Проброс портов
Содержание:
- Ректальное администрирование: Основы для практикующих системных АДминистраторов
- Настройка проброса
- Возможные проблемы при пробросе портов и их решение
- Автоматическое переключение портов на роутере TP-Link и Asus.
- How Does Port Forwarding Work?
- Брандмауэр
- Настройка проброса портов
- Проброс портов в VirtualBox
- Переадресация портов
- Сервер 1С:Предприятие на Ubuntu 16.04 и PostgreSQL 9.6, для тех, кто хочет узнать его вкус. Рецепт от Капитана
- Ручная переадресация портов на роутере TP-Link и Asus.
- Открытие и закрытие
- Проброс портов в iptables
Ректальное администрирование: Основы для практикующих системных АДминистраторов
Одной из самых популярных и зарекомендовавших себя методологий системного администрирования является так называемое ректальное. Редкий случай сопровождения и обслуживания информационных систем, инфраструктуры организации обходится без его использования. Зачастую без знания данной методологии сисадминам даже бывает сложно найти работу в сфере ИТ, потому что работодатели, особенно всякие аутсорсинговые ИТ фирмы, в основном отдают предпочтение классическим, зарекомендовавшим себя методикам, а не новомодным заграничным веяниям: практикам ITIL, нормальным ITSM и прочей ерунде.
Настройка проброса
Чтобы работал проброс, должны быть выполнены три основных тербования:
- Для целевого сервера создана учетную запись с аутентификацией по IP-адресу.
- Создано правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT).
- Создано разрешающее правило во внешнем сетевом экране программы Traffic Inspector.
Данные действия могут быть выполнены вручную или с помощью Мастера публикации служб.
Ручная настройка проброса
- Создайте правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT) на шлюзе Traffic Inspector.
Проброс в ICS настраивается в свойствах сетевого подключения WAN (подключения, по которому «приходит Интернет»), вкладка Доступ, кнопка Настройки.
Проброс в RRAS настраивается в оснастке rrasmgmt.msc в разделе дерева Преобразование сетевых адресов (NAT) в свойствах сетевого подключения WAN на вкладке Службы и порты.
В правиле проброса нужно указать IP-адрес целевого сервера (как он есть в локальной сети), и входящий и исходящий порт. Чаще всего, указывается одинаковый входящий и исходящий порт.
Примечание
Нужно запомнить «входящий порт», так как именно этот порт нужно будет разрешить во внешнем сетевом экране Traffic Inspector и именно на него нужно будет подключаться со стороны Интернета после настройки проброса.
Примечание
На самом шлюзе Traffic Inspector никто не должен занимать («слушать») порт, выбранный вами как «внешний / публичный / входящий» в правиле проброса.
- Убедитесь, что целевой сервер авторизован в Traffic Inspector
Если для целевого сервера уже заведена учетная запись, то убедитесь, что целевой сервер авторизован в Traffic Inspector. Соответствующая информация отображается в Мониторе Работы, который доступен в Учет трафикаМонитор работы].
При необходимости, создайте учетную запись для целевого сервера с авторизацией по IP-адресу.
- Создайте разрещающее правило во внешнем сетевом экране Traffic Inspector.
Правила внешнего сетевого экрана создаются в \Правила\Правила внешнего сетевого экрана].
Создание правила во внешнем сетевом экране осуществляется в разделе Настройка сетевого экрана Traffic Inspector.
Во внешнем сетевом экране Traffic Inspector необходимо открыт порт, который был указан как «внешний / публичный / входящий» в правиле проброса.
