Переадресація портів: що це таке і чому робити її ризиковано

Що таке переадресація портів

Переадресація портів — це метод налаштування мережі, який дозволяє зовнішнім пристроям отримувати доступ до служб у приватній мережі, які в іншому випадку були б недоступні безпосередньо ззовні. За допомогою переадресації портів можна підключатися з локального комп'ютера до іншого сервера, іншими словами – пересилати дані.

Налаштувавши переадресацію портів, ви, по суті, наказуєте своєму маршрутизатору надсилати деякі дані безпосередньо на вказаний пристрій у вашій мережі, минаючи певні процедури безпеки. Це потенційно може збільшити швидкість з'єднання, а також надати низку інших переваг.

Однак переадресація портів має свої ризики. Ми не рекомендуємо її робити, і важливо пам'ятати, що NordVPN не сумісний з переадресацією портів. Однак давайте детальніше розглянемо технічну сторону переадресації портів.

Як працює переадресація портів

Щоб краще зрозуміти принцип дії переадресації портів, спочатку нагадаємо, як працює сам маршрутизатор. Уявіть собі, що маршрутизатор — це щось середнє між охоронцем і сортувальником пошти. Брандмауер NAT, розташований на маршрутизаторі, надсилає вхідні з'єднання на пристрої, які їх запитували, а також блокує небажані вхідні дані. Це робиться автоматично, але якщо ви хочете, щоб ваші домашні пристрої підключалися до віддаленого пристрою, потрібно налаштувати переадресацію портів.

Маршрутизатор має понад 60 000 портів. Приблизно 1000 з них зазвичай призначені для виконання специфічних стандартних функцій. Решта за бажанням можуть бути призначені будь-якому пристрою або програмі. Для цього треба відкрити порт на маршрутизаторі та призначити його певному пристрою. Тепер, коли пристрій надсилає запит на підключення до маршрутизатора, він автоматично створює пряме з'єднання. Щоб це зробити, вам потрібно знати номер свого порту. Ось як дізнатися номер свого порту.

Але варто пам'ятати, що переадресація портів не працюватиме з NordVPN, і ми не рекомендуємо користувачам її робити.

Навіщо робити переадресацію портів?

Переадресація портів корисна, якщо потрібно встановити пряме з'єднання між пристроєм у домашній мережі і віддаленим пристроєм. Наприклад  якщо вам треба:

• спостерігати за камерою відеоспостереження або радіонянею, перебуваючи далеко від дому;
• підключітися до свого домашнього серверу віддалено;
• отримати доступу до свого домашнього комп'ютера з іншого пристрою;
• дозволити іншим користувачам підключатися до вашого загальнодоступного вебсервера;
• підключитися до пристрою Інтернету речей у домашній мережі, наприклад, для віддаленого доступу до Raspberry Pi для моніторингу або оновлення;
• встановити пряме підключення до ігрового сервера;
• підтримувати безперебійний і прямий доступ до сервера VoIP-викликів.

Переадресацію портів роблять й для інших цілей, але багато з них складні та виходять за рамки цієї загальної статті.

Типи переадресації портів

Залежно від потреб користувачів мережі та додатків, існують різні типи переадресації портів. Наведемо основні:

Статична переадресація портів (зіставлення портів)

Статична переадресація портів передбачає налаштування параметрів маршрутизатора вручну для встановлення правил, які спрямовують інтернет-трафік на певний пристрій у локальній мережі, використовуючи вказаний номер порту. Цей процес також називається зіставленням портів.

Статичну переадресацію портів можна налаштувати на маршрутизаторі, щоб створити прямий канал доступу до домашньої системи відеоспостереження з будь-якої точки інтернету і стежити за безпекою свого будинку під час подорожей.

Локальна переадресація портів

Локальна переадресація портів дозволяє перенаправляти трафік з локального пристрою на інший сервер через посередника, як правило, через тунель SSH.

Наприклад, ви віддалений працівник компанії й вирішили попрацювати в кав'ярні за чашкою кави. Вам потрібен безпечний доступ до внутрішньої бази даних компанії. Налаштувавши локальну переадресацію портів через тунель SSH, можна створити безпечне з'єднання свого ноутбука з базою даних так, ніби ви отримуєте доступ до неї з мережі компанії.

Віддалена переадресація портів

Віддалена переадресація портів — це процес переадресації порту з віддаленого сервера назад на локальний пристрій або в інше місце призначення. По суті, віддалена переадресація портів забезпечує зовнішній доступ до служб, розміщених на вашому локальному пристрої, через захищений канал, такий як тунель SSH.

Скажімо, ви розробляєте програму на своєму ноутбуці і хочете показати її клієнту, не розгортаючи її на загальнодоступному сервері. За допомогою віддаленої переадресації портів можна дозволити зовнішній доступ до вашої програми на пристрої.

Динамічна переадресація портів

Динамічна переадресація портів дозволяє створити гнучкий і безпечний тунель, по якому трафік з різних портів може відправлятися декільком адресатам на основі запитів в режимі реального часу, як правило, з використанням проксі-протоколів SOCKS.

Динамічна переадресація допомагає, коли потрібно отримати безпечний доступ до своєї електронної пошти або робочої бази даних під час подорожі або використання загальнодоступного Wi-Fi. Цей тип переадресації портів може діяти як безпечний тунель для вашого інтернет-трафіку, направляючи його через домашню або офісну мережу.

Переадресація портів UPnP

Можливо, ви вже використовували переадресацію портів, фактично не налаштовуючи порти вручну і навіть не усвідомлюючи цього. Як? На вашому пристрої є технологія Universal Plug and Play (UPnP), яка дозволяє додаткам на вашому пристрої відкривати порти на маршрутизаторі, коли це необхідно, і закривати їх по завершенні роботи. UPnP забезпечує безперебійний зв'язок і обмін даними між пристроями в приватній мережі й зовнішніми пристроями чи службами.

Переадресація портів NAT 

Переадресація портів NAT — це процес налаштування мережі, при якому перетворювач мережевих адрес (NAT) змінює адресу призначення та порт вхідного трафіку, перенаправляючи його на відповідну внутрішню IP-адресу та порт.

Наприклад, щоб пограти з друзями в онлайн-ігри, можна на своєму маршрутизаторі налаштувати переадресацію портів NAT, щоб дозволити друзям підключатися до вашого ігрового сервера вдома.

Як налаштувати переадресацію портів

Конкретні інструкції щодо переадресації портів можуть відрізнятися залежно від моделі маршрутизатора, тому наведемо загальний огляд того, як може виглядати цей процес:

1. 1.Увійдіть у маршрутизатор. Це можна зробити, ввівши IP-адресу маршрутизатора (або, іншими словами, шлюз за замовчуванням) до адресного рядка пошукової системи. Потім введіть своє ім'я користувача та пароль адміністратора й натисніть «Увійти».
2. 2.Відкрийте панель налаштувань переадресації портів. Хоча інтерфейс кожного маршрутизатора різний, потрібний розділ зазвичай буде мати назву «Переадресація», «Переадресація портів», «Брандмауер» або щось подібне. Знайдіть відповідний пункт меню і натисніть на нього.
3. 3.Якщо у вас маршрутизатор TP-Link, виберіть пункт меню «Віртуальні сервери» у спадному меню.
4. 4.Натисніть «Додати нове» або «Додати правило», щоб створити власний запис переадресації портів.
5. 5.Виберіть одну конфігурацію та введіть номери внутрішнього та зовнішнього портів. Зовнішній порт — це номер, який пристрої в інтернеті використовують для підключення до вашої мережі, а внутрішній порт — це номер, за яким пристрій у вашій локальній мережі очікує вхідних з'єднань. У більшості випадків зовнішній і внутрішній порти не повинні збігатися, якщо зовнішні й внутрішні пристрої знають, які з них використовувати. Важливо перевірити відсутність конфліктів з іншими службами, що використовують ті ж порти.
6. 6.Після налаштування портів введіть локальну IP-адресу пристрою, до якого хочете підключитися (локальна адреса буде відрізнятися від IP-адреси маршрутизатора).
7. 7.Натисніть кнопку «Зберегти», щоб зберегти налаштування.

Тепер маршрутизатор може перенаправляти будь-який запит, надісланий на цей конкретний порт, безпосередньо на ваш пристрій, не розкриваючи його IP-адресу. Але як виглядає цей запит?

Припустімо, IP-адреса вашого пристрою — 192.168.1.100. Якщо порт, який ви налаштували для підключення до домашньої камери відеоспостереження, має 554, то запит на підключення пристрою безпосередньо до камери через переадресацію портів буде відправлений на цю адресу: 192.168.1.100:554. Це як набирати номер телефону з додатковими цифрами.

Переадресацію портів налаштовують геймери для поліпшення онлайн-ігор. Переадресація портів ПК підвищить швидкість інтернету, що вкрай важливо для динамічних ігор. Така ж історія з переадресацією портів Xbox One — це підвищить швидкість і скоротить затримку.

Як протестувати переадресацію портів?

Налаштувавши переадресацію портів, перевірте, чи відкриті порти та чи вони функціонують належним чином. Найпростіший спосіб це зробити — за допомогою онлайн-програми перевірки портів, наприклад canyouseeme.org. Існує безліч сайтів, які надають цю послугу безкоштовно.

Ось що потрібно зробити:

1. 1.Перейдіть на вебсайт онлайн-перевірки портів.
2. 2.Введіть номер порту, який вам переадресовується, у відповідне поле.
3. 3.Натисніть на кнопку «Перевірити порт» або аналогічну.

Перевірка переадресації портів може видати наступні результати:

• «Порт відкритий» означає, що ви правильно налаштували параметри переадресації портів і служба, пов'язана з цим портом, доступна з інтернету.
• «Порт закритий» означає, що налаштування переадресації портів можуть бути неправильними. Перевірте конфігурацію маршрутизатора та внесіть корективи.
• «Порт відфільтрований або заблокований» означає, що щось перешкоджає вільному проходженню трафіку по цьому порту за призначенням. Можливо, інтернет-провайдер обмежує трафік на цьому порту. Або це може бути тому, що деякі правила брандмауера або інші заходи безпеки у мережах блокують або фільтрують певні типи трафіку.

Чи безпечно робити переадресацію портів?

Так, переадресацію портів робити безпечно, якщо робити це правильно. Однак неправильне налаштування може призвести до вразливостей у мережі.

Уявіть, що порти маршрутизатора — це двері, і більшість із них зачинені. Інформація з інтернету може пройти крізь двері, тільки якщо пройде перевірку та отримає доступ. Але коли одна з цих дверей не зачинена, через неї можуть пройти навіть небажані гості.

У певному сенсі це не так погано, як здається, адже відкритий порт (або незамкнені двері) веде лише до пристрою, на який він був спрямований. Але, як ми пояснимо далі, переадресація портів може зробити пристрій вразливим до онлайн-загроз.

Чи працює переадресація портів з VPN?

Переадресація портів VPN дозволяє вхідним даним обходити NAT-брандмауер, що прискорює інтернет-з'єднання. VPN-переадресація портів має низку переваг. Зокрема збільшує швидкість завантаження, уможливлює віддалений доступ до свого комп'ютера та пряме з'єднання з ігровим сервером.

Переадресація й тригерінг (динамічна переадресація) портів взагалі можуть працювати з протоколом VPN, але не з NordVPN. Наші додатки блокують практично всі порти зв'язку з вашого пристрою, за винятком тих, які найчастіше використовуються популярними програмами. Це було непросте рішення, яке бути незручним деяким користувачам, але цьому є пояснення.

Робота в інтернеті з відкритими портами пов'язана з низкою ризиків для безпеки. Блокування доступу до всіх портів, крім тих, які необхідні для функціонування VPN, є частиною програми безпеки NordVPN. Інакше ми б не змогли забезпечити вам безпеку в Інтернеті.

Якщо ви ще не підключені до VPN, завантажте безкоштовну програму VPN і виберіть потрібний для вас тарифний план. Увімкнувши додаток, ви будете захищені одним з кращих в галузі засобів шифрування.

Чим переадресація портів відрізняється від тригерінга портів

Тригерінг порту трохи відрізняється від переадресації портів. Завдяки цієї різниці вдається усунути деякі безпекові вразливості, пов'язані з переадресацією портів. Разом з тим ця різниця обмежує ситуації, коли тригерінг порту може бути корисним.

По-перше, у випадку тригерінга вибраний порт залишається закритим. Він відкриється тільки через активацію вихідним зв'язком.

Коли вихідне з'єднання, яке спричинило відкриття порту, завершується, порт закривається після зазначеного періоду часу. Це робить з'єднання більш безпечним, оскільки дозволяє локальному пристрою керувати відкриттям з'єднання. Однак це також означає, що ці зв'язки важко або майже неможливо встановити ззовні.

По-друге, тригерінг порту не вимагає налаштування певної IP-адреси пристрою під час створення тригера чи активації. Тобто будь-який пристрій у вашій мережі може ініціювати підключення, хоча одночасно ним може користуватися лише один пристрій. Під час переадресації портів треба визначити конкретний пристрій, який буде використовувати з'єднання. Залежно від маршрутизатора та пристроїв, це робе тригерінг порту більш безпечним, ніж переадресація.