Как сделать проброс портов на роутере мгтс

Добавил пользователь Владимир З.
Обновлено: 04.10.2024

Передача настроек беспроводной сети — это не единственная функция, которую выполняет маршрутизатор. Устройство работает как барьер, не позволяющий проникать посторонним в домашний компьютер пользователя.

Содержание

  • Как открыть порт на роутере: назначение проброса портов
  • Что такое порты и зачем их бросать
  • Зачем открывают порты на роутере
  • Сервисы для проверки открытых портов
  • Предварительная настройка, как узнать сетевой адрес роутера
  • Как открыть порты на роутере самостоятельно
  • Инструкция, как открыть порты на роутере
  • Предварительные настройки Виндовс
  • Порт не открывается — что делать
  • Как поменять или добавить порт в роутер
  • Решение возможных проблем при пробросе портов

Как открыть порт на роутере: назначение проброса портов

Передача настроек беспроводной сети интернет в частном доме — это не единственная функция, которую выполняет маршрутизатор. Устройство работает как барьер, не позволяющий проникать посторонним в домашний компьютер пользователя. Но когда возникает необходимость подключиться к сетевому оборудованию извне, нужно знать, как открыть порт на роутере.

Что такое порты и зачем их бросать

В процессе объединения устройств в локальную сеть маршрутизатор присваивает каждой сетевой единице внутренний IP-адрес. Таким образом, оборудование пользователя становится невидимым для сторонних подключений из интернета в частном секторе . Но в ряде случаев нужно обеспечить внешний доступ к информации, хранящейся на устройствах. Для этого предусмотрена функция проброса портов. Речь идет не о проводном подключении интернета в коттедже через разъем, а о входе к ПК через онлайн-доступ.

Порты – это пути, по которым сетевые устройства получают и отправляют данные. Каждый канал имеет свое цифровое обозначение и определенную функцию (к примеру, передача зашифрованного и незашифрованного трафика).

Если бы пути были открыты постоянно, система была бы полностью обнажена для проникновения и ни о какой защите информации не могло быть и речи. Поэтому открытие портов на роутере оправдано только в исключительных случаях.

Под пробросом понимают применение специального протокола, разрешающего обращаться к выбранному каналу из внешней среды и подключаться через него к внутрисетевому устройству.

Зачем открывают порты на роутере

Самая частая причина, по которой прибегают к пробросу портов — возможность играть в многопользовательские онлайн-игры. Открывая доступ, геймер позволяет игровому серверу подключиться к своему ПК.

Ряд программ, таких как Skype, умеют самостоятельно находить и перенаправлять каналы, необходимые для их функционирования, посредством технологии UPnP.

Продвинутые пользователи пробрасывают порты, чтобы иметь возможность подсоединяться к своим сетевым устройствам в любой момент для скачивания и просмотра файлов, к примеру, с подключенной IP-камеры или при работе удаленно.

Сервисы для проверки открытых портов

Общее число путей, по которым происходит передача информации — 65536. Наиболее часто используемые для почтовых сервисов, HTML, MS SQL, IMAP, SMTP – от 0 до 1023. Среди них есть каналы, которые чаще всего применяют для пиратского входа. Открывать их небезопасно, слишком высок риск хакерской атаки. Поэтому, когда в сети встречается вопрос — для чего на роутере открыт 22 порт, опытные пользователи рекомендуют закрыть его и определять для проброса пути из более высокого диапазона (от 49152).

Каналы с нумерацией от 1024 до 49151 резервируются под специальные потоки ПО. Остальные пути называют динамическими и могут использоваться для любых целей.

Чтобы проверить, есть на роутере открытые порты и защитить систему от удаленной атаки, разработаны специальные онлайн-приложения, большинство из которых бесплатные для пользователя. Некоторые программы требуют введения номера порта для диагностики, другие тестируют наиболее часто используемые каналы.

Предварительная настройка, как узнать сетевой адрес роутера

Для внесения любых изменений в настройки маршрутизатора в том числе и перед тем, как открыть порты в роутере, понадобится войти в сетевой интерфейс устройства с помощью IP-адреса. Это комбинация из цифр и точек, введенная без пробелов в адресную строку браузера.

Самый простой способ найти адрес — перевернуть девайс и посмотреть на наклейку, расположенную на нижней панели. Кроме IP, там указан МАС-адрес, логин и пароль для входа в меню настроек.

Важно: Чаще всего IP-адрес выглядит как 192.168.0.1 либо 192.168.1.1, в зависимости от модели маршрутизатора.

Однако бывают ситуации, когда данные были изменены пользователем при предыдущей настройке и точного IP владелец оборудования не знает. Обстоятельства, почему так происходит, различные, чаще всего данные меняются вручную при предыдущем настраивании девайса.

Поэтому адрес придется узнавать при помощи инструментов Windows. Для этого действуют по следующей схеме:

Как открыть порты на роутере самостоятельно

После введения IP-адреса перед пользователем открывается окно авторизации, в котором требуется ввести сочетание логина и пароля. Комбинаций не так много. По умолчанию это admin/admin, root/admin, user/user. Иногда пароль вообще не предусмотрен.

Чтобы открыть доступ, используют несколько способов, вне зависимости от производителя и модификации устройства:

При выборе настройки DMZ путь следующий:

Описанный порядок действий позволяет открыть все доступные порты на оборудовании, чей сетевой адрес указан при настройке. При этом локальная сеть останется под защитой, благодаря межсетевому экрану роутера.

Инструкция, как открыть порты на роутере

Алгоритмы по открытию портов на устройствах от разных производителей не слишком отличаются, многое зависит от удобства и доступности интерфейса. С оборудованием от китайских компаний типа TP-Link, D-Link или Tenda проблем не возникает даже у новичков, так же, как и у владельцев отечественных роутеров SNR.

Настройку продвинутого европейского оборудования типа MikroTik лучше отдать в руки профессионалов. Устройства работают на базе собственной ОС, плохо знакомой российским пользователям.

Важно: Прежде чем выполнять проброс каналов, важно убедиться, что на маршрутизаторе установлена актуальная версия прошивки.

Всем привет! Сегодня мы поговорим про настройку роутера и оптического терминала модели Sercomm RV6688. Сразу предупрежу, что маршрутизатор от компании Sercomm Corporation имеет дико неудобный интерфейс и очень сложен, и непонятен в настройках, если не знаешь, где и что находится. Также хочу отметить, что сейчас есть две версии аппарата: обычная RV6688 и RV6688BCM. Они немного отличаются по внешнему виду, но прошивки у них плюс-минус одинаковые.

В статье я расскажу, как подключить аппарат, как настроить интернет, Wi-Fi, пробросить порты и т.д. Если у вас при прочтении возникнут какие-то вопросы – пишите в комментариях.

ШАГ 1: Знакомство и подключение

Данный аппарат выступает оптическим шлюзом, который работает с GPON сетями. На борту используется технология xPON. Сам оптический порт находится на дне, поэтому его не сразу можно заметить. Сам терминал можно крепить в вертикальном положении, для этого там же снизу есть специальные прорези.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Но это мы рассматриваем обычную модель. Если же у вас аппарат Sercomm RV6688BCM, то оптический кабель вставляется сбоку. На самом деле у этого производителя все не как у людей, и каждая аппаратная версия отличается, поэтому ориентируйтесь по названию портов и кнопок.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Обычная версия Sercomm RV6688 имеет вот такой дизайн. Давайте теперь подключим терминал.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Установите аппарат вблизи оптического кабеля, который вам прокинул провайдер. Подключите оптику. Давайте познакомимся с остальными портами и выходами:

  • POTS(RJ 11) – для подключения IP-телефонии.
  • LAN1-4 – для подключения по кабелю любого локального устройства: ПК, ноутбук, телевизор, принтер и т.д.
  • USB 2.0 – для подключения внешних носителей, флешек и жестких дисков.
  • Reset – кнопка для сброса аппарата до заводской конфигурации. Если в дальнейшем у вас возникнут какие-то проблемы, например, не будет подходить пароль от Wi-Fi, админки, или вы вообще получили его с рук, то лучше сбросить настройки. Для этого зажмите эту кнопку на 10 секунд.
  • POWER – сюда подключаем блок питания.
  • ON/OFF – включаем роутер.

Для настройки нам нужно подключиться к сети аппарата. Это можно сделать по кабелю, подключившись к LAN порту. Или использовать Wi-Fi – имя и пароль по умолчанию вы найдете на дне маршрутизатора на специальной бумажке.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Для настройки интернета и Wi-Fi нам нужно попасть в Web-интерфейс. Но есть небольшая проблема в том, что эти роутеры используют разные компании – от МГТС до Ростелекома. И прошивки у них разные, а значит и стандартный IP тоже отличается. Я вам советую посмотреть на дно, там должен быть адрес для входа в админку. Но можете попробовать один из представленных адресов:

192.168.0.1
192.168.1.1
192.168.1.254

После этого вас попросят ввести логин и пароль. Эту же информацию можно глянуть на той же самой этикетке. Или попробовать один из вариантов:

МГТСРостелекомДругие
Логинmgtsadminsuperadmin
Парольmtsoaoadminsuperadmin

ШАГ 3: Настройка

Как я уже и сказал, есть две популярные прошивки от МГТС и от Ростелекома. Они примерно одинаковые, поэтому я думаю вы не запутаетесь.

  1. В начале вас попросят ввести PLOAM-пароль – его можно найти в договоре.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Настройка интернета

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

  1. И ставим галочку ниже напротив SSID для 2.4 и 5 ГГц.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Настройка Wi-Fi

Ниже можно создать до трех гостевых сетей. Это такие WiFi-сети, которые будут работать вне основной.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Настройки DHCP и изменение IP роутера

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Можно назначить LAN DNS для всех сетевых устройств, подключенных к роутеру.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Настройка IP-TV

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Настройка SIP-телефонии

  1. Если вы подключали SIP-телефонию, то давайте её тоже настроим. Тут же создаем новое подключение.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Проброс портов

Если вы делаете проброс для конкретного устройства – например, для видеокамеры, и хотите иметь к ней доступ извне, то вам дополнительно нужно будет настроить DDNS, потому что скорее всего у вас динамический IP. DDNS настраивается в соседнем разделе – там ничего сложного нет, выбираем любой сервис, авторизовываемся, создаем ДДНС и вбиваем данные.

Если же вам нужно пробросить порт для какого-то приложения или игры на компе, то вам сначала нужно узнать порты, которые она использует. Эту информацию можно погуглить, или использовать программку TCPView – утилитка от Microsoft.

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

Sercomm RV6688 и RV6688BCM: настройка интернета, Wi-Fi, IPTV, SIP, открытие портов

После всего не забываем, что мы только пробросили порты, а их нужно еще открыть в Windows. Об этом подробно читаем тут:

Видео по настройке

Подключил статичный IP через своего провайдера мгтс, теперь хожу по инету со статичным (белым). IP
Судя по всему они прописали его в GPON (роутер), который установили в доме.
От GPON я портянул провод до своего роутера (wi-fi), уже от него подключены 2 устройства, ноут и комп.

На компе поднял веб сервер, сделал делегирование, в DNS A-записи прописал этот статичный IP.
Вопрос. Как попасть на сайт ? Что нужно прописать в настройках роутера? Поможет ли проброс портов? Я надеялся получить IP на компе, а не на маршрутизаторе, было бы меньше гемора.

TrueBers

В случае с IPv4, на компе вы получите только адрес внутренней сети. Внешний на комп можно получить, если провайдер выдаёт IPv6-префиксы. Префикс можно анонсировать и раздавать любым устройствам.
На роутере у вас NAT, скорее всего. На нём нужно пробросить нужные порты на внутренний адрес сервера.

Проброс портов нужно сделать в роутере на котором статический IP прописан? Если да, то печально, к GPON роутеру доступ есть только у админов (можно конечно попросить их пробросить).
Получается в моем случае нужно сделать проброс с одного роутера(GPON) на другой, потому уже со второго роутера на комп?

TrueBers

Igor I: Ну так вы проверьте, какой адрес приходит на лично ваш роутер. Если это не внутренняя сеть, то адрес под вашим контролем. Не думаю, что бы они городили двойной НАТ.

Дмитрий:
На моем роутере:
Статус подключения WAN:[Ethernet] 192.168.100.2; Тип WAN: Динамический IP;

А зачем им заморачиваться? Прописали Ip на свой роутер и все))

TrueBers

Igor I: По-моему, очень странное решение. не знаком, конечно, с GPON'ами, но как-то через жопу сделали они.
Позвоните, узнайте. У них должно быть на этот случай какое-то решение, если не шарашкина контора.

Nerwin

Igor I: у вас вообще двойной нат получается, первый на терминале, второй на роутере. лучше всего перевести терминал в режим моста (тут придется позвонить в мгтс или искать по форумам пароль от своей железки) и настраивать все на роутере wifi (на нем надо будет настроить pppoe подключение и проброс порта)

Дмитрий Олег Nerwin: пароль к gpon получил, сейчас пробую пробросить порты. спасибо всем за помощь. чуть позже отмечу всех "решением";)

Nerwin

Igor I: пробрасывать надо на wan ip роутера, а на роутере снова пробрасывать на ip компа с сервером, лучше в мост перевести терминал и на роутере подключение настроить

Jump

Для начала нужно определиться с терминологией - что значит статичный IP в вашем понимании?
Есть белые(реальные) адреса - те самые которые маршрутизируются в глобальной сети.
Есть серые(частные) адреса - те которые не маршрутизируются в глобальную сеть, и соответственно доступ к ним не возможен.
И те и другие могут быть статическими(не меняются) и динамическими(меняются при каждом подключении).

Так вот для доступа к своему компьютеру или сайту размещенному в вашей домашней сети нужно чтобы провайдер выдал вам белый(реальный) адрес, неважно какой - статический или динамический. Хотя конечно со статическим гораздо удобнее.
Т.е белый адрес должен быть на вашем оборудовании - что у вас там роутер, или что еще?
Вот на этом самом роутере которому провайдер присвоил белый адрес - нужно пробросить нужный порт, на компьютер где крутится нужный сервис.

Убедитесь что адрес белый, сделайте проброс портов, проверьте чтобы файервол на компьютере не блокировал входящие по этим портам - и все заработает.

Совершенно верно, белый IP. Сейчас поправлю в описании.
Проблема в том, что к роутеру провайдера доступа у меня нет. Прописали они в нем этот IP.
К этому роутеру подключен еще один роутер. Через второй роутер подключен мой комп.
Можно конечно протянуть еще один провод до компа в обход своего роутера, но возможно провода не хватит.

Jump

Белый IP должен быть на вашем оборудовании, тогда доступ возможен.
Если он на оборудовании провайдера доступ невозможен.


Windows

Ростелек (онлайм) меня задрал предложениями IPTV и я решил сменить провайдера на сабж. Вчера подключили. Быстро, мастер на все вопросы ответил адекватно.

Вот смотрю на их красивую белую коробочку и думаю – а стоит ли всю мою сеть в нее напрямую заводить? Или ее лучше режимом моста до моего текущего роутера? Где-то (на лоре?) читал байки, что мол они сильно большой доступ к своему роутеру умеют, а не только диагностический.

КСЖ? Или ну их нафиг эти байки? У кого какой опыт?

Перемещено leave из general

Не вникал особо. Как Открыть Порты на Роутере МГТС Gpon Rv6699, стоить? Сразу, как появился конект, я заказал белую статику.

Пришел техник, зарегал их убогий роутер в сети – интернет заработал. Моего косяка сказал не было. Странно. До этого сутки он был зареган и работал.

Прописал DMZ на свой роутер – хер там, нельзя достучаться извне внутрь сети.

Я вот че думаю, может “сдаться”?

Ну вот есть у них тотальный доступ к роутеру. Но что они самое страшное сделают? Бумагу в принтере изведут? Все хосты запаролены, явно дырявого софта нет (хочется верить).

Если отключить илитность и параною, то что мне грозит реально?

Сейчас ДМЗ на свой роутер прокинул – интернет за двойным роутером, конечно, есть, но вот пробосы портов на всякие рдп и фтп не работают.

Если отключить илитность и параною, то что мне грозит реально?

Сейчас ДМЗ на свой роутер прокинул – интернет за двойным роутером, конечно, есть, но вот пробосы портов на всякие рдп и фтп не работают.

Должны работать! Просто проброс портов должен быть настроен на обоих рутерах.

А еще вариант – использовать их рутер, а на входе в свою сеть поставить прозрачный файрвол – т.е. бридж с настроенными iptables. Будет работать совершенно незаметно для рутера.

На моем старом роутере (подключенном ранее к другому провайдеру) проброс работает идеально, аптайм роутера по полгода.

Сейчас проблема с пробросом портов на RV6699 от чертового МГТС.

После нажатия “сохранить таблица правил проброса ничего не сохраняет и обнулятся. Вот сижу на тех.поддержке линии жду ответа.

После нажатия “сохранить таблица правил проброса ничего не сохраняет и обнулятся.

Скорей всего, у провайдера по TR-069 прописаны свои значения (или не прописано ничего). Поэтому ты не сможешь сам так просто все настроить, как только у твоего девайса будет аплинк, оно все перезапишет правилами с сервера.

Трижды переключали по линиям тех.поддержки. Сейчас они подтвердили проблему (не сохраняет даже с их стороны) и взяли таймаут на типа решение.

Мне даже выдали к роутеру доступ выше админ\админ и пробросили порты. Пока работает. Только страшно все это перезагружать и прятать в шкаф. Не развалилось бы

история о том, как я поднял проблемы вместе с рекламным буклетом.

Как открыть порты на роутере без особых усилий. Кстати, это небезопасно

Всем снова привет! На связи Комаровский Виталик, автор блога на котором вы сейчас находитесь. Продолжаем тему настройки модема, работающего по технологии GPON. Если кто-то еще не знает что это такое, то вот вам недавняя публикация на эту тему.

А конкретно в этом посте поговорим о том, как открыть порты на роутере, используя стандартное оборудование от ByFly. Думаю, что многие белорусы меня поймут, поскольку Белтелеком является жестким монополистом. Да и если посмотреть глобально, то такие настройки в принципе похожи на устройствах многих производителей. Главное один раз понять суть и дело в шляпе.

Итак, как уже говорилось выше, все дальнейшие действия будут производиться на примере абонентского терминала MT-PON-AT-4 от отечественного производителя Промсвязь. Как осуществлять вход в настройки модема мы сейчас рассматривать не будем, но в этом вам может помочь ссылка в начале статьи.

После ввода логина и пароля сразу идем по пути “Application-Port Forwarding и перед нами открывается главное окно настроек, с помощью которых и будет осуществляться нужная нам манипуляция. Кстати, эту операцию еще часто называют пробросом порта.

Но не будем отвлекаться. Давайте я вам сейчас расскажу основные моменты, поскольку, на первый взгляд, все может показаться очень сложным, хотя это далеко не так. Ну что же, ставим галку напротив опции “Enable и в поле “Name вписываем произвольное имя. Например, в моем случае это будет камера видеонаблюдения для дома.

Далее, в графе “Protocol выставляем значение “TCP AND UDP”, то есть разрешаем все. Затем переходим к “WAN Connection”. Здесь нужно указать активное соединение с интернетом. Вспомните, при первоначальной настройке роутера вы вводили там логин и пароль, которые получили при заключении договора в представительстве провайдера.

После этого в пунктах “WAN Start (End) Port и “LAN Host Start (End) Port следует указать номер порта, который необходимо открыть. В моем случае это 8624, поскольку именно на нем работает имеющаяся китайская камера.

Также в строке “LAN Host IP Address нужно прописать IP-адрес устройства, порт которого мы открываем. В завершение жмем кнопку “Add”. Если все сделали правильно, то внизу страницы можно увидеть таблицу, в которой указаны все введенные параметры.

Так что вот и вся премудрость, друзья, теперь вы знаете, как можно открыть порты на роутере без особых усилий. А уже в ближайших статьях, я попробую проделать точно такую операцию, но только не для физического устройства, а для программного обеспечения.

Но в завершение статьи хотелось бы провести небольшой ликбез. Давайте поговорим о сути данной процедуры, ведь многие просто делают проброс не совсем понимая зачем это нужно и во что может вылиться.

Весь смысл заключается в том, что каждое устройство, работающее в сети, передает данные по определенному логическому (программному) порту. Так вот открытием порта, мы как бы строим прямой маршрут. Когда приходит определенный запрос извне с указанием нужного ему порта и IP-адреса, роутер сразу же перенаправляет его на нужный девайс.

В таком случае получается, что наш девайс становится видимым в интернете, чем могут воспользоваться нехорошие люди в своих корыстных целях. Поэтому производя такую процедуру, обязательно следует думать о сетевой безопасности.

image

Порты позволяют сетевым и подключенным к интернету устройствам взаимодействовать через указанные каналы. Хотя серверы с назначенными IP адресами могут подключаться к интернету напрямую и делать порты публично доступными, система, находящаяся за роутером в локальной сети, может оказаться недоступной из интернета. Технология проброса портов (port forwarding) позволяет преодолеть это ограничение и сделать устройства доступными публично.

Сетевые сервисы и приложения, запущенные на различных устройствах, используют порты с определенными номерами с целью инициации соединений и организации коммуникаций. Разные порты могут использоваться одновременно для разделения типов трафика и запросов. Обычно порты ассоциируются с определенными службами, чтобы клиент мог подключиться к серверу по определенному порту, а сервер принять соединение и ответить соответствующим образом.

Ниже представлены наиболее распространенные порты:

Хотя порты упрощают задачу идентификации и обработки определенных запросов, соглашение о нумерации портов является стандартом, но не правилом. Порты могут использовать для любых задач при условии, что соединение между клиентом и сервером на указанном порту использует соответствующий протокол.

Хотя любой открытый порт должен позволять попытки соединения, чтобы эти попытки совершились, у клиента должен быть сетевой доступ к целевому устройству. В случае с сервером, подключенным к интернету напрямую, или при соединении через локальную сеть, сложностей обычно не возникает. Проблема появляется в тот момент, когда мы пытаемся подключиться к порту у устройства, находящегося за роутером или фаерволом.

Шаг 1. Выяснение IP адреса роутера

В Линуксе та же самая задача решается при помощи утилиты netstat. Откройте терминал и введите следующую команду для выяснения IP адреса подключенного роутера.

В macOS используется та же самая команда:

Шаг 2. Доступ к конфигурационной панели роутера

После выяснения локального IP адреса роутера вы можете получить доступ к конфигурационной панели, если введете адрес в браузере, как и в случае с обычным URL (у некоторых роутеров, например, предусмотрено мобильное приложение, и задача упрощается).


Рисунок 2: Форма авторизации конфигурационной панели роутера

После загрузки панели управления необходимо выполнить авторизацию. Имя пользователя и пароль могут быть установлены производителем или интернет-провайдером или вами. Эту информацию можно найти в документации на роутер или на корпусе.


Рисунок 3: Раздел с настройкой проброса портов

Шаг 3. Настройка правил проброса портов

Для демонстрации правил проброса портов рассмотрим простейший случай, когда у пользователя есть устройство Raspberry Pi, подключенное домашнему сетевому роутеру. На Pi запущена служба SSH, позволяющая залогиниться на устройстве при наличии корректного имени пользователя и пароля. Текущий IP адрес устройства Raspberry Pi - 192.168.0.105.

Диапазон параметра Public Port (иногда именуемого как Source Port) установлен от 22 до 22 (стандартный порт протокола SSH). Этот порт роутер сделает доступным через интернет. Через этот же порт пользователь будет подключаться к Raspberry Pi.

Параметр Private Port (иногда именуемый как Destination Port) установлен как 22, поскольку демон SSH на устройстве Pi работает на 22 порту.

Параметр Traffic Type установлен как TCP, поскольку по протоколу SSH передается TCP трафик.

Параметр IP Address соответствует IP адресу устройства Pi в локальной сети (192.168.0.105).

Наконец, слева от правила отмечен флажок, чтобы правило стало активным.

У вашего роутера интерфейс может отличаться, но в целом суть настроек остается неизменной.


Рисунок 4: Настройки правила проброса портов для авторизации через протокол SSH

Вышеуказанное правило означает, что пользователь может подключаться по IP адресу роутера по протоколу SSH через интернет и впоследствии будет перенаправлен на сервер устройства Raspberry Pi. Эту схему можно использовать для создания веб-сервера, работающего на 80 порту, или, например, для прикрепления сервера видеоигр к указанному порту. Учитывайте, что у некоторых провайдеров есть правила, касательно хостинга и другого контента, которые нужно учитывать перед тем, как сделать доступным сервер из локальной сети.

Шаг 4. Защита от сканирования портов и атак

Одна из проблем, возникающая во время открытия портов в интернете при помощи проброса – порты становятся доступными для сканирования. Злоумышленники в интернете могут использовать автоматизированные средства для сканирования диапазонов IP адресов или утилиты навроде Shodan для поиска потенциально уязвимых устройств с определенными активными портами. Порты протокола SSH являются основной целью, поскольку дают доступ к шеллу, при помощи которого можно украсть данные или установить вредоносное приложение.

В случае проброса портов для защиты от сканирования может оказаться полезным поменять публичный или исходный порт в настройках роутера. Вместо распространенного порта 22, на который настроены все сканеры, можно указать нестандартный порт (например, 9022).


Рисунок 5: Настройка SSH на нестандартный порт

После смены порта клиент при подключении к устройствам через SSH из интернета должен будет указать порт 9022. Попытка подключиться к порту 22 извне окажется неудачной, поскольку проброс будет идти от порта 9022, а не от порта 22.

Вы также можете использовать сервис типа Fail2ban (фреймворк для защиты от внешний вторжений), предназначенного для защиты сети от атак с использованием брутфорса, после того как злоумышленник найдет активный порт. Утилиты навроде Fail2ban ограничивают количество попыток авторизации, выполняемых из внешней сети.

Проброс портов в Линуксе на системном уровне

Проброс портов на уровне роутера может быть полезным для настройки сетей, доступных через интернет. В Линуксе ту же самую задачу можно решить на системном уровне.

Схожим образом, что и порт роутера связывается с указанным портом устройства внутри локальной сети, один порт можно связать с другим для упрощения использования. Например, при установке ханипота Cowrie демон SSH перемещается от порта 22 на порт 9022. Затем порт 2222, где работает ханипот, перенаправляется на порт 22, который будет доступен в интернете и, как следствие, с высокой степенью вероятности просканирован и атакован.

Для конфигурирования локального проброса портов в Линуксе вначале нужно выполнить следующую команду с целью установки в параметр ip_forward значения 1 (в этом случае проброс портов активируется на уровне операционной системы):

Как только IP форвардинг включен, убедитесь, что вы знаете текущий порт сервиса, который нужно пробросить. Во время конфигурирования ханипота Cowrie эта задача решается посредством настройки демона SSH на порт 9022.

Наконец, для включения локального проброса портов, можно воспользоваться iptables. Команда ниже перенаправляет запросы с порта 22 на порт 2222, где эти запросы обрабатывает ханипот.

Другие сферы, где используется проброс портов

Перенаправление портов может использоваться и в других задачах. Например, порт 8080 может быть перенаправлен на порт 80 с целью облегчения доступа к тестовому серверу, или могут быть добавлены новые порты для использования определенной службой. Проброс портов полезен для удаленного доступа, администрирования сервера, конфигурирования сети и даже во время пост-эксплуатации и пивотинга. Понимание этой технологии может быть ключом к бесчисленному множеству других проектов по безопасности.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Читайте также: