Ha ezt a cikket olvassa, gratulálunk! Sikeresen kommunikál egy másik szerverrel az interneten a 80 és 443 portok, a webes forgalom szabványos nyílt hálózati portjainak használatával. Ha ezeket a portokat bezárnák a szerverünkön, akkor nem olvashatja el ezt a cikket. A zárt portok védik a hálózatát (és a szerverünket) a hackerek ellen.
Lehet, hogy webportjaink nyitva vannak, de az otthoni útválasztó portjainak nem szabadna lenniük, mivel ez lyukat nyit a rosszindulatú hackerek számára. Előfordulhat azonban, hogy időnként engedélyeznie kell a készülékeihez való hozzáférést az interneten keresztül a porttovábbítás használatával. A port továbbításával kapcsolatos további tudnivalókért a következőket kell tudnia.
Mi a portirányítás?
A porttovábbítás a helyi hálózati útválasztókon zajló folyamat, amely az online eszközökről a helyi hálózat meghatározott eszközeire továbbítja a kapcsolódási kísérleteket. Ennek köszönhető a hálózati útválasztó port-továbbítási szabályai, amelyek megfelelnek a csatlakozási kísérleteknek a hálózat egyik eszközének megfelelő portjához és IP-címéhez.
A helyi hálózatnak egyetlen nyilvános IP-címe lehet, de a belső hálózat minden eszközének megvan a saját belső IP-je. A porttovábbítás összekapcsolja ezeket a külső kéréseket A-tól (a nyilvános IP és a külső port) a B-hez (az eszköz kért portjához és helyi IP-címéhez a hálózaton).
Hogy elmagyarázzuk, miért lehet ez hasznos, képzeljük el, hogy otthoni hálózata kicsit olyan, mint egy középkori erőd. Míg ki tud nézni a falakon túlra, mások nem nézhetnek be és nem sérthetik meg a védekezést - biztonságban van a támadással szemben.
Az integrált hálózati tűzfalaknak köszönhetően a hálózat ugyanabban a helyzetben van. Hozzáférhet más online szolgáltatásokhoz, például webhelyekhez vagy játékkiszolgálókhoz, de más internethasználók cserébe nem férhetnek hozzá az eszközeihez. A felvonóhíd megemelkedik, mivel a tűzfal aktívan blokkolja a külső kapcsolatok bármilyen kísérletét a hálózat megsértésére.
Vannak olyan esetek, amikor ez a védelmi szint nem kívánatos. Ha otthoni hálózaton szeretne szervert futtatni (például málna Pi használatával ), akkor külső kapcsolatokra van szükség.
Itt jön be a portátirányítás, mivel ezeket a külső kéréseket bizonyos eszközökre továbbíthatja anélkül, hogy veszélyeztetné a biztonságot.
Tegyük fel például, hogy helyi webszervert futtat egy olyan eszközön, amelynek belső IP-címe 192.168.1.12, míg a nyilvános IP-címe 80.80.100.110. A 80portra (80.90.100.110:80) tartozó külső kérelmek a port-továbbítási szabályoknak köszönhetően engedélyezettek lennének, a forgalmat a 80-as portratovábbítva a 192.168.1.12.
Ehhez be kell állítania a hálózatot a port-továbbítás engedélyezéséhez, majd létre kell hoznia a megfelelő port-továbbítási szabályokat a hálózati útválasztón. Lehet, hogy a forgalom engedélyezéséhez konfigurálnia kell a hálózat más tűzfalait is, beleértve az Windows tűzfal t is.
Miért érdemes elkerülni az UPnP-t (automatikus portátirányítás)
A továbbítás beállítása a helyi hálózaton nem nehéz a haladó felhasználók számára, de mindenféle nehézséget okozhat a kezdők számára. Ennek a problémának a leküzdése érdekében a hálózati eszközgyártók létrehoztak egy automatikus továbbítási rendszert a port továbbításhoz, az UPnP(vagy univerzális Plug and Play) néven.
Az ötlet Az UPnP lehetővé tette (és van), hogy az internetalapú alkalmazások és eszközök automatikusan létrehozhassák a portirányítási szabályokat az útválasztón a külső forgalom engedélyezése érdekében. Például az UPnP automatikusan megnyitja a portokat és továbbítja a forgalmat egy játékkiszolgálót futtató eszköz számára anélkül, hogy manuálisan kellene konfigurálnia a hozzáférést az útválasztó beállításaiban.
A koncepció zseniális, de sajnos a végrehajtás hibás - ha nem is rendkívül veszélyes. Az UPnP egy rosszindulatú program álma, mivel automatikusan feltételezi, hogy a hálózatán futó alkalmazások és szolgáltatások biztonságosak. A Az UPnP feltör weboldalt feltárja a mai napig is könnyen megtalálható bizonytalanságok számát a hálózati útválasztóknál.
Biztonsági szempontból a legjobb, ha tévedjen az óvatosság oldalán. A hálózati biztonság megkockáztatása helyett kerülje az UPnP használatát az automatikus porttovábbításhoz (és ahol lehetséges, teljesen tiltsa le). Ehelyett csak manuális porttovábbítási szabályokat kell létrehoznia azokhoz az alkalmazásokhoz és szolgáltatásokhoz, amelyekben megbízik, és amelyeknek nincsenek ismert biztonsági rései.
A portátirányítás beállítása a hálózaton
Ha elkerüli az UPnP-t, és kézzel szeretné beállítani a portátirányítást, akkor ezt általában az útválasztó webadminisztrációs oldalán teheti meg. Ha nem biztos abban, hogyan érheti el ezt, akkor általában megtalálja az információkat az útválasztó alján vagy az útválasztó dokumentációs kézikönyvében.
Csatlakozhat a router admin oldala, amely az útválasztó alapértelmezett átjáró címét használja. Ez általában 192.168.0.1vagy hasonló változat - írja be ezt a címet a böngésző címsorába. Emellett hitelesítenie kell az útválasztóhoz mellékelt felhasználónévvel és jelszóval (pl. rendszergazda)).
Statikus IP-címek beállítása DHCP-foglalással
A legtöbb helyi hálózat dinamikus IP-allokációt használ ideiglenes IP-címek hozzárendeléséhez a csatlakozó eszközökhöz. Bizonyos idő elteltével az IP-cím megújul. Ezeket az ideiglenes IP-címeket újrahasznosíthatják és másutt is felhasználhatják, és az eszközhöz más helyi IP-cím is rendelhető.
A porttovábbításhoz azonban meg kell követelni, hogy a helyi eszközökhöz használt IP-cím ugyanaz maradjon. statikus IP-címet rendelhet hozzá manuálisan is elvégezheti, de a legtöbb hálózati útválasztó lehetővé teszi statikus IP-cím kiosztást az útválasztó beállításainak oldalán a DHCP-foglalás segítségével.
Sajnos az egyes útválasztók gyártói eltérő lehet, és az alábbi képernyőképeken (TP-Link útválasztó használatával készült) végrehajtott lépések nem feltétlenül egyeznek meg az útválasztóval. Ebben az esetben lehet, hogy további támogatást kell keresnie az útválasztó dokumentációjában.
Először nyissa meg a hálózati útválasztó webadminisztrációs oldalát a böngészője segítségével, és hitelesítse az útválasztó rendszergazdájának felhasználónévével és jelszavával. Miután bejelentkezett, nyissa meg az útválasztó DHCP-beállításait.
Lehetséges, hogy már keresett helyi eszközöket keres (a szükséges kiosztási szabály automatikus kitöltéséhez), vagy előfordulhat, hogy meg kell adnia a konkrét MAC-cím t annak az eszköznek, amelyhez statikus IP-t kíván rendelni. Hozza létre a szabályt a helyes MAC-címmel és a használni kívánt IP-címmel, majd mentse a bejegyzést.
Új port-továbbítási szabály létrehozása
Ha eszközének statikus IP-je van (kézzel állítva vagy fenntartva a DHCP-kiosztási beállításokban), akkor léphet a port-továbbítási szabály létrehozására. Ennek feltételei változhatnak. Egyes TP-Link útválasztók például ezt a funkciót virtuális szerverekként emlegetik, míg a Cisco útválasztók szabványos néven (Port továbbítás) hivatkoznak rá.
Az útválasztó webadminisztrációs oldalának megfelelő menüjében hozzon létre egy új port-továbbítási szabályt. A szabály megköveteli azt a külsőportot (vagy porttartományt), amelyhez külső felhasználók csatlakozni kívánnak. Ez a port össze van kapcsolva a nyilvános IP-címmel (pl. A 80port a nyilvános IP-hez 80.80.30.10) .
Meg kell határoznia azt a belsőportot is, amelyre a forgalmat a külsőportról szeretné továbbítani. Ez lehet ugyanaz a port vagy egy alternatív port (a forgalom céljának elrejtése érdekében). Meg kell adnia a statikus IP-címet a helyieszközhöz (pl. 192.168.0.10) és a használt portprotokollhoz (pl. TCP vagy UDP).
Az útválasztótól függően előfordulhat, hogy kiválaszthat egy szolgáltatástípust a szükséges szabályadatok automatikus kitöltéséhez (pl. HTTPa 80-as portnál vagy a HTTPSa portnál 443). Miután konfigurálta a szabályt, mentse el a módosítás alkalmazásához.
További lépések
A hálózati útválasztónak automatikusan alkalmaznia kell a változtatást a tűzfalszabályokra. . A nyitott portra tett bármilyen külső próbálkozást továbbítani kell a belső eszközre az Ön által létrehozott szabály használatával, bár előfordulhat, hogy külön szabályokat kell létrehoznia a több portot vagy porttartományt használó szolgáltatásokhoz.
Ha problémái vannak, akkor fontolóra kell vennie további tűzfalszabályok hozzáadását a PC-hez vagy a Mac szoftveres tűzfalához (beleértve a Windows tűzfalat is) a forgalom átengedése érdekében. A Windows tűzfal általában nem engedélyezi a külső kapcsolatokat, így például ezt a Windows Beállítások menüben kell konfigurálnia.
Ha a Windows tűzfal nehézségeket okoz, akkor ideiglenesen tiltsa le kivizsgálni. A biztonsági kockázatok miatt azonban azt javasoljuk, hogy a probléma elhárítása után engedélyezze újra a Windows tűzfalat, mivel az további védelmet nyújt a lehetséges hackelési kísérletek.
Biztonság Az otthoni hálózat
Megtanulta, hogyan kell beállítani a portirányítást, de ne felejtse el a kockázatokat. Minden megnyílt port újabb lyukat jelent az útválasztó tűzfala előtt, amelyet port-leolvasó eszközök megtalálhat és visszaélhet. Ha bizonyos alkalmazásokhoz vagy szolgáltatásokhoz portokat kell nyitnia, győződjön meg arról, hogy azokat csak az egyes portokra korlátozza, ahelyett, hogy hatalmas porttartományokat megsértene.
Ha aggódik az otthoni hálózata miatt, akkor fokozza a hálózat biztonságát harmadik féltől származó tűzfal hozzáadása -kal. Ez lehet egy számítógépre vagy Mac-re telepített szoftveres tűzfal, vagy 24/7 hardveres tűzfal, például a Firewalla Gold, amely a hálózati útválasztóhoz van csatlakoztatva, hogy egyszerre védje az összes eszközt.