Переадресация портов: что это такое и как ее настроить?

Что такое проброс, или перенаправление портов?

Представьте себе — есть на компьютере некая программа, которая обменивается данными с другими устройствами в сети. Это может быть торрент-клиент, онлайн игра, почтовый сервер, программа для видеонаблюдения или что-то еще. Для ее работы необходим некий открытый порт, через который она связывается с другими участниками. Когда вы устанавливаете программу на Windows, то она автоматически делает все настройки порта для ее корректной работы.

Например, торрент-клиент. Вы установили программу, она при инсталляции прописала для операционной системы, на каком порту работает, чтобы он был открыт для внешнего доступа. Создали раздачу, и к вашему компу напрямую коннектятся люди из интернета и получают файлы.

И тут вы ставите новое звено между ПК и интернетом — роутер, у которого кроме основной функции раздачи wifi есть также и ряд дополнительных, в том числе защита локальной сети. Так вот, для ограждения ваших устройств от нежелательных подключений к ним из интернета, маршрутизатор может блокировать внешние запросы.

Чтобы этого избежать используется функция перенаправления портов, когда мы точно указываем маршрутизатору, на какой именно порт данного устройства разрешено отсылать всех «интересующихся».

Приведу несколько примеров, в которых требуется открывать порты на роутере Keenetic или Zyxel:

  • Вы настроили на компьютере файловый сервер и хотите делиться какими-то документами через интернет
  • У вас установлена камера видеонаблюдения, и необходимо предоставить доступ к картинке через интернет
  • Вы хотите делиться торрентами со своего жесткого диска на ноутбуке с другими пользователями
  • У вас на ПК запущен игровой сервер, и необходимо разрешить к нему подключаться остальным игрокам

Проверьте открытые порты на вашем роутере

Как только мы разобрались со всеми концепциями, пришло время проверить открытые порты на вашем маршрутизаторе. Для этого у нас в основном есть два варианта, первый и самый простой — использовать определенный веб-сайт, чтобы проверить, открыты ли наши порты. Мы рекомендуем вам получить доступ к нашему тест порта проверить это быстро и легко.

После того, как мы вошли, нам просто нужно будет указать наш публичный IP-адрес и указать порт или порты, которые мы хотим проверить. Этот инструмент позволяет вам проверять диапазоны портов, а также разделенные запятыми порты.

С другой стороны, у нас всегда есть возможность сетевых приложений Android. Один из них является Cеть Сканер которые вы можете скачать из Гугл игры:

Сетевой сканер
Разработчик: Первый ряд

В инструменты раздел у нас есть Сканер портов вариант. Помните, что для того, чтобы сделать это правильно, вы должны сделать это подключенным через мобильные данные, и указать публичный IP-адрес, который есть у нас дома, а затем указать порты для проверки и нажать «Пуск».

Затем появится список с открытыми портами, которые он обнаружил.

Если окажется, что все порты закрыты, даже если вы их открыли, мы рекомендуем проверить следующие параметры.

Ручной способ переадресации

Выполнить проброс портов вручную немного сложнее, но этот способ считается более верным. При автоматической переадресации иногда возникает ситуация, когда роутер открывает доступ не для того устройства, и если вы хотите все контролировать в целях безопасности сети, то остановитесь на этом способе настройки. Есть один минус — переадресация перестанет работать, если поменять данные роутера, поэтому придётся заново вносить всю необходимую информацию.

Когда вы уже знаете, какой порт хотите открыть и делаете это для отдельной программы, например, торрента, выполните следующее:

  • Зайдите в настройки программы, выберите раздел Соединение и перепишите комбинацию цифр из строки «Порт входящих соединений».
  • Далее снимите все флажки из строк, расположенных снизу, кроме «В исключения брандмауэра».

Ещё нужен MAC-адрес компьютера, дабы по нему найти свой компьютер в списке всех устройств, подключённых к маршрутизатору.

Его вы узнаете при помощи таких действий:

  • Зайдите в меню «Центр управления сетями и общим доступом» через Панель управления на компьютере.
  • Откройте сведения актуального подключения по локальной сети, перепишите комбинацию цифр из строки «Физический адрес».

