Пробросить порты: Что такое проброс портов и для чего он нужен – МАКСНЕТ — ПКРЕГИОН компьютерный магазин в Екатеринбурге недорогой техники каталог и цены с доставкой

Содержание

D-Link

Вопрос: Для чего нужен проброс портов в роутере и как его настроить (DIR-300NRU, DIR-320NRU, DIR-615/K1 — прошивка 1.4.x )

Ответ:

Проброс портов — это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.

Такое перенаправление нужно если вы, к примеру, используете пиринговые сети, или хотите развернуть на локальном компьютере сервер с доступом из Интернет. Также перенаправление иногда требуется для многопользовательских игр.

На прошивках 1.4.х функция проброса портов называется «Виртуальные серверы».

Настройку рекомендуется производить через web-интерфейс. Для того чтобы в него попасть, откройте браузер (Internet Explorer или Mozilla Firefox) и введите в адресной строке

192. 168.0.1

В появившемся окне введите:

Имя пользователя – admin

Пароль – admin

Нажмите «Вход».

Первый способ – с помощью мастера настройки.

Нажмите «Мастер настройки виртуального сервера» в поле «Межсетевой экран»

Задайте необходимые параметры для Вашего виртуального сервера.

Имя Введите название виртуального сервера для удобной идентификации. Может быть произвольным.

Интерфейс

Выберите соединение, к которому будет привязан создаваемый виртуальный сервер.

Внутренний IP Введите IP-адрес сервера, находящегося в локальной сети. Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).

Удаленный IP — Введите IP-адрес сервера, находящегося во внешней сети. Если необходимо открыть доступ для любого устройства во внешней сети – оставьте это поле пустым.

После задания необходимых значений нажмите кнопку «Сохранить». После этого произойдет переход на страницу быстрых настроек.

В верхнем правом углу нажмите на кнопку «Система» и затем «Сохранить».

На этом настройка завершена.

Второй способ – вручную.

Подключитесь в Web-интерфейсу устройства и нажмите клавишу «Расширенные настройки»

Выберите «Виртуальные серверы» в разделе «Межсетевой экран».

В открывшемся окне нажмите «Добавить»

В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку «Изменить».

Шаблон — В раскрывающемся списке выберите один из шести приведенных шаблонов виртуальных серверов или выберите значение Custom (пользовательский), чтобы самостоятельно определить параметры виртуального сервера.

Имя — Название виртуального сервера для удобной идентификации. Может быть произвольным.

Интерфейс — Соединение, к которому будет привязан создаваемый виртуальный сервер.

Протокол — Протокол, который будет использовать создаваемый виртуальный сервер. Выберите необходимое значение из раскрывающегося списка.

Внешний порт (начальный)/ Внешний порт (конечный) — Порт маршрутизатора, трафик с которого будет переадресовываться на IP-адрес, определяемый в поле Внутренний IP. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внешний порт (начальный) и не заполняйте поле Внешний порт (конечный).

Внутренний порт (начальный)/ Внутренний порт (конечный) — Порт IP-адреса, задаваемого в поле Внутренний IP, на который будет переадресовываться трафик с порта маршрутизатора, задаваемого в поле Внешний порт. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внутренний порт (начальный) и не заполняйте поле Внутренний порт (конечный).

Внутренний IP — IP-адрес сервера, находящегося в локальной сети. Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).

Удаленный IP — IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).

Чтобы задать другие параметры для существующего сервера, выделите соответствующий сервер в таблице. На открывшейся странице измените необходимые параметры и нажмите кнопку «Изменить».

Чтобы удалить существующий сервер, выделите соответствующий сервер в таблице. На открывшейся странице нажмите кнопку «Удалить». В верхнем правом углу нажмите на кнопку «Система» и затем «Сохранить».

Как пробросить порты на Микротик

Ранее мы уже писали о том, как настроить роутер MikroTik. В нашей очередной инструкции мы постарались ответить на вопрос — как пробросить порты на роутере MikroTik.

Любую сеть можно схематично представить в таком виде:

Схема 1 — Схематичное отображение типовой сети

Посмотрим немного подробнее, на примере роутера MikroTik RB951-2nb — у него 5 портов, плюс модуль WiFi.

Подключаемся через web-интерфейс или Winbox’ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.

Тут мы видим все интерфейсы, доступные нашему роутеру (интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом (бриджем).
Далее,

ether1-gateway. Ether1 — это первый RJ45-разъем на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом от провайдера. Поэтому он называется Gateway — «Ворота» (в принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway’ем любой другой порт, и даже несколько портов одновременно при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45-разъёма, он называется ether2-master-local, остальные 3 — называются slave-local. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.
Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера.

Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере.

Пример — мы хотим, чтобы при подключении к нашей сети роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2. Для этого и нужен NAT.

Схема 2 — Пример распределения подключения к сети

В Микротике управление NAT’ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.

Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.

Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat.
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp.
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. Например, порт 51413.
Затем идёт пункт Any. Port (любой порт) — это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
In. interface (входящий интерфейс) — это тот интерфейс, на котором «слушается» указанный порт. Если не указан этот параметр, то порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.

В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт.

accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat;
log — Просто добавляет информацию о пакете в лог роутера;
masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.

Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.

Нажимаем кнопку Apply, роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем:

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание — дополнительно «открывать» порт не требуется!

Проброс портов на роутерах Asus, D-Link, TP-Link, Zyxel

Проброс портов — это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором/ роутером, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера/ сетевого устройства в локальной сети. Такое перенаправление нужно если вы, к примеру, хотите организовать доступа к IP камере через Интернет или такое перенаправление иногда требуется для многопользовательских игр.

Проброс портов на роутерах D-link.

Подключитесь к веб интерфейсу роутера D-Link и нажмите клавишу «Расширенные настройки».

Выберите «Виртуальные серверы» в разделе «Межсетевой экран».

В открывшемся окне нажмите «Добавить».

В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку «Изменить».

Шаблон — В раскрывающемся списке выберите один из шести приведенных шаблонов виртуальных серверов или выберите значение Custom (пользовательский), чтобы самостоятельно определить параметры виртуального сервера.
Имя — Название виртуального сервера для удобной идентификации. Может быть произвольным.
Интерфейс — Соединение, к которому будет привязан создаваемый виртуальный сервер.
Протокол — Протокол, который будет использовать создаваемый виртуальный сервер. Выберите необходимое значение из раскрывающегося списка.
Внешний порт (начальный)/ Внешний порт (конечный) — Порт маршрутизатора, трафик с которого будет переадресовываться на IP-адрес, определяемый в поле Внутренний IP. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внешний порт (начальный) и не заполняйте поле Внешний порт (конечный).
Внутренний порт (начальный)/ Внутренний порт (конечный) — Порт IP-адреса, задаваемого в поле Внутренний IP, на который будет переадресовываться трафик с порта маршрутизатора, задаваемого в поле Внешний порт. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внутренний порт (начальный) и не заполняйте поле Внутренний порт (конечный).
Внутренний IP — IP-адрес сервера, находящегося в локальной сети. Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).
Удаленный IP — IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).

Чтобы сохранить существующее правило, нажмите на кнопку «Система» и затем «Сохранить».

Проброс портов на роутерах TP-link.

Зайдите на веб интерфейс роутера TP-Link. Перейдите в меню «Переадресация» — «Виртуальные серверы». Нажмите кнопку «Добавить новую».

Заполните поля:
Порт сервиса — Сетевой порт, по которому пользователи будут заходить на ваш сервис.
Внутренний порт — Внутренний порт, по которому доступен ваш сервис (внутри вашей локальной сети).
Примечание: Порт сервиса и Внутренний порт могут быть разными.
IP-адрес — Локальный IP-адрес вашего сервиса, выданный маршрутизатором.

Сохраните настройку, нажав кнопку «Сохранить».

Проброс портов на роутерах ASUS.

Зайдите на веб интерфейс роутера Asus, выберите в меню «Интернет» — вкладка «Переадресация портов», в самом низу страницы заполните поля.

Имя службы— произвольное имя службы.

Диапазон портов— укажите порты с которых роутер будет перенаправлять входящие соединения, например диапазон портов 1000:1050 или отдельные порты 1000, 1010 или смешанный 1000:1050, 1100.

Локальный адрес— адрес на который будет переадресовывать роутер.

Локальный порт— номер порта на машине с IP <Local IP> на который роутер будет перенаправлять соединения;

Протокол— соединения какого типа следует отлавливать роутеру.

После указания всех настроек нажмите «Плюс», что бы добавить правило, после этого сохраните настройки и нажмите кнопку «Применить».

Проброс портов на роутерах Zyxel.

Зайдите на веб интерфейс роутера Zyxel. Зайдите в меню «Безопасность» — «Трансляция сетевых адресов (NAT)». Нажмите «Добавить правило».
В новом диалоговом окне заполните следующие пункты.

Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета — интерфейс туннеля (PPPoE, PPTP или L2TP).

Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.

В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов (FTP)). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.

В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).

Новый номер порта назначения – используется для «подмены порта» (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.

После заполнения нужных полей нажмите кнопку Сохранить.
В данном случае, указаны правила для перенаправления порта 4000 по TCP и UDP протоколу.

В результате, в настройках «Безопасность» должно появиться окно с правилами переадресации для tcp/4000 и udp/4000.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:

Как сделать проброс портов на роутере

Что такое перенаправление порта

Перенаправление порта — это сопоставление определённого порта на внешнем интерфейсе роутера с определённым портом нужного устройства в локальной сети.