Возможные проблемы при пробросе портов и их решение
Иногда при проверке работоспособности добавленных портов пользователь попадает из интернета в панель администрирования роутера, а не на нужный сервис или приложение на компьютере. Почему так происходит? Причин может быть несколько:
- блокировка внешнего соединения брандмауэрами и антивирусными программами. Решается данная проблема отключением этих служб либо их тонкой настройкой, во время которой добавляются исключения на подсоединение к нужным портам;
- у компьютера нет постоянного адреса. В таком случае при старте или перезагрузке роутера IP-адрес ПК изменится, и открытый порт перестанет работать, поскольку изначально был привязан к другому адресу. Решение — присвоить компьютеру (ноутбуку, планшету) неизменяемый IP-адрес;
- политика провайдера. Не редки случаи, когда интернет-провайдер запрещает обладателям «серых» (внутренних) IP-адресов использовать некоторые порты, например, торрент-трекеров. Выход из данной ситуации — приобретение статичного «белого» адреса;
-
изменение порта самим приложением или сервисом. Иногда программы-клиенты самостоятельно меняют порт при каждом запуске. Избежать этого можно, если прописать порт в настройках софта и запретить опцию «Случайный выбор порта».
В настройках программы uTorrent (раздел «Соединение») можно указать порт входящих соединений и запретить выбор случайного порта при запуске
Автоматическое переключение портов на роутере TP-Link и Asus.
Я уже говорил, что по умолчанию функция UPnP на маршрутизаторе обычно включена и P2P клиенты неплохо с ней работают. Но если все же возникают неполадки в работе, не будет лишним в этом убедиться. Первым делом нужно войти в интерфейс роутера и перейти на вкладку отвечающую за активацию. У каждой модели, этот путь разный.
TP-Link. «Переадресация» (Forwarding) — «UPnP». Должен быть статус «Включено» (Enabled).
Если данная функция будет не активна, то нажмите кнопку «Включить».
Asus. «Интернет» — «Подключение» — «Включить UPnP».
После активации этой функции в маршрутизаторе, нужно проверить включена ли функция UPnP в P2P клиенте (uTorrent и DC++). Здесь тоже у каждой программы свой путь.
uTorrent. «Настройки» — «Настройки программы» и вкладка «Соединения». В чекбоксе «Переадресация UPnP» должна стоять галочка (обычно активна по умолчанию).
DC++. Перейдите в настройки и найдите вкладку «Настройки программы». Здесь должен быть отмечен пункт «Фаервол с UPnP».
С каждой новой версией программы, интерфейс может немного отличаться, но принцип думаю понятен. Таким образом активировав функцию UPnP программы будут сами себе открывать и закрывать порты. Обычно uTorrent с функцией UPnP работает без проблем, чего не скажешь о DC++.
How Does Port Forwarding Work?
To send any request over the internet, packets of data are created and sent over the internet. These packets contain the details of your request, which also includes the destination of your computer or device.
Normally, a network router examines the header of an IP packet before sending it to any linked and appropriate interface. It, in turn, then sends the data to the destination that’s in the header.
But Port forwarding changes things a bit. In port forwarding, the intercepting application (your VPN client) reads the packet header, notes down the destination, and then rewrites the header information before sending it to another computer or server—one which is different from the computer/server you intended.
That secondary host destination may be a different server using a different IP address, a different port, or a completely different combination of the two. In case of a VPN or proxy, this secondary destination are usually the servers employed by the provider which mask or cover your original IP address.
Брандмауэр
После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.
В настройки брандмауэра проще всего попасть двумя способами:
- Записываем в строке поиска «Брандмауэр Защитника Windows». После ввода первых нескольких букв, находится нужное приложение.
- Выполнить «firewall.cpl». Для этого надо одновременно нажать комбинации клавиш +<r>, поле поле открыть записываем команду и нажимаем «OK».</r>
В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.
Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.
Два раза щелкаем мышью по пункту «Правила для входящих подключений». После этого в правой колонке, которая называется «Действия» жмем на «Создать правило…».
Выбираем тип правила «Для порта» и жмем далее.
Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через «-«.
С точки зрения безопасности, тут важно выбирать не все локальные порты, а именно указать нужный. Выбираем «Разрешить подключение»
Выбираем «Разрешить подключение».
Указываем галочками профили.
Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.
После того как параметры были настроены, жмем кнопку «Готово». Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.
Отключение брандмауэра
В основном меню брандмауэра имеется пункт «Включение и отключение брандмауэра Защитника Windows».
Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.
После проверки не забудьте включить брандмауэр.
8-800-1000-239 Подключение Техподдержка
Частным лицам
Бизнесу
Городские проекты
Онлайн камеры
Оплата
Техподдержка
Личный кабинет
8-800-1000-239
Интернет
Кабельное ТВ
Видеонаблюдение
Мобильное приложение
Интернет
Кабельное ТВ
Камера во двор
Услуги
В частный дом
Интернет в офис
Видеонаблюдение
Гостевой Wi-Fi
Привилегии
Камеры
Карта ДТП
Домофон
Праздник двора
Личный кабинет
Данная статья полностью посвящена технологии проброса портов. Для чего он нужен, и как его настроить, сегодня попробуем разобраться.
Port Forwarding — позволяет открыть необходимые нам сервисы для решения разных задач:
- Удаленный просмотр видео с камер, которые подключены к домашней сети
- Запуск на домашнем компьютере сервера под разные задачи, например, при хранении коллекции любимых фильмов.
- Опубликовать небольшой сайт, развернув сервер на домашнем ПК
- Создать любой игровой сервер, и играть с друзьями через интернет в любимую игру
Некоторые программы, такие как uTorrent самостоятельно открывают для себя порты, при наличии на маршрутизаторе включенного uPnP (протокол для автоматизации настройки). Они обращаются к шлюзу и требуют перенаправить на себя требуемый порт, для корректной работы. Но далеко не все программы умеют это делать, и поэтому приходится настраивать все вручную. Постараемся кратко и без лишних подробностей донести суть вопроса.
Настройка проброса портов
После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:
- Порт роутера;
- IP устройства;
- Порт устройства.
Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.
В настройках переадресации добваляем новый виртуальный сервер.
Запись настраивается следующим образом:
- Порт сервиса — это как раз тот порт, по которому будут подключаться из интернета;
- Внутренний порт — это порт устройства, к которому надо открыть доступ;
- IP-адрес — это адрес устройства в локальной сети
- Протокол — тут можно выбрать протокол TCP или UDP. Можно выбрать «ВСЕ», тогда будут перенаправляться оба протокола.
- Состояние — здесь выбираем «включено». При не надобности, можно отключить проброс, не удаляя запись.
Пункт «стандартный порт сервиса» предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля «порт сервиса» и «внутренний порт». Ниже будут рассмотрены основные сервисы.
После того как все настройки выполнены, следует их сохранить.
Номера портов
Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536. На компьютере эти порты делятся на следующие группы :
На компьютере эти порты делятся на следующие группы :
- Системные (от 0 до 1023);
- Пользовательские (от 1024 до 49151);
- Динамические (от 49152 до 65535).
Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.
Стандартные сервисы
Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:
Сервис | Порт | Пояснение |
DNS | 53 | Преобразование символьного наименования в IP-адрес |
FTP | 21 | Хранение и передача файлов |
GOPHTER | 70 | Хранение и передача документов |
HTTP | 80 | Получение информации с сайтов |
NNTP | 119 | Сервер новостей |
POP3 | 110 | Получение почты |
PPTP | 1723 | Защищенное соединение |
SMTP | 25 | Прием и передача почты |
SOCK | 1080 | Передача минуя межсетевой экран |
TELNET | 23 | Управление в текстовом виде |
Проброс портов в VirtualBox
По умолчанию для настройки сети для виртуальной машины используется технология NAT. С помощью нее вы можете просматривать интернет-сайты и выполнять различные действия в сети, но вы не будете видеть ваш основной компьютер. Для виртуальной машины создается виртуальная сеть, в которой есть только она одна, а ваша домашняя сеть и ваш компьютер ей не виден.
Но если вам нужно получить доступ к какому-либо сервису гостевой машины, то можно пробросить порт этого сервиса в основную систему. Так работают порты VirtualBox. Для этого откройте контекстное меню для машины и нажмите «Настройки»:
Затем перейдите на вкладку «Сеть», а потом разверните строчку «Дополнительно»:
Тут вам нужно нажать кнопку «Проброс портов»:
Дальше нажмите кнопку с зеленым значком «+». Тут нужно заполнить несколько полей:
- Имя — любое имя, по которому вы сможете понять с чем имеете дело;
- Протокол — протокол, по которому работает сервис, например, tcp;
- Адрес хоста — адрес на основной машине, подключения к которому будут направляться на виртуальную машину, можно написать 127.0.0.1 или ip в локальной сети;
- Порт хоста — порт, подключения к которому нужно перенаправлять на гостя;
- Адрес гостя — на который нужно направлять подключения, оставьте пустым;
- Порт гостя — порт, на который будут перенаправлены подключения с этого порта.
Адрес хоста в локальной сети можно узнать так:
Еще один важный момент, что порт с которого вы перенаправляете и на который перенаправляете не должны совпадать. Странное дело, но если перенаправлять с порта 80 на 80, то работать все это не будет. Нужно использовать 8080 на 80. Тогда все в порядке. Если вы не любитель много кликать, что можно воспользоваться командной терминала:
В этом примере взяты данные из рассмотренного выше примера. Теперь на хосте и виртуальной машине откроется одна и та же страница.
Проброс портов virtualbox nat работает.
Переадресация портов
Для открытия портов на роутере не нужно быть опытным администратором — с этой процедурой справится любой пользователь. Главное, следовать пошаговой инструкции, состоящей из двух основных этапов: присвоения статического IP-адреса пользовательскому компьютеру в настройках ОС Windows и перенаправления портов в админ-панели маршрутизатора.
Предварительные настройки «Виндовс»
Перед пробросом портов нужно для устройств локальной сети выделить диапазон внутренних IP-адресов, после чего закрепить по одному адресу за каждым ПК. Сделать это можно в настройках компьютера либо в панели администрирования роутера (раздел DHCP). Первый способ является более надёжным, так как статический адрес прописывается в настройках сетевой карты и без вашего вмешательства ничто и никто его не изменит. Для запуска данного процесса нужно включить ПК и произвести несколько действий:
- Перейти в раздел «Сетевые подключения», воспользовавшись системной утилитой «Выполнить» (вызывается сочетанием клавиш Win + R в любой версии Windows). В появившемся окошке ввести команду ncpa.cpl и нажать кнопку «ОК» или клавишу «ENTER».
Для быстрого перехода к разделу с сетевыми подключениями можно использовать системную программу «Выполнить»
- В открывшемся окне кликнуть правой кнопкой мыши по активному сетевому подключению и выбрать пункт «Свойства».
При клике ПКМ по активному подключению появится контекстное меню
- Сделать двойной клик по строке «IP версии 4 (TCP/IPv4)», чтобы открыть свойства протокола.
В «Свойствах подключения» первым делом нужно убедиться в том, что пункт «IP версии 4 (TCP/IPv4)» включён, после чего перейти к настройке протокола
- В окне «Свойства» активировать пункты «Использовать следующий IP-адрес» и «Использовать следующие адреса DNS-серверов». После чего заполнить обязательные поля:
- «IP-адрес» — сюда вписать адрес из диапазона внутренней локальной сети, например, любое значение от 192.168.0.2 до 192.168.0.200 (единственное условие — он должен отличаться от адреса роутера),
- «Маска подсети» — в домашних сетях чаще всего этот параметр имеет значение 255.255.255.0,
- «Основной шлюз», в роли которого выступает IP-адрес роутера (по умолчанию 192.168.0.1 или 192.168.1.1),
- «Предпочитаемый DNS-сервер» — здесь чаще всего указывают DNS-адреса провайдера или альтернативного источника, например, публичного сервиса Google Public DNS (8.8.8.8 и 8.8.4.4.).
В окне настроек протокола можно задать статичный IP-адрес компьютеру и DNS-серверу
- Подтвердить настройки нажатием «ОК».
Проброс портов в веб-интерфейсе маршрутизатора
После того как для компьютера зафиксирован статичный IP-адрес, можно переходить к настройке роутера (на примере TP-Link). Для этого нужно выполнить следующие действия:
- Войти в админ-панель маршрутизатора, введя в браузерной строке адрес устройства (для большинства роутеров по умолчанию используется 192.168.0.1 или 192.168.1.1).
По умолчанию для входа в веб-интерфейс большинства роутеова используются одинаковые логин и пароль — admin
- В боковом меню выбрать раздел «Переадресация», а в нём подраздел «Виртуальные серверы».
- В открывшемся окне нажать кнопку «Добавить» для создания нового правила переадресации.
Чтобы открыть новый порт, нужно воспользоваться кнопкой «Добавить» в разделе «Виртуальные серверы»
- Откроется диалоговое окно, где обязательно нужно заполнить два поля: «Порт сервиса» — здесь указывается номер порта, который нужно открыть, и «IP-адрес» — присвоенный компьютеру статический адрес в сети. Поле «Внутренний порт» можно оставить пустым, а поля «Протокол» («Все») и «Состояние» («Включено») оставить по умолчанию. После чего подтвердить настройки, нажав на кнопку «Сохранить».
В настройках виртуального сервера обязательно нужно указать номер внешнего порта и статичный IP-адрес компьютера или другого сетевого устройства
При необходимости проброса стандартных портов в роутере имеются предустановленные настройки. Достаточно выбрать в выпадающем списке «Стандартный порт сервиса» нужную службу (DNS, FTP, HTTP, POP3, SMTP, TELNET), как все поля заполнятся автоматически.
Для облегчения процесса настройки стандартных портов предусмотрено соответствующее поле с перечнем общеизвестных портов
Сервер 1С:Предприятие на Ubuntu 16.04 и PostgreSQL 9.6, для тех, кто хочет узнать его вкус. Рецепт от Капитана
Если кратко описать мое отношение к Postgres: Использовал до того, как это стало мейнстримом.
Конкретнее: Собирал на нем сервера для компаний среднего размера (до 50 активных пользователей 1С).
На настоящий момент их набирается уже больше, чем пальцев рук пары человек (нормальных, а не фрезеровщиков).
Следуя этой статье вы сможете себе собрать такой же и начать спокойную легальную жизнь, максимально легко сделать первый шаг в мир Linux и Postgres.
А я побороться за 1. Лучший бизнес-кейс (лучший опыт автоматизации предприятия на базе PostgreSQL).
Если, конечно, статья придется вам по вкусу.
Ручная переадресация портов на роутере TP-Link и Asus.
Для начала нужно определиться с номером порта, который мы хотим открыть. Например, мы хотим сделать проброс портов для торрента. Идем в настройки программы по уже знакомому пути и смотрим в строку «Порт входящих соединений». Запишите номер из окна для генерации и снимите все галочки кроме пункта «В исключения брандмауэра». Не забудьте применить сделанные изменения.
Теперь нужно узнать MAC-адрес своего устройства. В нашем случае это компьютер и его физический адрес нам понадобиться позже. Нажмите кнопку «Пуск» — «Панель управления» — «Центр управления сетями и общим доступом» — «Подключение по локальной сети» и нажмите кнопку «Сведения…». В поле «Физический адрес» вы увидите MAC-адрес своего компьютера.
Теперь зайдите в интерфейс маршрутизатора. Здесь первым делом, нам нужно для своего компьютера задать статический IP-адрес. Далее путь для каждого сетевого устройства свой.
TP-Link. В правом меню найдите «Привязка IP- и MAC-адресов» и перейдите на вкладку «Таблица ARP». Здесь отображены все устройства, которые подключены к нашей сети, а в столбце «Состояние» показан статус привязки (несвязанно). Поскольку мы уже знаем MAC-адрес компьютера, то в строке с физическим адресом видим присвоенный ему IP сервером DHCP. Его мы впишем на следующей вкладке.
Поднимитесь на вкладку выше с названием «Параметры привязки» и активируйте «Связывание ARP» и нажмите «Сохранить». Далее следует нажать кнопку «Добавить новую…» и задать параметры необходимые настройки. В новом окне нужно прописать физический адрес компьютера (MAC), присвоенный ему IP и нажать кнопку «Сохранить».
Теперь MAC- и IP- адреса связаны между собой для персонального компьютера. Об этом также свидетельствует вкладка «Таблица ARP». Если у Вас много устройств в сети и вы желаете им всем задать статический IP, то можно в «Таблице ARP» нажать кнопку «Связать все» предварительно активировав «Связывание ARP».
Осталось задать параметры для проброса портов. Зайдите в «Переадресация» (Forwarding) на вкладку «Виртуальные серверы» (Virtual Servers) и нажмите кнопку «Добавить новую» (Add New…). Теперь прописываем известные нам параметры. В поле «Порт сервиса» (Service Port) и «Внутренний порт» (Internal Port) указываем порт торрент-клиента, а в «IP-адрес» присвоенный IP компьютеру. В выпадающем списке «Протокол» (Protocol) выбираем «Все» (All) и в поле «Состояние» (Status) ставим «Включено» и нажимаем «Сохранить».
После этого для компьютера будет зарезервирован прописанный нами порт и P2P клиент сможет обмениваться входящими и исходящими пакетами.
О принципе по которому работает роутер можно узнать здесь.
Asus. Нажмите в боковом меню «Локальная сеть» и перейдите на вкладку «DHCP-сервер». В самом низу страницы активируйте пункт «Включить назначения вручную». Ниже есть поле «Список присвоенных вручную IP-адресов в обход DHCP». Вот он то нам и нужен. В выпадающем списке поля «MAC-адрес» нужно выбрать физический адрес компьютера, который мы узнали заранее. Поскольку у меня включен DHCP, то в поле «IP-адрес» автоматически подставился текущий IP компьютера.
Осталось кликнуть по кружку «Добавить/Удалить» и нажать кнопку «Применить». Роутер перезагрузится и после каждого подключения к сети, компьютер будет иметь один и тот же IP-адрес.
Теперь в административной панели в боковом меню кликните по «Интернет» и перейдите на вкладку «Переадресация портов». В строке «Включить переадресацию портов» переставьте точку в положение «Да». Далее нужно опуститься в блок «Список переадресованных портов» и в поле «Имя службы» указать uTorrent, поскольку мы открываем порт для этой программы. В строке «Диапазон портов» указываем номер порта P2P клиента, который мы узнали заранее.
В поле «Локальный IP-адрес» выбираем статический IP-адрес компьютера, который мы только что привязали и в строке «Локальный порт» снова указываем порт Torrent-клиента. В выпадающем списке «Протокол» выбираем BOTH (оба протокола). Осталось кликнуть по кружку «Добавить» и кнопку «Применить». После презегрузки порт будет открыт для раздачи и закачки файлов из интернета от программы uTorrent.
Теперь вы имеете представление о том, как настроить проброс портов на роутере TP-Link и Asus. Безусловно автоматический способ намного удобнее, чем ручной и многие люди используют функцию UPnP, но правильнее задавать все настройки в ручную. Однако, это дело каждого и вы вольны выбрать способ, который вам ближе.
Если возникнут какие-то проблемы, то вы всегда можете сбросить установки роутера до заводских и настроить его заново. Если у Вас есть желание дополнить статью, то милости просим в комментарии. Пока!
Открытие и закрытие
Как я уже говорил ранее, эту функцию выполняет сама система или установленные программы. Но вы сами можете изменить или добавить какие-то правила. По сути, вам нужно указать сетевой порт, а также приложение или программу, для которых будет применяться это правило. Если вы собираетесь настраивать параметры на маршрутизаторе, вам необходимо указать IP-адрес устройства ретрансляции.
Во-первых, вы должны решить, какой «вход» вы хотите открыть и почему. Вы можете увидеть номер и название заявки в PDF-файле, который я прикрепил выше. Я покажу это на примере игры World of Warcraft. Мы откроем официально зарезервированный пронумерованный «вход» — 3724. Вообще в играх чаще всего используется порт UDP, который работает с потоковой передачей данных. Но нужно смотреть именно в столбец с портом — там будет подсказка, какой протокол использовать в выбранном приложении (TCP или UDP).
- В Windows вам нужно открыть меню «Пуск» и перейти в «Панель управления».
- Заходим в «Брандмауэр»
«Дополнительные опции»
- Слева в окне нажмите «Правила для входящих подключений». Вы сразу увидите множество правил для каждого установленного приложения.
2. В правом окне выберите «Создать правило…». Поскольку мы собираемся открыть дверь в игру, поставим второй флажок.
3. Давайте создадим правило UDP и введем в этот PDF-файл только заданное число — в моем случае это: 3724 (я показываю вам на примере игры WOW, у вас может быть совершенно другое число). Вы также можете указать диапазон чисел. Для TCP и UDP лучше всего создать два правила отдельно.
4. Оставьте значение по умолчанию «Разрешить подключение».
5. Тогда есть правила профиля: все можно оставить. Самое главное, что при подключении к удаленному ресурсу через Интернет включен профиль «Публичный.
6. В конце введите название и описание. В названии рекомендую добавить номер открытой двери, чтобы потом не потерять.
Проброс портов в iptables
Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:
Чтобы настройка сохранялась после перезагрузки используйте такую команду:
Мы не будем здесь подробно рассматривать правила iptables и значение каждой опции, поэтому перед тем, как читать дальше вам лучше ознакомиться со статьей iptables для начинающих. Дальше рассмотрим проброс портов iptables nat.
Настройка прохождения пакетов
Сначала мы рассмотрим как разрешить прохождение пакетов через маршрутизатор. Для этого в брандмауэре есть цепочка FORWARD. По умолчанию для всех пакетов применяется правило DROP, которое означает что все нужно отбросить. Сначала разрешим инициализацию новых соединений, проходящих от eth0 до eth1. Они имеют тип contrack и представлены пакетом SYN:
Действие ACCEPT означает, что мы разрешаем это соединение. Но это правило разрешает только первый пакет, а нам нужно пропускать любой следующий трафик в обоих направлениях для этого порта (80). поэтому добавим правила для ESTABLIHED и RLEATED:
Дальше явно установим что наша политика по умолчанию — DROP:
Это еще не проброс портов, мы только разрешили определенному трафику, а именно на порт 80, проходить через маршрутизатор на другие машины локальной сети. Теперь настроим правила, которые будут отвечать за перенаправление трафика.
Модификация пакетов в iptables
Далее мы настроим правила, которые будут указывать как и куда нужно перенаправить пакеты, приходящие на порт 80. Сейчас маршрутизатор может их пропускать в сеть, но он еще не знает куда. Для этого нам нужно будет настроить две вещи — модификацию адреса назначения (Destination) DNAT и модификацию адреса отправителя (Source) SNAT.
Правила DNAT настраиваются в цепочке PREROUTING, в таблице NAT. Эта операция изменяет адрес назначения пакета чтобы он достиг нужной нам цели, когда проходит между сетями. Клиенты будут отправлять пакеты нашему маршрутизатору, и им не нужно знать топологию внутренней сети. Пакет автоматически будет приходить нашему веб-серверу (192.168.1.2).
С помощью этого правила мы перенаправляем все пакеты, пришедшие на порт 80, к 192.168.1.2 опять же на порт 80:
Но это только половина работы. Пакет будет иметь исходный адрес клиента, а значит будет пытаться отправить ответ ему. Так как клиент ожидает получить ответ от маршрутизатора, то нормального TCP соединения не получиться. Чтобы решить эту проблему нужно модифицировать адрес источника и заменить его на адрес маршрутизатора 192.168.1.1. Тогда ответ придет маршрутизатору, а тот уже от своего имени передаст его в сеть.
Если вы хотите перенаправить трафик на порт 8080, то нужно указать его после ip адреса:
Также может понадобиться выполнить проброс диапазона портов iptables, для этого просто укажите диапазон, например, 1000:2000:
После добавления этого правила можете проверять работу перенаправление портов iptables будет выполняться и все будет отправляться так, как нужно.
Сохранение настроек iptables
Теперь, когда все настроено, нужно сохранить этот набор правил, чтобы он загружался автоматически при каждом старте. Для этого выполните:
Готово. Теперь проброс портов iptables ubuntu будет работать так, как нужно.