Теперь настроим роутер на проброс портов. Прежде всего, в меню оборудования измените способ установки IP-адреса на статический, так как для открытия порта необходимо, чтобы он оставался неизменным.

Рассмотрим, как сделать переадресацию на моделях TP-Link, так как они наиболее востребованы среди провайдеров и их клиентов.

Выполните следующее:

  • Откройте меню привязки IP и MAC-адресов, пункт «Таблица ARP».
  • По MAC-адресу определите адрес IP, запомните его, чтобы затем внести в настройки.
  • Откройте «Параметры привязки», поставьте флажок напротив «Связывание ARP», сохраните изменения.
  • Выберите строку «Добавить новую», внесите данные, которые ранее запоминали в настройках.

Вы связали вместе IP и MAC-адреса вашего компьютера, теперь осталось внести параметры для переадресации. Это делается так:

  • Остановитесь на разделе Переадресация, пункт Виртуальные серверы, нажмите на «Добавить новую…»
  • В первые две строки введите номер, который вы записали из параметров торрента, впишите IP-адрес, из выпадающих окон выберите пункт «Все» и состояние «Включено».

Теперь вы осведомлены в том, как делается проброс портов автоматически и вручную. Выбрать оптимальный вариант установки вы можете по своему усмотрению, а если что-то пойдёт не так, то всегда можно сбросить настройки и начать процесс сначала.

Цель

Переадресация портов позволяет удаленным компьютерам (например, компьютерам в Интернете ) подключаться к определенному компьютеру или службе в частной локальной сети (LAN).

В типичной жилой сети узлы получают доступ в Интернет через DSL или кабельный модем, подключенный к маршрутизатору или преобразователю сетевых адресов (NAT / NAPT). Хосты в частной сети подключены к коммутатору Ethernet или обмениваются данными через беспроводную локальную сеть . Внешний интерфейс устройства NAT настроен с использованием общедоступного IP-адреса. С другой стороны, компьютеры за маршрутизатором невидимы для хостов в Интернете, поскольку каждый из них обменивается данными только с частным IP-адресом.

При настройке переадресации портов сетевой администратор выделяет один номер порта на шлюзе для исключительного использования связи со службой в частной сети, расположенной на определенном хосте. Внешние хосты должны знать этот номер порта и адрес шлюза для связи с внутренней службой сети. Часто номера портов хорошо известных Интернет-служб, такие как номер порта 80 для веб-служб (HTTP), используются при переадресации портов, так что общие Интернет-службы могут быть реализованы на узлах в частных сетях.

Типичные приложения включают следующее:

  • Запуск общедоступного HTTP- сервера в частной локальной сети
  • Разрешение доступа Secure Shell к узлу в частной локальной сети из Интернета
  • Разрешение FTP- доступа к хосту в частной локальной сети из Интернета
  • Запуск общедоступного игрового сервера в частной локальной сети

Администраторы настраивают переадресацию портов в операционной системе шлюза. В ядрах Linux это достигается с помощью правил фильтрации пакетов в компонентах ядра iptables или netfilter . Операционные системы BSD и macOS до Yosemite (OS 10.10.X) реализуют его в модуле Ipfirewall (ipfw), а операционные системы macOS, начиная с Yosemite, реализуют его в модуле Packet Filter (pf).

При использовании на шлюзовых устройствах переадресация портов может быть реализована с помощью одного правила для преобразования адреса назначения и порта. (В ядрах Linux это правило DNAT). В этом случае адрес источника и порт не меняются. При использовании на машинах, которые не являются шлюзом сети по умолчанию, исходный адрес должен быть изменен на адрес машины трансляции, иначе пакеты будут обходить транслятор и соединение не будет установлено.

Когда переадресация портов реализуется прокси-процессом (например, в брандмауэрах прикладного уровня, брандмауэрах на основе SOCKS или через прокси-серверы TCP), то фактически никакие пакеты не транслируются, проксируются только данные. Обычно это приводит к тому, что исходный адрес (и номер порта) меняется на адрес прокси-машины.

Обычно только один из частных хостов может использовать конкретный переадресованный порт одновременно, но иногда возможна конфигурация, позволяющая дифференцировать доступ по исходному адресу исходного хоста.

