 25 | Прием и передача почты |
SOCK | 1080 | Передача минуя межсетевой экран |
TELNET | 23 | Управление в текстовом виде |
Что такое порты в Windows 7/10 и зачем они нужны
Для различения запросов и оптимизации соединения используются ещё протоколы и порты. О последних и пойдёт сегодня речь. Так что же такое порты, зачем они нужны, как узнать какие порты открыты на компьютере и почему они должны быть открыты или, напротив, закрыты?
Порт – это виртуальная единица, канал, номер соединения с удалённым клиентом или сервером, выделяемый той или иной программе. Непонятно? Попробуем объяснить доходчивей. Представьте себе огромное здание с 65 535 дверьми. Двери эти не простые, ведущие во внутренние комнаты, а волшебные, ведущие в другие такие же здания. Дом с множеством дверей – это ваш компьютер, а двери – это порты, через которые программы устанавливают соединение с другими компьютерами.
Когда приложение желает получить доступ в сеть, оно резервирует для себя порт с определённым номером, благодаря чему при обмене многочисленными данными не бывает путаницы. Когда программа завершает свою работу, порт освобождается, хотя для некоторых портов есть свои исключения. Например, порты 80 и 443 должны быть открыты постоянно, иначе некоторые программы не смогут соединиться с интернетом, если только в их алгоритмах не предусмотрена возможность альтернативного подключения. Другие порты желательно держать на замке, дабы избежать атак по сети и использования их вредоносными программами.
Ошибка конфигурации
Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!
Пример намеренно утрированный с целью пройтись по всем граблям:
- Ничего нет более постоянного, чем временное — не люблю эту фразу, но по субъективным ощущениям, 20-40% таких временных серверов остаются надолго.
- Сложный универсальный пароль, который используется во многих сервисах — зло. Потому что, один из сервисов, где использовался этот пароль, мог быть взломан. Так или иначе базы взломанных сервисов стекаются в одну, которая используется для *.
Стоит добавить, что redis, mongodb и elastic после установки вообще доступны без аутентификации, и часто пополняют коллекцию открытых баз. - Может показаться, что за пару дней никто не насканит ваш 3306 порт. Это заблуждение! Masscan — отличный сканер, и может сканировать со скоростью 10М портов в секунду. А в интернете всего 4 миллиарда IPv4. Соответственно, все 3306-ые порты в интернете находятся за 7 минут. Карл!!! Семь минут!
«Да кому это надо?» — возразите вы. Вот и я удивляюсь, глядя в статистику дропнутых пакетов. Откуда за сутки 40 тысяч попыток скана с 3-х тысяч уникальных IP? Сейчас сканят все кому не лень, от мамкиных хакеров до правительств. Проверить очень просто — возьмите любую VPS’ку за $3-5 у любого** лоукостера, включите логирование дропнутых пакетов и загляните в лог через сутки.
С какими трудностями может столкнуться пользователь?
Во время проброса портов через 2 роутера или одно устройство могут возникнуть проблемы, которые требуют решения. Рассмотрим основные трудности.
Поменялся IP адрес ПК
При открытии порта через роутер пользователь указывает и сетевой адрес ПК, для которого выполняется работа. Чаще всего на раздающем устройстве активен DHCP-сервер, а компьютеры-клиенты получают IP-адреса. Если ПК был перегружен и отключен, а после снова включен, роутер может выдать другой IP-адрес. Как результат, проброс сделать не удастся.
Чтобы исключить проблему, нужно установить статические адреса для ПК клиентов. Для этого:
перейдите в свойства TCP/IP сетевого адаптера, войдите в настройки;
- переключитесь с автоматического на ручное получение адреса;
- заполните поля маски подсети адреса (в том числе шлюза — роутера);
сохраните настройки.
Если все сделано правильно, после перезагрузки ПК адрес остается неизменным, а с пробросом портов на роутере не будет проблем.
Программа сама вносит правки
Такая проблема характерна для пиринговых торрент-сетей. К примеру, uTorrent при каждом пуске устанавливает новый вход. Из-за того, что в маршрутизаторе задан статический параметр, появляются сбои в работе. Для исправления ошибки нужно в настройках ПО указать необходимый порт и запретить случайный выбор.
Для этого:
- запустите ПО;
- перейдите в раздел соединения и укажите в нем номер входа, указанного в маршрутизаторе;
- отключите «Случайный порт при запуске»;
- сохраните изменения.
После внесенных изменений с пробросом портов не должно быть проблем.
Программы не работают даже при открытом порте
Распространенная причина — блокировка с помощью брандмауэра роутера. Для этого нужно зайти в настройки раздающего устройства, перейти в раздел базовой безопасности и выбрать отключение фаервола. После этого можно перезагрузить роутер и проверить корректность работы.
Прочие причины
Существуют и другие причины, почему не удается сделать проброс портов на роутере. Вот они:
- Блокировка со стороны провайдера. Такая ситуация характерна для многоквартирных домов. Решением может быть переход на другой тариф, где нет ограничений.
- Ошибки в указании IP роутера или сервера. Необходимо проверить эти данные.
- Трудности с настройкой проброса. Возможно, в разделе «Виртуальные сервисы» внесены неправильные данные.
- Антивирус или брандмауэр ПК блокирует порты. Необходимо отключит их на время проверки.