Перенаправление порта является одной из функций механизма NAT (трансляции сетевых адресов). Суть NAT заключается в использовании несколькими устройствами в локальной сети одного внешнего интерфейса. В домашних сетях внешний интерфейс — это WAN-порт роутера, а сетевые устройства — это компьютеры, планшеты и смартфоны. А суть перенаправления заключается в том, чтобы предоставить доступ к какому-то устройству в сети из Интернета, используя какой-либо открытый порт роутера.

Как сделать проброс порта на шлюзе (роутере, модеме)

Это то, что в народе называется «как открыть порт на роутере».

Допустим, есть задача предоставить доступ к удалённому рабочему столу компьютера, который подключён к Интернету через роутер. Для этого нужно создать правило перенаправления любого свободного порта WAN-интерфейса роутера на порт 3389 нужного компьютера. 3389 — это порт, который используется по умолчанию для приёма входящих подключений службы сервера удалённых рабочих столов. После создания такого правила и применения настроек на роутере запросы, поступившие на указанный внешний порт будут перенаправлены на 3389 нужного компьютера в сети.

Для этого на роутере необходимо зайти в настройки перенаправления портов и добавить правило.

Пример настройки перенаправления порта на роутере D-Link.

1 Откройте раздел Advanced (Расширенные настройки).

2 Выберите настройку Port Forwarding (перенаправление портов).

3 Настройте правило перенаправления:

Укажите любое удобное для вас имя правила;
Укажите номер публичного порта (или диапазон). Публичный порт — это тот, который будет открыт на роутере для доступа из Интернета через WAN-интерфейс. Если нужно открыть только один порт, укажите один и тот же порт и в качестве начального в диапазоне, и в качестве конечного.
В нашем случае нам нужно открыть порт 3389, поэтому мы два раза указали его в верхней строке настроек.
Укажите IP-адрес компьютера (сервера) в локальной сети, на котором запущена служба, доступ к которой нужно предоставить. Рекомендуется зарезервировать IP-адрес для данного сервера в настройках DHCP-резервирования на роутере, чтобы он не поменялся в дальнейшем. Вместо этого также можно указать IP-адрес вручную в настройках сетевого адаптера на компьютере, проброс до которого вы будете делать на роутере.
В нашем примере мы указываем внутренний серый IP-адрес 192.168.1.100, который принадлежит компьютеру с Windows Server 2008 с настроенным сервером удалённых рабочих столов.
Укажите порт для приёма входящих подключений на компьютере в локальной сети.
В нашем случае на сервере для службы Сервер удалённых рабочих столов используется порт по умолчанию 3389.
Установите флажок слева для включения правила.

4 Нажмите Save Setting (Сохранить настройки)

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server. Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

Проброс портов на роутере Mikrotik

Рассмотрим задачу проброса портов на роутере Mikrotik. В нашем примере мы будем пробрасывать 80-й порт, чтобы открыть доступ извне к веб-интерфейсу нашего принтера.

1. Открываем IP -> Firewall -> NAT, создаем новое правило, нажав на +, во вкладке General ставим параметр Chain в режим dstnat, Protocol — в 6 (tcp), Dst. Port — 80:

Следует учесть, что в вашем случае протокол и порт назначения могут быть (и скорее всего будут) другими.

2. Переходим во вкладку Action, ставим параметр Action в режим dst-nat, в поле To Addresses вбиваем IP-адрес нашего принтера:

3. Теперь попробуем подключиться к принтеру по 80 порту снаружи:

Работает! Mission completed.

2 небольших комментария:
Во-первых, в нашем примере на роутере выполнена лишь базовая настройка брандмауэра, которая не блокирует ничего. Если у вас брандмауэр настроен более строго — необходимо будет донастроить его на разрешение правила порт-форвардинга (в рамках этой заметки на этом останавливаться не будем — оставим предупреждением).
Во-вторых, если вы планируете маскировать открытый порт (публикуя наружу, например, порт 6666, при соединении с которым должен будет ответить 80-й порт публикуемого сервиса/приложения/устройства), то в пункте 1 следует указать замаскированный Dst. Port, а в пункте 2 в параметре To Ports указать порт, по которому реально будет отвечать публикуемый узел.

Проброс портов для управления, настройка NAT

Вернуться в Базу знаний

1) Откройте консоль управления vCloud Director. Войдите в систему в качестве администратора организации. Перейдите во вкладку администрирования (Administration), в списке слева выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите на вкладку Edge Gateways.

Выберите нужный сервер Edge, щелкните правой кнопкой мыши и выберите Edge Gateway Services.

В HTML5 версии консоли управления vCloud перейдите в ваш vDC, в левом меню выберите Edges, укажите ваш Edge Gateway и нажмите кнопку Configure Services.

2) Откроется новое окно. Перейдите во вкладку NAT.

По умолчанию после создания организации в вашем Edge Gateway будет присутствовать одно правило – SNAT. Оно обеспечивает доступ виртуальных машин в интернет.

3) В качестве примера создадим правило проброса для WEB сервиса со стандартным портом 80, на адрес виртуальной машины – 192.168.3.5 . Для начала необходимо нажать кнопку “+ DNAT RULE”.

Откроется новое окно, в котором необходимо указать следующие поля:

Applied On: Указываем внешнюю сеть, в данном случае — Cloud.3919.External.IX
Original IP/Range: Внешний адрес Edge Gateway, можно узнать из SNAT правила – 92.246.150.219
Protocol: для WEB сервисов — TCP
Original Port: порт для внешнего IP Edge Gateway — 80
Translated IP/Range: локальный IP адрес виртуальной машины с WEB сервисом – 192.168.3.5
Translated Port: порт для локального IP адреса виртуальной машины — 80
Enabled: переключатель включающий и выключающий правило.

После нажмите кнопку , и новое правило будет добавлено в список.
Для применения и сохранения настроек необходимо нажать кнопку Save Changes:

4) В целях безопасности при пробросе портов для таких служб как SSH, TELNET, RDP рекомендуем использовать нестандартные внешние порты. Либо настроить фильтрацию доступа в Firewall.
Пример правила для RDP сервера (локальный IP 192.168.3.10) который будет доступен по IP 92.246.150.219 + порт 58421

Нестандартный внешний порт для RDP не гарантирует 100% защиту от взлома по этому протоколу, но отсеет большую часть ботов, сканирующих только стандартные порты и их вариации.

Как настроить проброс портов на роутерах MikroTik

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

организации игрового сервера на домашнем компьютере,
организации пиринговых (одноранговых) сетей,
для доступа к IP-камере из интернета,
корректной работы торрентов,
работы WEB и FTP-серверов.

Почему возникает необходимость в пробросе портов? Дело в том, что по умолчанию в роутерах работает правило так называемого маскарадинга. IP-адреса компьютеров и других устройств из локальной сети не видны ЗА роутером, во внешней сети. При поступлении пакетов данных из внутренней сети для отправки во внешний мир роутер открывает определенный порт и подменяет внутренний IP устройства на свой внешний адрес — надевает «маску», а при получении ответных данных на этот порт — отправляет их на тот компьютер внутри сети, для которого они предназначаются.

Таким образом, все получатели данных из внешней сети видят в сети только роутер и обращаются к его IP-адресу. Компьютеры, планшеты и другие устройства в локальной сети остаются невидимыми.

Эта схема имеет одну особенность: роутер принимает только те пакеты данных, которые приходят по соединению, инициированному компьютером из внутренней сети. Если компьютер или сервер из внешней сети пытается установить соединение первым, роутер его сбрасывает. А для указанных выше пунктов (игровой сервер, пиринговые сети и т. п.) такое соединение должно быть разрешено. Вот для этого и применяется проброс портов. Фактически, это команда роутеру зарезервировать один порт и все данные извне, которые на него поступают, передавать на определенный компьютер. Т. е. сделать исключение из маскарадинга, прописав новое правило.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
Src. Address Dst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
Src. Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
Dst. Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

accept — просто принимает данные;
add-dst-to-address-list — адрес назначения добавляется в список адресов;
add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
log — просто записывает информацию о данных в лог;
masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat;
passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
redirect — данные перенаправляются на другой порт этого же роутера;
return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
same — редко используемая настройка один и тех же правил для группы адресов;
src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

80/tcp — WEB сервер,
22/tcp — SSH,
1433/tcp — MS SQL Server,
161/udp — snmp,
23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

Как перенаправить порты в вашем маршрутизаторе для PlayStation 5

Если вы пытаетесь установить NAT типа 2 на PS5, то первым шагом будет настройка перенаправления портов. Может показаться устрашающей задачей войти в свой маршрутизатор и создать запись для переадресации портов, но не беспокойтесь; мы проведем вас через это.

Если вы не уверены, что означает Nat Type 2, обязательно прочтите наше руководство по определению типов Nat.

Перенаправление портов — это способ передачи данных в вашу домашнюю сеть через маршрутизатор.Без настройки переадресации портов все подключения к данным должны быть созданы изнутри вашей сети, что обычно хорошо.

Однако, когда вы играете, часто вы хотите, чтобы люди могли подключиться к вашей PS5. Здесь в игру вступает форвард порта.

playstation 5 portforward

Еще одна вещь … Когда вы настраиваете переадресацию портов, также лучше всего настроить статический IP-адрес, указывающий на вашу PS5. Наличие статического IP-адреса для вашей PS5 гарантирует, что ваша PS5 будет получать один и тот же IP-адрес при каждом включении.Без статического IP-адреса ваша PS5 может получать разные IP-адреса при каждом цикле включения питания, что приведет к перебоям в работе вашего порта. Шаг статического IP-адреса на самом деле является более сложным из двух, но иногда его стоит сделать, потому что это означает, что переадресация порта будет продолжать работать в течение более длительного времени.

Найти IP-адрес PS5

Первое, что нам нужно сделать, это найти несколько IP-адресов. Нам нужно знать как IP-адрес вашей PlayStation, так и IP-адрес вашего маршрутизатора. К счастью, есть простой способ получить и то, и другое.