Unix-подобные операционные системы иногда используют переадресацию портов, когда номера портов меньше 1024 могут быть созданы только программным обеспечением, запущенным от имени пользователя root. Работа с привилегиями суперпользователя (для привязки порта) может представлять угрозу безопасности для хоста, поэтому переадресация портов используется для перенаправления порта с меньшим номером на другой порт с большим номером, чтобы прикладное программное обеспечение могло работать как обычная операционная система. системный пользователь с ограниченными правами.

Universal Plug и Play протокол (UPnP) обеспечивает возможность автоматической установки экземпляров переадресации портов в жилых интернет — шлюзов. UPnP определяет протокол Интернет-шлюза (IGD), который является сетевой службой, с помощью которой Интернет-шлюз объявляет о своем присутствии в частной сети через протокол обнаружения простых служб (SSDP). Приложение, предоставляющее услуги на основе Интернета, может обнаруживать такие шлюзы и использовать протокол UPnP IGD, чтобы зарезервировать номер порта на шлюзе и заставить шлюз пересылать пакеты в свой прослушивающий сокет .

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

  • Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
  • Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

Выбираем “Разрешить подключение”.

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

Перед тем как погрузится в мир настройки описываемой службы, следует пояснить для каких целей она применяется. Наверно, все в какой-то мере пробовали играть в он-лайн игры с использованием сети Интернет (Рис. 1).

Вы подключаетесь к определенному серверу, и начинается сеанс игры (направление установления сеанса показано стрелками). Но что будет, если вы хотите организовать подобный сервер у себя дома? Или в связи с постоянным доступом в Интернет, посредством ADSL модема, возникло желание перенести свою домашнюю страничку с бесплатного хостинга на свой домашний HTTP сервер. А может, вы часто ездите по миру и вам необходимо сделать доступ на свою директорию при помощи FTP сервера. В этом случае, удаленный компьютер должен обратиться к вашему Игровому, HTTP или FTP серверу, находящемуся за xDSL модемом (направление установления сеанса показано стрелками), но тогда непременно возникнет следующая проблема — невидимость вашего персонального компьютера или локальной сети из-за службы NAT/Firewall модема (Рис. 2).

Следует это из-за того, что невозможно обратиться к вашему персональному компьютеру с IP адресом 192.168.1.2 из сети Интернет (подробности читайте во врезке о службе NAT). Но, в тоже время, вы всегда можете обратиться к публичному IP адресу вашего модема, получаемого из пула IP адресов провайдера. Для чего это можно применить? А очень просто. Совместно со службой NAT можно настроить проброс портов, открытых на WAN интерфейсе модема, во внутреннюю сеть на определенный персональный компьютер и, таким образом, получить доступ к Игровому, HTTP или FTP серверу. Да и не только к ним, а к любому порту, используемому сетевым приложением на вашем персональном компьютере. Именно для реализации всего этого применяется служба Port Forwarding.

«>

Что такое перенаправление портов?

Перенаправление портов позволяет входящим соединениям из Интернета достигать определенных устройств и программ в частной сети. Частная сеть может состоять из всех устройств, подключенных к маршрутизатору Wi-Fi, или всех пользователей, подключенных к VPN.

Если установлен брандмауэр NAT и другой компьютер в Интернете пытается установить соединение с вашим устройством, это соединение блокируется и сбрасывается. Переадресация портов разрешает незапрашиваемые соединения через брандмауэр NAT на определенных портах, что позволяет устройствам в Интернете инициировать соединения и получать доступ к службам на локальном устройстве. Например, другие торренты могут загрузить с вашего устройства общий файл.

Чтобы понять, что такое переадресация портов и как она работает, вы должны сначала иметь некоторое представление о брандмауэрах NAT. И Wi-Fi-маршрутизаторы, и VPN часто имеют встроенные межсетевые экраны NAT. Каждое устройство, подключенное к Wi-Fi-маршрутизатору или VPN-серверу, имеет общий IP-адрес, но имеет уникальный частный IP-адрес.

NAT или N etwork ddress T ranslation, что делает возможным для многих устройств совместно использовать один публичный IP – адрес. Входящие соединения сначала идут на ваш маршрутизатор или VPN-сервер через общедоступный IP-адрес. Эти соединения затем перенаправляются на отдельные устройства в соответствии с их номером порта и локальным IP-адресом.

К исходящим запросам привязан номер порта. Когда они получают ответ, включается номер порта, указывающий на устройство, на которое должны быть отправлены данные.

Однако, если вы получаете незапрошенный запрос на подключение, к нему не будет прикреплен номер порта, поэтому запрос отклоняется. Таким образом, NAT предотвращает злонамеренные запросы и создает простой, но эффективный межсетевой экран.

Однако в некоторых ситуациях вам необходимо разрешить нежелательные соединения. Переадресация портов позволяет пробить брешь в брандмауэре NAT, чтобы разрешить входящие соединения, помеченные указанным портом. Эти соединения перенаправляются на устройство, указанное в вашей настройке.

Открываем порт на Кинетике

Начинаем с того, что заходим в веб-интерфейс роутера, используя IP-адрес 192.168.1.1 или хостнейм my.keenetic.net. Имя пользователя по умолчанию — admin. Пароль для входа на Кинетике по умолчанию задаётся при первоначальной настройке устройства. Если Вы его не знаете, то читаем вот эту инструкцию.

После этого, как Вы зашли в веб-интерфейс роутера, в главном меню слева откройте раздел «Сетевые правила» -> «Переадресация».

Откроется страничка «Переадресация портов». Здесь изначально нет ни одного правила для проброса портов. Если какая-то программа использует UPnP, то эти правила отображаются в нижней части окна.

Чтобы открыть порт на Keenetic — нажмите кнопку «Добавить правило».

Откроется окно создания правил переадресации портов на роутере. Ставим галочку «Включить правило» и заполняем поля в форме ниже:

  • В поле «Описание» надо прописать название правила. Например, мы делаем проброс порта для торрента — пишем название torrent.
  • В списке «Вход» надо выбрать внешние подключение к Интернет. У меня PPPoE-соединение — я его и указываю. Если у Вас тип подключения Динамический IP — выбираем «IPoE».
  • В списке «Выход» будут отображены все зарегистрированные в локальной сети устройства. Можно выбрать из списка то устройство, для которого надо на Кинетике открыть порт, либо поставить значение «Другое устройство» и в поле ниже прописать его IP-адрес в локальной сети.
  • Следующим шагом указывается протокол. Обычно это TCP или UDP.
  • Тип правила выбираем или «Одиночный порт» если делаем проброс для одного порта, либо «Диапазон портов», если надо открыть подряд сразу несколько портов на роутере.
  • В поле «Порт назначения» надо указать номер нужного порта.

Остаётся только проверить чтобы в расписании стояло значение «Работает постоянно» и нажать на кнопку «Сохранить».  Результатом будет строчка созданного правила переадресации:

Хочу отметить тот момент, что при создании правила одновременно указать два протокола — например, TCP и UDP — нельзя. Надо делать проброс по очереди для каждого из них.

Внимание! После того, как вам удалось открыть порт на Keenetiс и Вы начинаете проверять его доступность из вне, не забывайте учитывать следующие условия. Устройство, для которого создано правило, должно быть включено в момент проверки

Если у него есть свой брандмауэр (firewall), то у него так же должно быть создано разрешающее правило, иначе при проверке будет всё равно показывать, что порт закрыт.

Итак, как настраивать проброс портов, для того, чтобы работала наша почта через стандартные порты gmail?

  1. Для начала идем на прокси-сервер с Usergate и там открываем раздел Назначение портов.Проброс портов на прокси — общий вид

На приведенном скриншоте видно конечный результат, который необходимо получить для настройки на порты gmail.com — 465 и 995 (в данном случае используется реальные имена и порты smtp и pop3-серверов соотстветствующего почтового сервера).

Следующим действием для настройки проброса портов необходимо нажать кнопку Добавить, и заполнить появившуся форму.

Проброс портов на прокси — smtp

Имя связи — указываем произвольно, но желательно, чтобы это было емкое название, помогающее вам впоследствии без труда идентифицировать плоды своего труда.

Протокол – TCP

Исходящий адрес – выбираем Адреса клиентов – по сути, здесь можно указать только один единственный адрес той машины, на которой нужен почтовый клиент, но раз мы говорим о работе всего, пусть и небольшого офиса, ставим именно так – Адреса клиентов. В этом случае все пользователи, которым разрешен доступ к прокси-серверу, независимо от их реального IP-адреса,  смогут работать через почтовый клиент.

Слушающий адрес – а вот здесь ставим внутренний (принадлежащий вашей локальной сети) IP-адрес машины, на которой находится прокси-сервер.

Слушающий порт – любой выбранный вами порт, по которому будет работать OutlookExpress на машине-клиенте, обращаясь к почтовику (gmail.com) через внутренний прокси-сервер.

Хост назначения – smtp.gmail.com

Порт назначения – 465

Последние два параметра – имя хоста, и порт на котором он принимает пакеты. Небольшой итог того, что мы поучили. Создано правило, по которому от компьютеров сети, являющихся пользователями в UserGate, запросы, идущие на IP-адрес прокси-сервера на порт 9025, прокси-сервером будут пересылаться в Интернет на 465 порт gmail.com, чего и нужно было достичь.

Аналогичные манипуляции для проброса портов почтового сервера gmail проводим со входящей почтой:

Проброс портов на прокси — pop

После того, когда мы разобрались с тем, как настроить проброс портов для почтового сервера на прокси-сервере, переходим к настройкам клиентской части.

Страницы: 1

Destination NAT

Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Практически применяется в следующих случаях:

  • Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
  • Перенаправление любого DNS-трафика через маршрутизатор.

Стандартные действия возможные для цепочки dst-nat:

  • dst-nat – преобразование адреса и/или порта получателя;
  • redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.

Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.

Проброс портов на MikroTik

Пример проброса порта для RDP

Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.

Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.  

Для этого откроем:

IP=>Firewall=>NAT=> “+”.

На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:

Где:

  • Chain: dstnat – цепочка правил для IP-адреса назначения;
  • Protocol: 6 (tcp) – протокол;
  • Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
  • In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).

Следующим шагом откроем вкладку “Action”:

  • Для поля “Action” указываем значение dst-nat;
  • To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
  • To Ports – порт на который будут перенаправляться запросы.

Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).

Проброс порта на MikroTik для видеонаблюдения

Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.

Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:

Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:

Откроем пункт меню “Action”:

  • Указываем действие dst-nat;
  • To Addresses – внутренний IP видеосервера или видеорегистратора.

Проброс портов для нескольких внешних IP

Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:

Создадим новый лист для интерфейсов “ISP”:

  • Interfaces;
  • Interface List => Lists => “+”.

Name: ISP – произвольное имя для Interface List.

Следующим шагом добавим нужные WAN интерфейсы:

Повторить данный шаг для всех WAN-интерфейсов.

Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:

Так можно настроить проброс портов на MikroTik для нескольких WAN.

Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.

Перенаправление трафика на маршрутизатор

С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.

Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.

Для этого выполним настройку NAT на MikroTik следующим образом.

Откроем: IP=>Firewall=>NAT=> “+”.

Добавим запись:

Перейдем в пункт меню “Action” и укажем действие redirect:

Как включить проброс портов?

Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.

На моделях TP-Link это делается так:

  • Зайдите в меню роутера, введите в адресной строке браузера свой IP-адрес, авторизуйтесь (обычно для этого вводится значение Admin).
  • Выберите строку «Переадресация», включите данную функцию, если прежде она была не активирована.

В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.

При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.

Проброс портов в iptables

Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:

Чтобы настройка сохранялась после перезагрузки используйте такую команду:

Мы не будем здесь подробно рассматривать правила iptables и значение каждой опции, поэтому перед тем, как читать дальше вам лучше ознакомиться со статьей iptables для начинающих. Дальше рассмотрим проброс портов iptables nat.

Настройка прохождения пакетов

Сначала мы рассмотрим как разрешить прохождение пакетов через маршрутизатор. Для этого в брандмауэре есть цепочка FORWARD. По умолчанию для всех пакетов применяется правило DROP, которое означает что все нужно отбросить. Сначала разрешим инициализацию новых соединений, проходящих от eth0 до eth1. Они имеют тип contrack и представлены пакетом SYN:

Действие ACCEPT означает, что мы разрешаем это соединение. Но это правило разрешает только первый пакет, а нам нужно пропускать любой следующий трафик в обоих направлениях для этого порта (80). поэтому добавим правила для ESTABLIHED и RLEATED:

Дальше явно установим что наша политика по умолчанию — DROP:

Это еще не проброс портов, мы только разрешили определенному трафику, а именно на порт 80, проходить через маршрутизатор на другие машины локальной сети. Теперь настроим правила, которые будут отвечать за перенаправление трафика.

Модификация пакетов в iptables

Далее мы настроим правила, которые будут указывать как и куда нужно перенаправить пакеты, приходящие на порт 80. Сейчас маршрутизатор может их пропускать в сеть, но он еще не знает куда. Для этого нам нужно будет настроить две вещи — модификацию адреса назначения (Destination) DNAT и модификацию адреса отправителя (Source) SNAT.

Правила DNAT настраиваются в цепочке PREROUTING, в таблице NAT. Эта операция изменяет адрес назначения пакета чтобы он достиг нужной нам цели, когда проходит между сетями. Клиенты будут отправлять пакеты нашему маршрутизатору, и им не нужно знать топологию внутренней сети. Пакет автоматически будет приходить нашему веб-серверу (192.168.1.2).

С помощью этого правила мы перенаправляем все пакеты, пришедшие на порт 80, к 192.168.1.2 опять же на порт 80:

Но это только половина работы. Пакет будет иметь исходный адрес клиента, а значит будет пытаться отправить ответ ему. Так как клиент ожидает получить ответ от маршрутизатора, то нормального TCP соединения не получиться. Чтобы решить эту проблему нужно модифицировать адрес источника и заменить его на адрес маршрутизатора 192.168.1.1. Тогда ответ придет маршрутизатору, а тот уже от своего имени передаст его в сеть.

Если вы хотите перенаправить трафик на порт 8080, то нужно указать его после ip адреса:

Также может понадобиться выполнить проброс диапазона портов iptables, для этого просто укажите диапазон, например, 1000:2000:

После добавления этого правила можете проверять работу перенаправление портов iptables будет выполняться и все будет отправляться так, как нужно.

Сохранение настроек iptables

Теперь, когда все настроено, нужно сохранить этот набор правил, чтобы он загружался автоматически при каждом старте. Для этого выполните:

Готово. Теперь проброс портов iptables ubuntu будет работать так, как нужно.

Проброс портов: заполнение таблицы

Таблицу заполняют для упрощения работы устройства и для распределения портов.

Service port IP Adress Protocol Status Modify
1111 192.168.0.100 BOTH Enabled Modify delete
2222 192.168.0.100 UDP Enabled Modify delete
  • первая графа — случайные цифры;
  • вторая — неизменное значение IP;
  • протокол определяет метод связи. Строго рекомендовано устанавливать значения «BOTH» и «UDP» в шахматном
  • порядке и направлять порты на них, пока связь не будет налажена.

Остальные две графы изменять нельзя!.

После настройки нужно сохранить параметры, чтобы роутер запомнил их. Сохранить можно так:

  • сохранить документ в формате «.ini», после чего интегрировать в другое устройство;
  • сохранить страницу полностью, после чего открывать в браузере при подключении;
  • записать параметры или запомнить их.

Заключение

Большинство роутеров имеют похожую архитектуру и конфигурацию, поэтому в интернете лежит достаточное количество настроек и пресетов для каждой модели. Загружая готовый профиль для своего устройства, можно сэкономить время и силы, потраченные на настройку. Если есть желание разобратьсья в этом самостоятельно — данная статья как нельзя лучше в этом поможет.

Выполнить проброс рекомендуется сразу после установки роутера, так как стандартные настройки буду накапливать много ошибок в роутере, что повлияет на качество связи и срок службы устройства. Обычные протоколы и алгоритмы передачи данных не настроены под все устройства.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector