OTT объясняет: что такое переадресация портов и для чего она используется?


Большинство людей проживают свою жизнь, не имея ни малейшего представления о том, что такое переадресация портов и чем она может им помочь. Недавно я купил IP-камеру Foscam, которая подключается к моей беспроводной сети и записывает все на мое устройство Synology NAS (сетевое хранилище). Что хорошо в IP-камере, так это то, что вы можете просматривать ее за пределами локальной сети, например, когда вы выходите из дома в двухнедельный отпуск и хотите проверить, что происходит.

Вы можете потратить сотни или даже тысячи долларов, наняв компанию для установки камер и настройки всего за вас, или вы можете потратить 70 долларов на Amazon за камеру и сделать это самостоятельно! Я был приятно удивлен своей покупкой и относительно простой настройкой, которая требуется. К сожалению, если вы ничего не знаете о переадресации портов, вы не сможете сделать это самостоятельно.

В этой статье я собираюсь объяснить, что такое переадресация портов и как ее можно использовать для доступа к локальным устройствам, таким как камеры, устройства NAS, принтеры и т. д., из-за пределов локальной домашней или офисной сети. Как только вы узнаете, как перенаправить порт, вы сможете настроить удаленный рабочий стол получить доступ к своему компьютеру из любого места.

Прежде чем мы перейдем к переадресации портов, вам сначала нужно немного понять, что делает маршрутизатор в вашей локальной сети.

Интернет, маршрутизатор и NAT

Малая сеть

Большинство домашних сетей похожи на изображение выше: ваши устройства, такие как смартфон, планшет, компьютер, телевизор и т. д., подключены напрямую или по беспроводной сети к маршрутизатору, который подключен к Интернету. Однако, если задуматься, у вас есть только один IP-адрес для вашего подключения, который уникален во всем Интернете, так как же все эти устройства подключаются и используют только этот один адрес?

И здесь на помощь приходит ваш маршрутизатор. Ваш маршрутизатор по сути позволяет устройствам в вашей локальной сети взаимодействовать с устройствами в Интернете через NAT (преобразование сетевых адресов). Так что же такое НАТ? Я не буду вдаваться в подробности в этой статье, но в основном все IP-адреса в вашей локальной сети являются частными или зарезервированными адресами. Это означает, что их можно использовать только в частных сетях. Пример частных адресов: 10.x.x.x, 192.x.x.x и т. д.

Каждому устройству в вашей сети маршрутизатор назначает частный адрес через службу DHCP. По сути, это сетевой протокол, который настраивает адреса устройств в сети, чтобы они могли взаимодействовать друг с другом..

Итак, это одна сторона или интерфейс вашего маршрутизатора. Второй интерфейс подключается к Интернету. В этом интерфейсе ваш маршрутизатор имеет уникальный IP-адрес, назначенный вашим интернет-провайдером. Это выглядит примерно так:

Широкополосный IP-адрес

Как видите, IP-адрес здесь начинается совсем с другого (99.108.x.x). Теперь здесь в игру вступает NAT. Если компьютер в вашей локальной сети попытается отправить данные через Интернет, ничего не произойдет, поскольку трафик не маршрутизируется. Любой трафик с частного адреса в Интернете сбрасывается. Вместо этого ваш компьютер отправляет данные на маршрутизатор, который затем «переводит» эти данные и отправляет их через Интернет. Внешне это выглядит так, как будто все данные рассылает один компьютер с одним IP-адресом, хотя на самом деле за маршрутизатором находится несколько компьютеров и устройств.

Чтобы объяснить это немного подробнее, предположим, что компьютер в вашей сети хочет подключиться к компьютеру в Интернете, то есть подключиться к Google.com из вашего веб-браузера. Этот запрос передается маршрутизатору, который является шлюзом по умолчанию. Если вы когда-нибудь запускали настройку IP для своего компьютера, вы увидите строку под названием «Шлюз по умолчанию» или «Маршрутизатор». Шлюз по умолчанию — это место, куда отправляются данные, когда IP-адрес ни с чем не совпадает локально.

Теперь маршрутизатор просто берет эти данные и меняет исходный адрес с локального частного IP-адреса на общедоступный IP-адрес маршрутизатора. Также в таблицу NAT вносится запись о том, что этот компьютер сделал запрос на определенный порт для этого интернет-ресурса. Когда внешний сервер ответит, он отправит данные обратно на маршрутизатор. Затем маршрутизатор проверит свою таблицу и определит, какой компьютер инициировал это соединение. Затем он перенаправит эти данные на порт на локальном компьютере, который их запросил.

Переадресация портов

Таким образом, это прекрасно работает для просмотра веб-страниц, отправки электронных писем и т. д., поскольку они предопределены в почтовых клиентах и ​​веб-браузерах и являются исходящим трафиком. Например, HTTP-трафик всегда проходит через порт 80. Это определено IANA, и каждый должен ему следовать. SMTP, который используется для отправки электронной почты, по умолчанию использует порт 25. Однако что произойдет, если кто-то попытается подключиться к вашему маршрутизатору из Интернета, например, через порт 80?

По умолчанию, если у вас не настроена переадресация портов и включен брандмауэр, это соединение будет просто разорвано. Если вы хотите запустить веб-сервер в своей локальной сети, вам придется перенаправлять трафик, поступающий через порт 80, на локальный IP-адрес компьютера, на котором работает веб-сервер. Другой пример: вы используете игровой сервер в своей локальной сети и хотите, чтобы другие друзья могли присоединиться к нему. Игровой сервер может принимать новые соединения через порт 55202, а это означает, что вам придется пересылать данные, поступающие на порт 55202. на вашем маршрутизаторе к IP-адресу игрового сервера в вашей локальной сети. IP-камера может использовать порт 5000 для входящих подключений..

Порт вперед

Как видно выше, проброс порта не так уж и сложен. Вы даете ему имя (NetCam, RDP и т. д.), а затем указываете номера начального и конечного портов. Обычно эти два одинаковы. Это означает, что данные, поступающие на порт 5000 извне сети, будут направляться на порт 5000 локального компьютера внутри вашей сети. Выбрав номера портов, вы просто вводите IP-адрес устройства, которое будет ожидать данных по этому номеру порта.

Если вы не можете понять, как это сделать на своем маршрутизаторе, вы можете прочитать мой предыдущий пост на как пробросить порты с помощью бесплатного программного обеспечения под названием Simple Port Forwarding.

Осложнения

Если бы это было так просто, все бы это делали, верно? Есть причина, по которой это немного сложно настроить правильно. Основная причина заключается в том, что ваш уникальный общедоступный IP-адрес, назначенный вашему домашнему подключению к Интернету, постоянно меняется! Поэтому, если вы попытаетесь подключиться из-за пределов сети, это может сработать один или два раза, но перестанет работать, как только изменится общедоступный IP-адрес.

Здесь вам необходимо настроить динамический DNS. Это позволит вам создать уникальное доменное имя, которое автоматически обновляется текущим IP-адресом вашего подключения к Интернету с помощью инструмента, который вам необходимо загрузить и установить на компьютер внутри сети. Подробнее о настройка динамического DNS можно прочитать в предыдущей публикации на OTT.

Другой вопрос — безопасность. По умолчанию ваш маршрутизатор является единственным устройством, имеющим доступ к Интернету. Как только вы начнете перенаправлять порты, эти компьютеры станут уязвимы для атак из Интернета на этот номер порта. Существует множество злонамеренных хакеров, которые регулярно сканируют компьютеры через Интернет в поисках открытых портов на компьютерах. Поэтому вам нужно быть осторожным с тем, какие порты вы открываете. Всегда полезно выбирать порт выше 1024. На самом деле многие интернет-провайдеры даже не разрешают входящий трафик через порты, такие как 80, из-за спама и хакеров.

При настройке Foscam мне пришлось изменить порт с 80 на что-то в диапазоне 8000, чтобы иметь возможность подключиться. Я также позаботился о том, чтобы я установил пароль, чтобы ни один шпион, обнаруживший открытый порт на моем IP-адресе, не смог внезапно увидеть, что происходит в моем доме, хотя бы не зная пароля.

Надеюсь, эта статья поможет вам лучше понять концепцию переадресации портов и узнать, как ее можно использовать для доступа к устройствам в локальной сети из любой точки мира. Наслаждайтесь!.

Похожие сообщения:


4.04.2013