В меню PlayStation перейдите в «Настройки», а затем прокрутите вниз до «Сеть».

На экране сети выберите «Просмотр состояния подключения». Это покажет вам как IP-адрес вашей PS5, так и ваш адрес шлюза по умолчанию.

IP-адрес состояния подключения PlayStation 4 в кружке

IP-адрес представляет собой серию из 4 чисел, разделенных точкой. Очень часто IP-адрес вашей PS5 начинается с 192.168.0 или 192.168.1, за которыми следует последний номер. Другая серия распространенных IP-адресов начинается с 10.0,0. и также следуют окончательный номер.

Ваш шлюз по умолчанию — ваш маршрутизатор
С точки зрения сети ваш шлюз по умолчанию — это ваш домашний маршрутизатор.

Запишите оба IP-адреса, потому что они понадобятся вам в следующих шагах.

Войдите в свой маршрутизатор

Теперь нам нужно войти в ваш роутер. Откройте веб-браузер, введите IP-адрес в адресную строку и нажмите клавишу ВВОД. Вы можете использовать любой веб-браузер, который вам нравится: Chrome, Firefox, Edge, Opera или Safari будут работать.Все они имеют адресную строку, в которой вы можете вводить адреса веб-сайтов или условия поиска. В адресной строке (обведенной ниже) просто введите IP-адрес вашего маршрутизатора.

В приведенном выше примере IP-адрес маршрутизатора — 192.168.0.1 . Обязательно укажите IP-адрес вашего роутера в адресной строке.

Откроется экран входа в маршрутизатор.

Вам необходимо знать имя пользователя и пароль вашего роутера. Если вы никогда не устанавливали их, скорее всего, это значения по умолчанию.Вы можете найти список паролей по умолчанию здесь. Если вы сомневаетесь, вы всегда можете попробовать пароль администратора, или пустое поле, или их комбинацию.

Имя пользователя	Пароль
admin	пароль
(оставить пустым)	admin
(оставить пустым)	пароль

Попробуйте различные комбинации из список выше. Если ни один из них не сработает, у нас есть выбор.Найдите производителя вашего маршрутизатора в нашем Списке маршрутизаторов, а затем найдите свой маршрутизатор. Вы должны увидеть список всех известных имен пользователей и паролей.

Найдите секцию переадресации портов

Как только вы войдете в свой маршрутизатор, вам нужно найти раздел переадресации портов.

Иногда это называется Virtual Servers , иногда — Apps and Gaming , а иногда просто Port Forwarding . Иногда он скрыт в разделе брандмауэра, иногда в разделе безопасности, а иногда в разделе LAN.Посмотрите немного вокруг, и вы должны его найти.

Вот как выглядит раздел Apps and Gaming в типичном маршрутизаторе Linksys.

Linksys portforwarding

В этом случае мы выбрали Port Range Forwarding , потому что это наиболее гибкий вариант в этом маршрутизаторе.

Создать переадресацию порта

Переадресация портов — это в основном параметр, который указывает вашему маршрутизатору принимать данные, которые появляются на определенных портах, и отправлять их на определенное устройство. В этом случае порты являются стандартными портами PlayStation Network, а это устройство — вашей PlayStation.

Помните : Port Forward принимает данные, поступающие на ваш маршрутизатор из Интернета, и направляет их на IP-адрес PlayStation .

При настройке переадресации в маршрутизаторе вас могут спросить о TCP или UDP. Если у вашего маршрутизатора есть опция Оба, просто используйте это, так как это проще. Для сети PlayStation на маршрутизаторе, который поддерживает оба, вот список портов для пересылки:

Если ваш маршрутизатор поддерживает оба протокола:
Протокол Оба: 1935,3074,3478-3480

Если вы должны пересылать TCP и UDP отдельно, создайте пересылку для портов TCP и другую пересылку для портов UDP.Для сети PlayStation Network требуются порты TCP и UDP:

Если ваш маршрутизатор не поддерживает оба протокола:
Протокол TCP: 1935,3478-3480
Протокол UDP: 3074,3478-3479

Помните, что вы создаете этот форвард, указывающий на IP-адрес вашего устройства PlayStation.

Вот пример переадресации портов PlayStation Network на очень распространенном маршрутизаторе Linksys.

portforward ps4 linksys, пример

Поскольку этот маршрутизатор принимает диапазонов и значений, мы создали 3 записи.Каждая запись имеет диапазон значений из списка выше.

Если бы этот маршрутизатор не поддерживал протокол и , тогда нам пришлось бы создать 4 записи; 2 для TCP и 2 для UDP.

Сетевые утилиты

Если вы выполните все эти шаги, у вас должен быть NAT типа 2 на вашей PlayStation 5. Если вы просто не можете заставить его работать, вы всегда можете использовать наше программное обеспечение Network Utilities, которое поставляется с поддержкой. Наша служба поддержки рада помочь вам получить NAT типа 2 на вашей PlayStation.

Когда вы используете сетевые утилиты для переадресации портов в маршрутизаторе, они автоматически создают для вас правильные записи. Он также может объединять несколько записей, чтобы максимизировать ограниченное доступное пространство на вашем маршрутизаторе.

Если у вас есть какие-либо вопросы об этом руководстве или о нашем программном обеспечении в целом, перейдите в нашу систему сообщений и дайте нам знать.

Проверка открытого порта

Чтобы успешно открыть порт, вы должны сначала понять несколько основ.

Интернет использует так называемые IP-адреса для передачи данных туда и обратно.Каждый компьютер в вашей сети имеет собственный локальный IP-адрес, похожий на номер телефона. Думайте о своем компьютере как о большом здании с множеством разных офисов. В самом здании есть один телефонный номер. Каждый офис в здании имеет пристройку. Думайте о портах как о офисах или пристройках в этом здании.

Каждое приложение на вашем компьютере имеет определенный порт, который оно использует. Электронная почта использует порт 25, веб-браузеры используют порт 80 и т. Д. Список часто используемых портов можно найти по этой ссылке.Каждое приложение использует эти порты, поэтому принимающий компьютер, игровая консоль или устройство знает, какое приложение ему нужно использовать, чтобы открыть пакет данных.

Открытый порт и закрытый порт

Открытый порт — это порт, который готов и принимает данные на обоих концах линии. Это означает, что для действительно открытого порта мне нужно больше, чем просто позвонить вам. У вас должен быть кто-то на другом конце, чтобы поднять трубку. Наличие открытого порта означает, что на вашем компьютере есть программа для открытия данных или ответа на звонок.

Закрытый порт — это порт, на другом конце линии которого нет программы, прослушивающей его. Это связано с тем, что ваш маршрутизатор не знает, что делать с вызовом или входящим запросом на соединение. Ваш маршрутизатор автоматически держит все ваши порты закрытыми для вас, агрессивно отклоняя вызов или просто отбрасывая вызов или пакет. Ему нужно это сделать, потому что он не знает, куда отправить входящий пакет. Ваш маршрутизатор не может узнать, для какого компьютера или устройства в вашей сети предназначен входящий пакет.Перенаправление портов сообщает вашему маршрутизатору, кто должен получать входящий запрос на соединение.

Это безопасно

Наличие открытого порта звучит страшно, правда? Возникает логичный вопрос: безопасно ли это? У нас есть руководство, в котором подробно описывается именно эта проблема, под названием «Безопасна ли переадресация портов?»

Чтобы коротко ответить на этот вопрос:

Наличие открытого порта для игровой консоли на 100% безопасно. Невозможно получить доступ к вашей сети с игровой консоли, Xbox или Playstation, так что это безопасно.
Единственный риск наличия открытого порта для камеры или DVR — это возможность доступа к этому конкретному устройству. Они по-прежнему не могут получить доступ к вашей сети через это устройство. Если вы установили пароль для камеры или цифрового видеорегистратора, риск крайне низок.
Риск наиболее высок, если на вашем компьютере открыт порт. Вы должны убедиться, что у вас установлен программный брандмауэр, прежде чем открывать порт. Windows Vista, Windows 7, Windows 8 и Windows 10 имеют отличный брандмауэр, и настройки по умолчанию хороши.

Как открыть порт

Когда вы открываете порт, вы перенаправляете порт. Как вы знаете, этот сайт посвящен переадресации портов . Все, что вам нужно сделать, это найти свой маршрутизатор в нашем постоянно растущем списке маршрутизаторов и следовать инструкциям.

Вы бы предпочли, чтобы мы открыли порт? Если вы хотите просто открывать порты одним нажатием кнопки, взгляните на PFConfig. Эта программа открывает нужные порты и закрывает ненужные порты одним нажатием кнопки.

Мой порт открыт

Чтобы проверить, открыты ли ваши порты, просто используйте наш инструмент Open Port Check . Наш инструмент проверки открытых портов лучше других, потому что мы не делаем предположений о приложениях, которые вы можете использовать. Наш инструмент открытого порта использует локальное приложение, чтобы узнать, прослушивает ли порт. Проверьте это здесь или перейдите на левую боковую панель и щелкните ссылку под названием Port Checking Software .

Как переадресовывать порты для игр

Во многих играх требуется настроить переадресацию портов.У нас есть руководства для каждой игры и каждого маршрутизатора, которые помогут сэкономить ваше время. Просто следуйте одному из наших руководств ниже, и вы получите переадресацию порта в кратчайшие сроки. У нас есть руководства по играм для ПК, Steam, Playstation 5, Playstation 4, Xbox Series X, Xbox One, Switch, Playstation 3, Xbox 360 и Wii.

Перед началом работы убедитесь, что вы установили статический IP-адрес.

Если вы пытаетесь изменить свой тип NAT, обязательно прочтите наше руководство по определению типов NAT. Это наиболее полное определение типов NAT для игровых консолей в Интернете.

У нас также есть большая коллекция пошаговых руководств по играм, написанных геймерами с нашего сайта, со снимками экрана с высоким разрешением.

Как открыть порт в маршрутизаторе для Call of Duty: Warzone

Перенаправьте некоторые порты для Call of Duty: Warzone на вашем маршрутизаторе, чтобы обеспечить наилучшее соединение, которое вы можете.

Подробнее

Как перенаправить порты на Xbox Series X

Настройка переадресации портов в маршрутизаторе — важный шаг в обеспечении игрового процесса без задержек на Xbox Series X.

Подробнее

Как открыть порты в маршрутизаторе для Fortnite

Хотите получить больше удовольствия от Fortnite? Настройте переадресацию порта за 5 минут и получите работу без задержек.

Подробнее

Перенаправление портов для Call of Duty: Black Ops IIII

Black Ops IV время пинга можно значительно сократить, настроив переадресацию портов. Это займет всего лишь несколько минут.

Подробнее

Как перенести Fallout 76 вперед

Играете в Fallout 76 с друзьями? Обязательно сначала настройте переадресацию порта, чтобы убедиться, что у вас нет проблем с подключением.

Подробнее

Sniper Elite 4 Многопользовательская игра

Нельзя стрелять с задержкой. Устраните отставание с нашим гидом. Sniper Elite лучше играет с открытым портом.

Подробнее

Как открыть порты в маршрутизаторе для Fortnite

Подробнее

Как открыть порт в маршрутизаторе для Call of Duty: Warzone

Подробнее

Если игры, которую вы ищете, здесь нет, обязательно проверьте наш полный список всех игр и приложений.

Значок стрелки

Как перенести вперед игры

Популярные игры

Недавно добавленные игры

Как открыть порт в вашем маршрутизаторе для Lineage W

Вы можете перенаправить некоторые порты в вашем маршрутизаторе, чтобы улучшить ваши онлайн-соединения в Lineage W.

Подробнее

Как перенести на маршрутизатор My Hero One’s Justice 2 переадресацию

Перенаправление некоторых портов для My Hero One’s Justice 2 может упростить соединение с другими и помочь улучшить соединения.

Подробнее

Как перенаправить порты в маршрутизаторе для хомячков

Перенаправление некоторых портов для Hamster Scramble в вашем маршрутизаторе может помочь улучшить многопользовательские онлайн-соединения.

Подробнее

Как перенести электронавтов в маршрутизатор

Вы можете улучшить свои онлайн-соединения в Electronauts, перенаправив некоторые порты в вашем маршрутизаторе.

Подробнее

Как создать переадресацию портов в маршрутизаторе для Bonkies

Вы можете улучшить свои онлайн-соединения в Bonkies, перенаправив для него некоторые порты в вашем маршрутизаторе.

Подробнее

Как открыть порты в вашем маршрутизаторе для нерассказанных историй Лавкрафта 2

Переадресация некоторых портов вашего маршрутизатора для «Нерассказанных историй Лавкрафта 2» может упростить игру с другими.

Подробнее

Как открыть порты в маршрутизаторе для удаленных линий связи

Перенаправьте одни порты для более простого соединения с другими в Spacelines from the Far Out и помогите улучшить ваши соединения.

Подробнее

Перенаправление портов для Lightyear Frontier

Перенаправление некоторых портов для Lightyear Frontier в вашем маршрутизаторе может помочь улучшить онлайн-соединения с другими.

Подробнее

Как открыть порт в маршрутизаторе для Disciples: Liberation

Вы можете помочь улучшить свои онлайн-соединения для Disciples: Liberation, перенаправив некоторые порты в вашем маршрутизаторе.

Подробнее

Порты переадресации в вашем маршрутизаторе для Let’s Sing 2019

Перенаправление некоторых портов для Let’s Sing 2019 в вашем маршрутизаторе может помочь улучшить ваши онлайн-соединения.

Подробнее

Создание переадресации портов в маршрутизаторе для NERF Legends

Порты переадресации для NERF Legends в вашем маршрутизаторе могут упростить соединение с другими пользователями и помочь улучшить соединения.

Подробнее

Создайте переадресацию порта для Aeon Drive в маршрутизаторе

Помогите улучшить ваши онлайн-соединения в Aeon Drive и упростить связь с другими, перенаправив некоторые порты.

Подробнее

Как открыть порты в маршрутизаторе для PUBG: поля боя

Помогите обеспечить наилучшее возможное соединение для PUBG: Battlegrounds, перенаправив для него некоторые порты в вашем маршрутизаторе.

Подробнее

Перенаправление портов на вашем маршрутизаторе для Fort Triumph

Перенаправление некоторых портов для Fort Triumph в вашем маршрутизаторе может помочь улучшить ваши онлайн-соединения.

Подробнее

Как создать переадресацию портов в маршрутизаторе для Fhtagn! — Сказки ползающего безумия

Вы можете помочь улучшить свои онлайн-связи для Fhtagn! перенаправив для него некоторые порты в вашем маршрутизаторе.

Подробнее

Порты пересылки в вашем маршрутизаторе для Windjammers 2

Порты переадресации для Windjammers 2 в вашем маршрутизаторе могут помочь улучшить многопользовательские онлайн-соединения.

Подробнее

Если игры, которую вы ищете, здесь нет, обязательно ознакомьтесь с полным списком всех игр и приложений…

Как перенаправить порты

Перенаправление портов — это способ маршрутизации входящего и исходящего трафика данных между вашей домашней сетью и удаленными серверами. Для подключения к Интернету каждое устройство использует уникальный IP-адрес, имеющий несколько портов, с которыми оно устанавливает связь.

Из соображений безопасности каждый маршрутизатор, поддерживающий этот вид связи, использует только набор портов для предоставления основных услуг. Если вы хотите открыть порт для своего игрового сервера или отдельного приложения, вам потребуется создать новое правило переадресации портов на маршрутизаторе.

Как перенаправить порты в Windows 10

Добавление правила перенаправления на ваш компьютер с Windows 10 выполняется через меню безопасности Windows. Чтобы добавить настраиваемое правило, выполните следующие действия.

Нажмите кнопку с логотипом Windows в нижнем левом углу экрана.
Щелкните значок «Настройки». Это тот, который похож на винтик, прямо над логотипом Windows.
В меню «Настройки» нажмите «Обновление и безопасность».
В меню слева щелкните «Безопасность Windows».»
Щелкните« Брандмауэр и защита сети »в главном окне.
Откроется отдельное окно «Безопасность Windows». Щелкните «Дополнительные настройки» в нижней части главного окна.
Может появиться окно «Контроль учетных записей пользователей» с просьбой подтвердить это действие. Нажмите «Да».
Теперь открывается отдельное меню под названием «Брандмауэр Защитника Windows в режиме повышенной безопасности».
Щелкните «Правила для входящих подключений» в меню слева. В основной части окна вы должны теперь увидеть различные правила, которые у вас уже есть в вашей системе.
Щелкните «Новое правило…» в меню справа.
Откроется окно «Мастер создания нового правила для входящих подключений». Нажмите «Тип правила» в меню слева.
Установите флажок «Порт» на главном экране и нажмите «Далее».
В зависимости от того, какой протокол вы хотите использовать, установите переключатель «TCP» или «UDP».
Установите переключатель «Определенные локальные порты».
Теперь введите номер порта, который вы хотите использовать. Если вы планируете использовать более одного порта, вы также можете указать это.Чтобы ввести диапазон портов, введите первый и последний порты диапазона и разделите их тире. Например, вы можете ввести 5000-5010. Чтобы использовать порты, которые не расположены последовательно, просто разделите их запятой — 80, 443. Конечно, вы также можете объединить их, введя, например, 80, 443, 5000-5010.
После того, как вы определили порты, нажмите «Далее».
Установите флажок «Разрешить подключение» и нажмите «Далее».
Теперь выберите типы сетей, к которым вы хотите применить это правило.Вы можете выбрать одно из следующих значений: Домен, Частный, Общедоступный. Помните, что разрешение работы правила переадресации в общедоступных сетях может поставить под угрозу безопасность вашего компьютера.
После этого нажмите «Далее».
В качестве последнего шага введите имя нового правила. Вы также можете добавить описание, чтобы знать, для какой цели вы его создали.
Нажмите «Готово».
Теперь ваше новое правило переадресации портов появится в списке существующих правил.

Если в какой-то момент вы захотите отключить это правило, просто выберите его из списка и нажмите «Отключить правило» в меню справа.

Как перенаправить порты для Minecraft

По умолчанию Minecraft использует порт 25565 для связи с игровыми серверами. Чтобы перенаправить этот порт, вам нужно будет сделать это на странице администрирования вашего роутера.

Откройте браузер на своем компьютере или мобильном устройстве.
В адресной строке введите 192.168.1.1, чтобы открыть страницу входа в систему администрирования маршрутизатора.
На странице входа введите имя пользователя и пароль.
Когда вы открываете домашнюю страницу маршрутизатора, найдите параметр переадресации порта и щелкните (или коснитесь) его. Вариант, который вы ищете, должен гласить «Перенаправление портов» или «Перенаправление». В зависимости от производителя вашего маршрутизатора вы можете найти этот параметр в меню слева или на вкладках в верхней части экрана. Если вы не видите его на главной странице, возможно, он скрыт в некоторых меню.Попробуйте «Настройки», «Расширенные настройки» или что-то подобное. Если вы все еще не можете его найти, возможно, вам нужно обратиться к руководству пользователя маршрутизатора.
В меню «Переадресация портов» необходимо создать новое правило для переадресации портов. Для дальнейшего использования вы можете назвать правило, например, «Майнкрафт».
Теперь введите номер 25565 в поле «Сервисный порт».
Снова введите тот же номер в поле «Внутренний порт».
В поле «IP-адрес» введите статический IP-адрес вашего компьютера.Если вы не знаете свой статический IP-адрес, просто введите в Google запрос «what’s my IP», и он появится в качестве первой записи в результатах поиска.
В раскрывающемся меню «Протокол» выберите «TCP».
Если в меню есть поле «Статус», установите для него значение «Включено».
Теперь нажмите кнопку «Сохранить», чтобы подтвердить изменения в только что созданном правиле переадресации «Minecraft».
Как только вы это сделаете, ваш маршрутизатор может перезагрузиться, поэтому подождите, пока он снова вернется в режим онлайн.Если это не происходит автоматически, возможно, вам придется выполнить сброс вручную, нажав кнопку физического перезапуска на маршрутизаторе. Некоторые модели маршрутизаторов могут не иметь кнопки сброса, то есть вам придется выключить, а затем снова включить.

Как перенаправить порты на NetgearRouter

Маршрутизаторы Netgear используют проприетарное приложение NETGEAR genie для доступа к настройкам вашего маршрутизатора.

Откройте Интернет-браузер на компьютере, подключенном к маршрутизатору Netgear.
В адресной строке введите следующий URL-адрес: http: // www.routerlogin.com.
Введите имя пользователя и пароль, которые вы используете для входа в NETGEAR genie. Если вы еще не меняли пароль, вы можете использовать параметры по умолчанию. Имя пользователя — «admin», а в качестве пароля — «пароль».
После входа на главную страницу NETGEAR genie нажмите «Дополнительно».
Затем нажмите «Расширенная настройка».
Выберите «Port Forwarding… Triggering».
Установите флажок «Переадресация портов.»
Щелкните« Добавить специальную услугу ».
В поле «Имя службы» просто введите имя, которое вы хотите использовать для этого правила.
В раскрывающемся меню «Тип службы» выберите запись «TCP / UDP».
В поле «Внешний стартовый порт» введите номер порта, который вы хотите использовать для своей службы.
Если ваша служба использует один порт, «Внешний конечный порт» также должен включать тот же порт, который использовался для записи «Внешний начальный порт». Если он использует диапазон из нескольких портов, введите последний номер порта в диапазоне.
Если вы используете тот же номер порта для внутренних портов, что и для внешних, установите флажок рядом с записью «Использовать тот же диапазон портов для внутреннего порта». Чтобы использовать внутренние порты, отличные от используемых для внешних, не устанавливайте этот флажок.
Чтобы установить разные внутренние порты, определите их в полях «Внутренний начальный порт» и «Внутренний конечный порт».
В полях «Внутренний IP-адрес» введите статический IP-адрес вашего компьютера. Вы также можете использовать IP-адрес, предложенный в таблице под этим полем, выбрав переключатель рядом с ним.
Наконец, нажмите зеленую кнопку «Применить» вверху меню.
Теперь ваше новое правило появится в списке правил меню «Переадресация портов / Запуск портов».

Как перенаправить порты на SpectrumRouter

Spectrum TV работает со многими марками и моделями маршрутизаторов. Одним из самых популярных, которые предлагает Spectrum, является Netgear. Чтобы узнать, как использовать функцию переадресации портов с маршрутизаторами Netgear, ознакомьтесь с разделом выше.

Если у вас есть маршрутизатор от другого производителя, вы можете обратиться к руководству пользователя, прилагаемому к вашему устройству.Там вы сможете найти подробные инструкции по настройке переадресации портов.

Как перенаправить порты на маршрутизаторе Xfinity

Самый простой способ настроить перенаправление портов на маршрутизаторе Xfinity — использовать специальное приложение Xfinity.

Откройте веб-браузер и введите следующий адрес: http://xfinity.com/myxfi.
Щелкните вкладку «Подключить».
Под именем вашего Wi-Fi-соединения нажмите «Просмотреть сеть».
В разделе «Дополнительные параметры» щелкните «Дополнительные параметры».»
Щелкните« Переадресация портов ».
Нажмите «Добавить переадресацию порта».
В раскрывающемся меню подключенных устройств выберите то, для которого вы хотите настроить переадресацию портов. Обратите внимание: если устройства, которое вы хотите использовать, нет в списке, возможно, оно не подключено к сети. В этом случае просто подключите устройство и перезагрузите эту страницу.
Щелкните «Ручная настройка».
Это меню позволяет вам ввести номер порта или диапазон номеров, который вы хотите использовать, определить, какие протоколы вы хотите использовать, и проверить правильность IP-адреса.
После того, как вы все это настроите, нажмите «Применить изменения», и все.

Как перенаправить порты на маршрутизаторе ATT

Поскольку ATT работает со многими марками и моделями маршрутизаторов различных производителей, лучше всего посетить его веб-страницу, посвященную перенаправлению портов. Когда вы откроете страницу, вы увидите раскрывающееся меню, в котором вы можете выбрать точную модель маршрутизатора, который вы используете. После выбора маршрутизатора страница перезагрузится.

Теперь прокрутите вниз до раздела «Настроить переадресацию портов» и нажмите «Показать» в конце раздела.Это расширит инструкции, позволяя вам выполнять их шаг за шагом.

Как переадресовывать порты на консоли PlayStation4

Чтобы улучшить свои игровые возможности на PlayStation 4, вы можете добавить правила переадресации портов, чтобы обеспечить беспрепятственное соединение с игровыми серверами. Для этого просто следуйте инструкциям ниже.

На главном экране PlayStation 4 прокрутите до пункта «Настройки».
Прокрутите вниз до раздела «Сеть» и выберите его.
Теперь выберите «Просмотр состояния подключения.”
Здесь вы сможете увидеть IP- и MAC-адреса вашей консоли. Запишите их для использования в будущем.
Теперь войдите на страницу администрирования вашего маршрутизатора. Лучше всего сделать это на компьютере или смартфоне с помощью веб-браузера. Обратитесь к руководству по маршрутизатору, чтобы узнать, как это сделать.
Открыв домашнюю страницу routeradministration, найдите меню переадресации портов.
Теперь создайте новое правило переадресации портов для протокола TCP. Здесь вам нужно будет добавить свой IP-адрес PS4 и, возможно, также его MAC-адрес.Также добавьте следующие порты: 80,443, 3478, 3479 и 3480.
Теперь создайте еще одно правило переадресации портов, на этот раз для протокола UDP. Снова добавьте IP- и MAC-адреса (при необходимости) и введите номера портов 3478 и 3479.
Сохраните изменения в новом правиле и перезапустите маршрутизатор.

Успешная переадресация

Надеюсь, теперь вы знаете, как включить настраиваемую переадресацию портов практически на любом устройстве или маршрутизаторе, которые вы можете использовать. Это позволит вам установить связь между разными компьютерами или серверами.Также важно помнить, что переадресация портов в общедоступных сетях может поставить под угрозу онлайн-безопасность вашего устройства или системы. Вот почему так важно знать, как вы это делаете и с какой целью.

Удалось ли вам установить соединение через определенный порт? С какой целью вы это делаете чаще всего? Поделитесь своим опытом в разделе комментариев ниже.

Использование перенаправления портов для доступа к приложениям в кластере

На этой странице показано, как использовать kubectl port-forward для подключения к MongoDB. сервер, работающий в кластере Kubernetes.Этот тип подключения может быть полезен для отладки базы данных.

Прежде чем начать

У вас должен быть кластер Kubernetes, а инструмент командной строки kubectl должен быть настроенным для связи с вашим кластером. Рекомендуется запускать это руководство в кластере, по крайней мере, с двумя узлами, которые не действуют как хосты уровня управления. Если у вас еще нет кластер, вы можете создать его, используя миникубе или вы можете использовать одну из этих игровых площадок Kubernetes:
Ваш сервер Kubernetes должен быть не ниже версии v1.10. Чтобы проверить версию, введите kubectl version .
Установите MongoDB Shell.

Создание развертывания и обслуживания MongoDB

Создайте развертывание, которое запускает MongoDB:
```
  kubectl apply -f https://k8s.io/examples/application/mongodb/mongo-deployment.yaml
  
```
Результат успешной команды подтверждает, что развертывание было создано:
```
  deployment.apps / mongo создан
  
```
Просмотрите статус модуля, чтобы убедиться, что он готов:
На выходе отображается созданный модуль:
```
  ИМЯ ГОТОВ СОСТОЯНИЕ ВОЗВРАЩАЕТСЯ
mongo-75f59d57f4-4nd6q 1/1 Бег 0 2 м4 с
  
```
Просмотр статуса развертывания:
Выходные данные показывают, что развертывание создано:
```
  ИМЯ ГОТОВА АКТУАЛЬНО ДОСТУПНЫЙ ВОЗРАСТ
монго 1/1 1 1 2 мин. 21 сек.
  
```
Развертывание автоматически управляет ReplicaSet.Просмотрите статус ReplicaSet, используя:
Выходные данные показывают, что ReplicaSet был создан:
```
  НАИМЕНОВАНИЕ ЖЕЛАТЕЛЬНЫЙ ТЕКУЩИЙ ВОЗРАСТ ГОТОВНОСТИ
mongo-75f59d57f4 1 1 1 3m12s
  
```

Создайте службу для предоставления MongoDB в сети:

  kubectl apply -f https://k8s.io/examples/application/mongodb/mongo-service.yaml

Результат успешной команды подтверждает, что служба была создана:

  сервис / монго создано

Проверить созданную услугу:

  kubectl получить обслуживание mongo

В выходных данных отображается созданная служба:

  НАИМЕНОВАНИЕ ТИП КЛАСТЕР-IP ВНЕШНИЙ IP ПОРТ (И) ВОЗРАСТ
mongo ClusterIP 10.96.41.183 <нет> 27017 / TCP 11s

Убедитесь, что сервер MongoDB работает в модуле и прослушивает порт 27017:
```
  # Измените mongo-75f59d57f4-4nd6q на имя пода
kubectl get pod mongo-75f59d57f4-4nd6q --template = '{{(index (index (index .spec.containers 0) .ports 0) .containerPort}} {{"\ n"}}'
  
```
В выходных данных отображается порт для MongoDB в этом поде:
```
  27017
  
```
(это TCP-порт, выделенный MongoDB в Интернете).

Перенаправить локальный порт на порт на Pod

kubectl port-forward позволяет использовать имя ресурса, такое как имя модуля, для выбора подходящего модуля для перенаправления порта.

  # Измените mongo-75f59d57f4-4nd6q на имя пода
kubectl порт вперед mongo-75f59d57f4-4nd6q 28015: 27017

, что совпадает с

  модули kubectl порт-вперед / mongo-75f59d57f4-4nd6q 28015: 27017

или

  развертывание kubectl с переадресацией портов / mongo 28015: 27017

или

  kubectl port-forward replicaset / mongo-75f59d57f4 28015: 27017

или

  kubectl служба переадресации портов / mongo 28015: 27017

Любая из вышеперечисленных команд работает.Результат выглядит примерно так:

  Перенаправление с 127.0.0.1:28015 -> 27017
Переадресация от [:: 1]: 28015 -> 27017

Примечание: kubectl port-forward не возвращает. Чтобы продолжить упражнения, вам нужно будет открыть другой терминал.

Запустите интерфейс командной строки MongoDB:
В командной строке MongoDB введите команду ping :
```
  дб.runCommand ({ping: 1})
  
```
Успешный запрос проверки связи возвращает:
```
  {ok: 1}
  
```

При желании разрешите

kubectl выбрать локальный порт

Если вам не нужен конкретный локальный порт, вы можете позволить kubectl выбрать и выделить локальный порт и, таким образом, избавит вас от необходимости управлять конфликтами локальных портов, с немного более простой синтаксис:

  развертывание kubectl с переадресацией портов / монго: 27017

Инструмент kubectl находит номер локального порта, который не используется (избегая малых номеров портов, потому что они могут использоваться другими приложениями).Вывод похож на:

  Переадресация с 127.0.0.1:63753 -> 27017
Переадресация от [:: 1]: 63753 -> 27017

Обсуждение

Подключения к локальному порту 28015 перенаправляются на порт 27017 Pod, который работает сервер MongoDB. Установив это соединение, вы можете использовать свой локальная рабочая станция для отладки базы данных, запущенной в Pod.

Примечание. kubectl port-forward реализован только для портов TCP.Поддержка протокола UDP отслеживается в Проблема 47862.

Что дальше?

Узнайте больше о переадресации портов kubectl.

Последнее изменение 21 июня 2021 г., 18:27 по тихоокеанскому стандартному времени : Добавить развертывание и обслуживание MongoDB. (21ca9a224)

Трансляция сетевых адресов — переадресация портов

Переадресация портов разрешает доступ к определенному порту, диапазону портов или протоколу на внутреннее сетевое устройство с частным адресом.Было выбрано название «переадресация порта». потому что это то, что большинство людей понимает в данном контексте, и он был переименован от более технически подходящего «Inbound NAT» до более удобного для пользователя. Подобная функция также называется «NAT назначения» в других продуктах. Однако «переадресация портов» — неправильное название, поскольку правила переадресации портов могут перенаправлять все протоколы, такие как GRE или ESP в дополнение к портам TCP и UDP, и это может быть используется для различных типов перенаправления трафика, а также для традиционного порта нападающие.Это чаще всего используется при размещении серверов или использовании приложений. которые требуют входящих подключений из Интернета.

См. Также

pfSense Hangouts на Youtube для просмотра видеовстречи в мае 2016 г. для NAT на pfSense 2.3, июнь Видеовстреча 2016 г., посвященная устранению проблем с подключением, и видеовстреча, состоявшаяся в декабре 2013 г. по устранению неполадок переадресации портов, среди прочего.

Риски портового экспедирования

В конфигурации по умолчанию программное обеспечение pfSense® не разрешает трафик инициируется с хостов в Интернете.Это обеспечивает защиту от кого бы то ни было сканирование Интернета в поисках систем для атаки. Когда правило переадресации портов существует, pfSense разрешит любой трафик, соответствующий соответствующим правилам брандмауэра. Межсетевой экран не знает разницы между пакетом с вредоносным полезная нагрузка и одна безвредная. Если соединение соответствует правилу брандмауэра, оно позволено. Целевая система должна использовать средства управления на основе хоста для защиты любых службы, разрешенные через брандмауэр.

Перенаправление портов и местные услуги

Перенаправления портов имеют приоритет над службами, работающими локально на брандмауэре, такие как веб-интерфейс и SSH.Например, это означает, что удаленный веб доступ к интерфейсу разрешен из WAN с использованием HTTPS на TCP-порт 443, порт пересылка по WAN для TCP 443 будет иметь приоритет, а веб-интерфейс не будет больше быть доступным из WAN. Это не влияет на доступ к другим интерфейсам, только интерфейс, содержащий переадресацию порта.

Перенаправление портов и 1: 1 NAT

Перенаправление портов также имеет приоритет над NAT 1: 1. Если переадресация портов определена на один внешний IP-адрес, перенаправляющий порт на хост, а также запись NAT 1: 1 определены на одном и том же внешнем IP-адресе, перенаправляя все на другой хост, то переадресация порта остается активной и продолжает пересылку на оригинальный хозяин.

Настройки переадресации портов

При создании или редактировании записи переадресации порта следующие настройки: в наличии:

Отключить

Установите флажок, чтобы дополнительно отключить переадресацию этого порта NAT. Чтобы отключить правило, установите этот флажок.

Нет RDR (НЕ)

Инвертирует значение этого порта вперед, указывая, что нет перенаправления следует выполнять, если это правило соблюдается. В большинстве конфигураций не используется это поле.Это будет использоваться для отмены действия пересылки, которое может быть необходимо в некоторых случаях для разрешения доступа к службе на брандмауэре по IP адрес, используемый для NAT 1: 1 или другого аналогичного расширенного сценария.

Интерфейс

Интерфейс, на котором будет активен переадресация портов. В большинстве случаев это будет быть WAN. Для дополнительных каналов WAN или локальных перенаправлений это может быть другим интерфейс. Интерфейс — это место на межсетевом экране, где трафик для входит этот форвард порта.

Адрес Семья

Семейство адресов для IP-адреса, на который будет перенаправляться этот порт, либо IPv4 , либо IPv6 .

Если интерфейс содержит адреса обоих семейств, соответствующий адрес будет использоваться. Кроме того, при выборе интерфейса он должен иметь адрес который соответствует этому типу. При выборе определенного IP-адреса адрес семья должна соответствовать выбранному адресу.

Протокол

Протокол входящего трафика для соответствия.Это должно быть установлено для соответствия типу перенаправляемой службы, будь то TCP , UDP или другой доступный выбор.

Наиболее распространенными службами являются TCP или UDP , но обратитесь к документации по сервис или даже быстрый поиск в Интернете, чтобы подтвердить ответ. Опция TCP / UDP пересылает TCP и UDP вместе в одном правиле.

Источник

Эти параметры по умолчанию скрыты за кнопкой Advanced , и установите значение для любого источника .Параметры Source ограничивают IP-адреса источника. и порты могут получить доступ к этой записи переадресации порта. Это обычно не необходимо.

Если переадресация порта должна быть доступна из любого места в Интернете, источник должен быть любой . Для служб с ограниченным доступом используйте здесь псевдоним, чтобы только ограниченный набор IP-адресов может получить доступ к переадресации порта.

Если для службы абсолютно не требуется конкретный порт источника, порт источника Диапазон необходимо оставить равным любому , так как почти все клиенты будут использовать рандомизированный исходные порты.

Пункт назначения

IP-адрес, на который изначально предназначен перенаправляемый трафик. Для порт переадресовывает по WAN, в большинстве случаев это WAN Address . Где несколько доступны общедоступные IP-адреса, это может быть виртуальный IP-адрес (см. Виртуальные IP-адреса) в WAN.

Если установлен флажок Invert Match , переадресация порта будет соответствовать любому пакету, который вместо этого не соответствует указанному месту назначения.

Диапазон портов назначения

Исходный порт назначения трафика, как он есть поступающий из Интернета, прежде чем он будет перенаправлен на указанную цель хозяин.

Примечание

При пересылке одного порта введите его в поле От порта и оставьте Коробка К порту пустая.

Список общих служб доступен для выбора в раскрывающихся списках. в этой группе. Здесь также можно использовать псевдонимы портов для пересылки набора Сервисы. Если здесь используется псевдоним, должен использоваться тот же псевдоним, что и Перенаправить целевой порт .

Перенаправление целевого IP-адреса

IP-адрес, на который будет перенаправляться или технически перенаправляться трафик.При использовании цели IPv6 она должна иметь ту же область действия, что и место назначения.

Примечание

При использовании псевдонима в качестве значения для этого поля оно должно содержать только одиночный IP-адрес . Использование нескольких адресов приведет к трафику перенаправляются на целевые хосты в циклическом режиме, но не идеально подходит для этой задачи. Если один из целевых хостов не работает, трафик по-прежнему будет перенаправляться на недостижимую цель.

Для ситуаций, требующих пересылки на несколько хостов, таких как загрузка Для балансировки или переключения при отказе используйте пакет HAProxy.

Целевой порт перенаправления

Где начинается диапазон перенаправляемых портов. Если перенаправлен диапазон портов, например 19000-19100 , указывается только локальная начальная точка, так как количество портов должно совпадать один к одному.

Это поле позволяет открыть порт снаружи, отличный от хоста на внутри слушает. Например, внешний порт 8888 может перенаправлять на локальный порт 80 для HTTP на внутреннем сервере.Список общих сервисов доступен для выбора в раскрывающемся списке.

Псевдонимы портов также могут использоваться здесь для пересылки набора услуг. Если псевдоним здесь используется тот же псевдоним, что и для диапазона портов назначения .

Описание

Как и в других частях pfSense, это поле доступно для коротких предложений о том, что делает переадресация порта или почему он существует.

Нет синхронизации XML-RPC

Эта опция актуальна только в том случае, если используется конфигурация HA Cluster, и в противном случае следует пропустить.При использовании HA-кластера с конфигурацией синхронизации, установка этого флажка предотвратит использование правила синхронизируется с другими членами кластера (см. Высокая доступность). Обычно все правила должны синхронизироваться, тем не мение. Этот параметр действует только на главных узлах, он не предотвращает , а не . правило от перезаписи на подчиненных узлах.

Отражение NAT

Эта тема более подробно рассматривается далее в этой главе. (Отражение NAT). Эта опция позволяет включить отражение или отключил основание для каждого правила, чтобы переопределить глобальное значение по умолчанию.Варианты в этом более подробно описаны в разделе «Отражение NAT».

Ассоциация правил фильтра

Эта последняя опция очень важна. Запись переадресации порта только определяет, какие трафик будет перенаправлен, требуется правило брандмауэра, чтобы пропустить любой трафик через это перенаправление. По умолчанию Добавить связанное правило фильтра выбрано. Доступные варианты:

Нет

Если это выбрано, правило брандмауэра не создается.

Добавить связанное правило фильтра

Этот параметр создает правило брандмауэра, связанное с этим портом NAT. правило. Изменения, внесенные в правило NAT, обновляются в правиле брандмауэра. автоматически. Если выбран этот вариант, после сохранения правила ссылка размещены здесь, что приводит к соответствующему правилу брандмауэра.

Это поведение по умолчанию и лучший выбор для большинства случаев использования.

Добавить правило несвязанного фильтра

Этот параметр создает правило брандмауэра, отдельное от этого порта NAT. вперед.Изменения, внесенные в правило NAT, необходимо изменить вручную в правило брандмауэра. Это может быть полезно, если требуются другие параметры или ограничения. устанавливается в правиле брандмауэра, а не в правиле NAT.

Пройд

Этот выбор использует специальное ключевое слово pf в правиле переадресации порта NAT, которое заставляет трафик проходить без необходимости правила брандмауэра. Поскольку отдельного правила брандмауэра не существует, любой трафик, соответствующий этому правилу, перенаправлено в целевую систему.

Примечание

Правила с использованием прохода будут работать только на интерфейсе, содержащем значение по умолчанию. шлюз для межсетевого экрана, они не работают с Multi-WAN.

Добавление переадресации порта

Переадресация портов осуществляется в Межсетевой экран> NAT , на вкладке Переадресация портов . Правилами на этом экране управляют так же, как и правилами брандмауэра (см. Введение в экран правил брандмауэра).

Чтобы добавить запись переадресации порта:

Перейти к
Нажмите кнопку Добавить , чтобы перейти к редактированию Port Forward экран
Введите параметры переадресации порта, как описано в Настройки переадресации портов
Нажмите Сохранить
Нажмите Применить изменения

Рисунок Пример переадресации порта содержит пример порта экран прямого редактирования, заполненный правильными настройками для перенаправления HTTP (порт 80 ) входящий по WAN, предназначенный для IP-адреса WAN во внутреннюю систему в 10.3.0.15 .

Пример перенаправления портов

После нажатия Сохранить список переадресации портов отображается снова, а новый созданная запись будет присутствовать в списке, как на рисунке Список переадресации портов.

Список переадресации портов

Дважды проверьте правило брандмауэра, как показано в разделе Брандмауэр> Правила на вкладке для интерфейса, на котором был создан переадресация порта. Правило покажет этот трафик разрешен на внутренний IP-адрес на соответствующем порту, так как показано на рисунке Правило переадресации портов.

Правило межсетевого экрана перенаправления портов

Источник автоматически сгенерированного правила должен быть ограничен, где возможный. Для таких вещей, как почтовые и веб-серверы, которые обычно должны быть широко доступный, это непрактично, но для служб удаленного управления, таких как SSH, RDP и другие, вероятно, лишь небольшое количество хостов должен иметь возможность подключаться с использованием этих протоколов к серверу через Интернет. Гораздо более безопасная практика — создать псевдоним авторизованных хостов, а затем измените источник с на любой на псевдоним.В противном случае сервер широко открыт для всего Интернета. Сначала проверьте порт вперед с неограниченный источник, и после проверки его работы ограничьте источник как желанный.

Если все в порядке, при тестировании извне порт вперед будет работать сеть. Если что-то пошло не так, см. Устранение неполадок переадресации портов. далее в этой главе.

Отслеживание изменений переадресации портов

Как указано на рисунке Временные метки правила межсетевого экрана для межсетевого экрана. rules, метка времени добавляется к записи переадресации порта при ее создании или последнем отредактировано, чтобы показать, какой пользователь создал правило, и последний человек, который редактировал правило.Правила брандмауэра, автоматически созданные соответствующими правилами NAT, также помечены как таковые на отметке времени создания соответствующего правила брандмауэра.

Ограничения переадресации портов

Один порт может быть перенаправлен только на один внутренний хост для каждого доступного публичный IP-адрес. Например, если доступен только один общедоступный IP-адрес, один внутренний веб-сервер, который использует TCP-порт 80 для обслуживания веб-трафика, может быть настроен. Любые дополнительные серверы должны использовать альтернативные порты, такие как 8080 .Если пять доступных общедоступных IP-адресов настроены как виртуальные IP-адреса, затем Можно настроить пять внутренних веб-серверов, использующих порт 80 . Видеть Виртуальные IP-адреса для получения дополнительной информации о виртуальных IP-адресах.

Подсказка

Для таких сервисов, как HTTP и HTTPS, совместное использование порта может быть возможно с помощью пакет HAProxy. Если запросы можно различить в некоторых таким образом, например, с помощью разных имен хостов запросов, прокси-сервер может сделать более продвинутый решения о том, как перенаправлять запросы на внутренние хосты.

Есть одно необычное, но иногда применимое исключение из этого правила. Если конкретный порт должен быть перенаправлен на конкретный внутренний хост только для определенных исходные IP-адреса, и тот же порт может быть перенаправлен на другой хост для другие исходные IP-адреса, что возможно, указав исходный адрес в записи переадресации портов, такие как на рисунке Пример переадресации портов с разными источниками.

Пример переадресации портов с разными источниками

Чтобы переадресация портов на адреса WAN была доступна с их соответствующий WAN IP-адрес от внутренних интерфейсов, отражение NAT должно быть включенным, что описано в разделе «Отражение NAT». Всегда проверять порт перенаправляет из системы через другое подключение к Интернету , а не из внутри сети. Тестирование с мобильного устройства в сетях 3G / 4G — это быстро и легко. способ подтверждения внешнего подключения.

Самостоятельная настройка службы
с помощью UPnP или NAT-PMP
Некоторые программы поддерживают Universal Plug-and-Play (UPnP) или NAT Port Mapping. Протокол (NAT-PMP) для автоматической настройки переадресации портов NAT и межсетевого экрана правила. Там еще больше проблем с безопасностью, но в домашних условиях используйте преимущества часто перевешивают любые потенциальные опасения.См. UPnP и NAT-PMP для получения дополнительной информации. информация о настройке и использовании UPnP и NAT-PMP.
Перенаправление трафика с переадресацией портов
Еще одно использование переадресации портов — прозрачное перенаправление трафика от внутренняя сеть. Переадресация портов с указанием интерфейса LAN или другого внутренний интерфейс будет перенаправлять трафик, соответствующий переадресации, на указанный место назначения. Это чаще всего используется для прозрачного проксирования HTTP-трафика. на прокси-сервер или перенаправление всех исходящих DNS на один сервер.
Записи NAT, показанные на рисунке Пример переадресации порта перенаправления, являются пример конфигурации, которая будет перенаправлять весь HTTP-трафик, поступающий в Интерфейс LAN к Squid (порт 3128 ) на хосте 10.3.0.10 , но не будет перенаправить трафик, исходящий от самого прокси-хоста squid. Они должны быть в правильный порядок в списке перенаправлений портов: сначала правило отрицания, затем перенаправить.
Пример перенаправления порта переадресации (отрицание)
Пример перенаправления порта перенаправления
Правила переадресации портов
и NAT на MX
Последнее обновление
Сохранить как PDF
Перенаправление портов
Обзор
Конфигурация
Дополнительные соображения
Перенаправление портов L2TP / IPsec UDP
Перенаправление TCP 443/80
1: 1 NAT
Обзор Дополнительная конфигурация
Обзор
1: 1 NAT и несколько восходящих каналов MX
1: 1 NAT и балансировка нагрузки
1: 1 NAT и фильтрация содержимого
Маршрутизация шпильки
Примеры конфигураций
Базовая (небезопасная) конфигурация
Подробная (безопасная) ) Конфигурация
1: Многие NAT
Обзор
Конфигурация
Устранение неполадок
Серверы за брандмауэром часто должны быть доступны из Интернета.Это можно сделать, реализовав перенаправление портов , 1: 1 NAT (преобразование сетевых адресов) или 1: Many NAT на устройстве безопасности MX. В этой статье обсуждается, когда целесообразно настраивать каждый из них, как настраивать каждый и соответствующие ограничения.
Перенаправление портов
Обзор
Перенаправление портов берет определенные порты TCP или UDP, предназначенные для интернет-интерфейса устройства безопасности MX, и перенаправляет их на определенные внутренние IP-адреса.Это лучше всего подходит для пользователей, у которых нет пула общедоступных IP-адресов. Эта функция может перенаправлять разные порты на разные внутренние IP-адреса, что позволяет нескольким серверам быть доступными с одного и того же общедоступного IP-адреса.
Рисунок 1. Пример конфигурации переадресации портов
Рис. 2. Иллюстрация конфигурации переадресации порта
Конфигурация
Перейдите в Безопасность и SD-WAN> Брандмауэр .
Щелкните Добавьте правило переадресации портов , чтобы создать новый порт переадресации.
Настройте следующее:
Описание : Предоставьте описание правила
Uplink: Слушайте общедоступный IP-адрес Интернета 1, Интернета 2 или обоих
Протокол : TCP или UDP
Общедоступный порт : порт назначения трафика, поступающего по WAN
LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен из MX на указанный хост в LAN; если вы просто хотите перенаправить трафик без преобразования порта, он должен быть таким же, как и публичный порт
Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов
Дополнительные соображения
Перенаправление портов UDP L2TP / IPsec
Если переадресация порта для портов UDP 500 или 4500 настроена на конкретный сервер, MX перенаправит весь трафик VPN-соединения между сайтами и L2TP / IPsec клиента, отличного от Meraki, на IP-адрес LAN, указанный в переадресации порта.
Перенаправление TCP 443/80
Если настроена переадресация портов для портов 443 или 80, возможно, вы не сможете получить доступ к локальной странице состояния через IP-адрес WAN MX.
Примечание. Это не влияет на возможность доступа клиента LAN или межсетевого соединения к локальной странице состояния.
1: 1 NAT
Обзор
1: 1 NAT предназначен для пользователей с несколькими общедоступными IP-адресами, доступными для использования, и для сетей с несколькими серверами за брандмауэром, такими как два веб-сервера и два почтовых сервера.Сопоставление NAT 1: 1 можно настроить только с IP-адресами, которые не принадлежат устройству безопасности MX. Он также может транслировать общедоступные IP-адреса в подсетях, отличных от адреса интерфейса WAN, если интернет-провайдер направляет трафик для подсети к интерфейсу MX. Каждое добавленное преобразование является правилом «один к одному», что означает, что трафик, предназначенный для общедоступного IP-адреса, может идти только на один внутренний IP-адрес. В каждом преобразовании пользователь может указать, какие порты будут перенаправлены на внутренний IP-адрес. При добавлении портов для NAT допустимы диапазон портов или список портов, разделенных запятыми.
Рис. 1. Пример конфигурации NAT 1: 1
Рис. 2. Иллюстрация конфигурации NAT 1: 1
Конфигурация
Перейдите в Безопасность и SD-WAN> Брандмауэр
Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
Настройте следующее:
Имя : описательное имя правила
Общедоступный IP-адрес : IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из глобальной сети
LAN IP : IP-адрес сервера или устройства, на котором размещен внутренний ресурс, который вы хотите сделать доступным в WAN
Uplink : физический интерфейс WAN, на который будет поступать трафик
Разрешенные входящие соединения: Порты, к которым это сопоставление будет предоставлять доступ, и удаленные IP-адреса, которым будет разрешен доступ к ресурсу.Чтобы включить входящее соединение, нажмите Разрешить больше подключений и введите следующую информацию:
Протокол : Выберите из TCP , UDP , ICMP ping или любой
Порты : введите порт или диапазон портов, которые будут перенаправлены на хост в локальной сети; вы можете указать несколько портов или диапазонов через запятую
Удаленные IP-адреса : введите диапазон IP-адресов WAN, которым разрешено устанавливать входящие соединения на указанном порту или диапазоне портов; вы можете указать несколько диапазонов IP-адресов WAN через запятую
Примечание:
Вы можете переместить настроенное правило вверх или вниз в списке, перетащив символ ✥ .Щелкните X , чтобы полностью удалить правило.
Создание правила NAT 1: 1 не разрешает автоматически входящий трафик на общедоступный IP-адрес, указанный в сопоставлении NAT. По умолчанию все входящие подключения запрещены. Вам нужно будет настроить Разрешенные входящие соединения , как описано выше, чтобы разрешить входящий трафик.
Дополнительные соображения
1: 1 NAT и несколько восходящих каналов MX
Если первичный восходящий канал MX не совпадает с восходящим каналом 1: 1 NAT, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из первичного восходящего канала MX. Чтобы предотвратить асинхронную маршрутизацию, можно установить предпочтение восходящего канала, которое указывает на тот же восходящий канал, настроенный для NAT 1: 1. Этот параметр конфигурации можно найти в Security & SD-WAN> SD-WAN & Traffic Shaping> Flow Preferences.
Пример:
Первичный канал восходящей связи MX — WAN 1
1: 1 NAT сопоставляется с WAN 2 Uplin k / IP
Вы хотите, чтобы весь исходящий интернет-трафик, полученный от устройства 1: 1 NAT LAN, использовал WAN 2
1: 1 NAT и балансировка нагрузки
Если MX настроен для балансировки нагрузки трафика через несколько интерфейсов WAN, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из обоих интерфейсов WAN.Чтобы предотвратить асинхронную маршрутизацию, можно создать конфигурацию предпочтений восходящего канала, как показано в примере выше.
1: 1 NAT и фильтрация содержимого
Когда правило NAT 1: 1 настроено для данного IP-адреса LAN, исходящий трафик этого устройства будет отображаться на общедоступный IP-адрес, настроенный в правиле 1: 1 NAT, а не на первичный IP-адрес WAN для MX. Исключения могут возникать, когда MX выполняет некоторые функции фильтрации содержимого, которые включают его веб-прокси. В этом случае исходящий веб-трафик, инициированный устройством локальной сети NAT 1: 1, будет использовать основной восходящий канал как обычно.
Маршрутизация шпильки
Трафик, поступающий из LAN MX, предназначенный для общедоступного IP-адреса, настроенного в разделе NAT 1: 1, будет маршрутизироваться на частный IP-адрес, связанный с настроенным сопоставлением.
В этом процессе MX примет пакет в LAN и перезапишет заголовок IPv4. Переписанный заголовок будет получен из интерфейса IP / MAC MX или уровня 3, в котором находится целевой клиент, а также предназначен для частного IP / MAC клиента, сопоставленного с NAT 1: 1.
Эта практика действительно добавляет сложности и может быть легко реализована с помощью статических записей DNS, где это применимо.
Примеры конфигураций
Базовая (небезопасная) конфигурация
Можно настроить базовую, но небезопасную конфигурацию NAT 1: 1 для пересылки всего трафика внутреннему клиенту. Это следует настраивать, когда необходимо быстро выполнить NAT 1: 1, но это не рекомендуется из соображений безопасности. Когда все порты перенаправлены клиенту, злоумышленники, использующие сканер портов, могут нацеливаться на уязвимые службы или получить доступ к внутреннему серверу.
Рис. 1. Пример небезопасной конфигурации NAT 1: 1
Рис. 2. Иллюстрация небезопасной конфигурации NAT 1: 1

Подробная (безопасная) конфигурация
Более продвинутая конфигурация должна включать несколько правил и использовать вторичный восходящий канал для обеспечения избыточности для веб-сервера. Если один из восходящих каналов выходит из строя, вторичный восходящий канал по-прежнему работает, чтобы обеспечить удаленное подключение к внутреннему серверу.Правила NAT 1: 1 также должны быть настроены для ограничения доступа определенных удаленных IP-адресов к определенным службам, таким как RDP.
Рис. 1. Пример безопасной конфигурации NAT 1: 1
Рис. 2. Пример конфигурации безопасного NAT 1: 1

1: Многие NAT
Обзор
A 1: Многие конфигурации NAT позволяют MX перенаправлять трафик с настроенного общедоступного IP-адреса на внутренние серверы.Однако, в отличие от правила NAT 1: 1, NAT 1: Many позволяет одному общедоступному IP-адресу преобразовываться в несколько внутренних IP-адресов на разных портах. Для каждого определения 1: Многие IP должен быть указан один общедоступный IP-адрес, затем можно настроить несколько правил переадресации портов для перенаправления трафика на разные устройства в локальной сети для каждого порта. Как и в случае NAT 1: 1, определение 1: Many NAT не может использовать IP-адрес, принадлежащий MX.
Рис. 1. Пример 1: Конфигурация многих NAT
Рисунок 2.Иллюстрация 1: Конфигурация многих NAT
Конфигурация
Перейдите в Безопасность и SD-WAN> Брандмауэр
Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
Настройте следующее:
Общедоступный IP-адрес: IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из глобальной сети
Uplink: Физический интерфейс WAN, на который будет поступать трафик
Правила: A 1: Многие записи NAT будут созданы с одним связанным правилом переадресации.Чтобы добавить дополнительные правила, щелкните Добавить правило переадресации портов в существующее правило или правила для конкретной записи 1: Многие.
Описание : Описание правила
Протокол : TCP или UDP
Общедоступный порт : порт назначения трафика, поступающего по WAN
LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен из MX на указанный хост в LAN.Если вы просто хотите перенаправить трафик без преобразования порта, он должен быть таким же, как и публичный порт
Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов
Устранение неисправностей
Для получения информации об устранении неполадок, связанных с переадресацией портов и правилами NAT, обратитесь к в этой статье .
.