1. Чому необхідно прокидати порти для доступу до внутрішніх ресурсів з інтернету?
2. Робимо кидок портів
3. Заходимо в адмінку маршрутизатора
4. Перевіряємо і коригуємо настройки DHCP
5. Готуємо комп'ютер через прописування фіксованого (статичного) IP-адреси
6. Готуємо комп'ютер через фіксування його адреси на маршрутизаторі
7. Налаштовуємо кидок портів на маршрутизаторі
8. Що робити, якщо раптом нічого не запрацювало?

Необхідність проброса портів на маршрутизаторі (роутере) виникає, коли ви хочете організувати доступ з інтернету до якогось ресурсу домашньої мережі. Це може бути як ігровий сервер, так і сервер RDP, FTP або встановити вдома камеру охоронного спостереження, щоб постійно бачити, що діється у вас вдома (наприклад, якщо ви залишили вдома свою дитину з найманою нянею).

Іноді безумовного проброса портів вимагають IP-телефонії. Це вже залежить від того, за яким принципом здійснює роботу ваша комунікаційна компанія.

Практично будь-який маршрутизатор коректно підтримує весь цей функціонал. Єдине, на що хотілося б звернути пильну увагу - це необхідність отримання від провайдера зовнішнього IP. Статичного або динамічного, в даному випадку не має великого значення. Він просто за фактом у вас повинен бути.

1. Чому необхідно прокидати порти для доступу до внутрішніх ресурсів з інтернету?
2. Контрольний список необхідних операцій
3. Заходимо в адмінку маршрутизатора
4. Перевіряємо і коригуємо настройки DHCP
5. Готуємо комп'ютер через прописування фіксованого (статичного) IP-адреси (Спосіб 1)
6. Готуємо комп'ютер через фіксування його адреси маршрутизатора (Спосіб 2)
7. Налаштовуємо кидок портів на маршрутизаторі
8. Що робити, якщо раптом нічого не запрацювало?

Чому необхідно прокидати порти для доступу до внутрішніх ресурсів з інтернету?

Така необхідність виникає у зв'язку з тим, що ваш роутер автоматично відфільтровує ті дані, які ви не запитували. Це пов'язано, перш за все, з необхідністю забезпечення безпеки вашої мережі. Уявіть собі таку картину: у вас вдома комп'ютер, ноутбук, сховище файлів (файлопомойка). І до всього цього має доступ будь-який бажаючий з інтернету ...

Щоб не допустити всяку нечисть в домашню мережу, роутер пропускає тільки ті запити і тільки того комп'ютера в мережі, які він запитував. Для цього розумні інженери придумали NAT - Network Address Translation (перетворення мережевих адрес). Ця система дозволяє приховати від усього інтернету ваш внутрішній адресу. Таким чином, всі пристрої, підключені до інтернету у вашій домашній мережі, в інтернеті бачаться під одним єдиним IP-адресою - зовнішнім або білим. Причому, це може бути як ваш білий IP, так і просто будь-який провайдерский, якщо провайдер роздає всередині своєї мережі сірі IP.

Таким чином, якщо ви хочете, наприклад, підключиться віддалено до вашого домашнього комп'ютера через RDP - роутер просто не розумітиме, кому саме в домашній мережі перенаправити запит - ви ж йому цього не пояснили ... Він просто його відфільтрує. Звичайно, є ще можливість додати ваш домашній сервіс в розділ DMZ (Demilitarized Zone) - демілітаризовану зону. Але в цьому випадку абсолютно всі запити ззовні, які ніхто не запитував, а так само ті, для яких не прописано певне правило для портів - будуть перенаправлятися до вашого вузла. Таким чином ви зробите його абсолютно беззахисним, так що без гострої необхідності краще не користуватися цим розділом в цілях безпеки.

Робимо кидок портів

Контрольний список необхідних операцій

Для того, щоб зробити коректний кидок портів необхідно зробити кілька речей, які ми зараз пройдемо по пунктах, а потім вже будемо дивитися, як це все відбувається на наочно прикладі.

1. Необхідно привласнити статичний IP-адресу вашого комп'ютера, який буде надавати якийсь сервіс. Зробити це можна двома способами.

1.1. Спосіб 1. Ви можете привласнити статичний IP, прописавши його в властивості мережевої карти - це дуже надійний спосіб, тому що вже нічого не зміниться без вашого втручання. Я думаю, що для домашньої мережі цього цілком буде достатньо. Єдине, що при цьому треба врахувати - це необхідність скорегувати налаштування вашого DHCP-сервера, який знаходиться в роутері. Ми розглянемо це на прикладі нижче.

1.2. Спосіб 2. Цей спосіб більш витончений, тому що не зажадає зміни діапазону видаваних DHCP-сервером адрес. В цьому випадку ви повинні закріпити за комп'ютером адреса засобами того ж DHCP-сервера. Цей спосіб трохи менше надійний, проте теж має право на життя. Один раз в житті я зіткнувся з таким, що комп'ютер, який був «закріплений» роутером на певний IP раптом став одержувати іншу адресу. Природно, це була проблема глючноватой прошивки роутера. Однак, треба мати на увазі, що такий результат теж можливий.

2. Ви повинні визначити, які порти і протоколи необхідно буде прокидати. На даний момент в побуті використовуються два транспортних протоколу - TCP і UDP. Наприклад, для того, щоб підключитися по RDP, або організувати доступ до FTP-сервера, нам необхідний TCP. IP-телефонія використовує UDP для передачі даних. Майте це на увазі. Якщо ця інформація вам невідома - не полінуйтеся відкрити Яндекс або Google і зробити відповідний запит. Хоча, в більшості випадків, в роутерах вже є встановлені кидок портів для самих часто виникають потреб. Ми це з вами теж подивимося нижче.

3. Необхідно переконатися в тому, що у вас є білий IP. Деякі провайдери можуть надавати його всім абонентам мережі за замовчуванням (зараз це зустрічається все рідше і рідше), або ж його доведеться підключити (зателефонувати провайдеру або зайти в особистий кабінет). З'ясувати можна, зайшовши в web-інтерфейс адмінки роутера.

Заходимо в адмінку маршрутизатора

Ми будемо відпрацьовувати кидок портів на роутері марки TP-Link, тому що роутери цієї марки набирають все більшої популярності через їх співвідношення ціни і якості. Зараз в кризовий час це особливо актуально. Не переживайте, якщо у вас роутер іншої марки - кидок портів в 95% випадків практично нічим не відрізняється, просто потрібно робити все по аналогії.

Отже, заходимо в адмінку роутера, ввівши в адресному рядку адресу 192.168.0.1 - ця адреса за замовчуванням встановлений в більшості роутерів. У більш рідкісних випадках це може бути адреса 192.168.1.1 або, в ще більш рідкісних випадках - 192.168.10.1. Якщо ви користуєтеся інтернет-центром Yota - скоріше за все вам треба йти за адресою 10.0.0.1. А, щоб не гадати на кавовій гущі і не переривати підлогу інтернету в пошуках правильної адреси, можна зайти в Пуск> Панель управління> Центр управління мережами і загальним доступом> Клацнути по ярличку активного з'єднання з мережею та натиснути кнопочку Відомості. У пункті шлюз буде прописаний адресу вашого роутера.

Після запиту логіна і пароля, вводимо в поле логін і в поле пароль слово admin (якщо інше не написано на корпусі роутера або ви самі не змінювали).

І відразу в web-інтерфейсі ми бачимо, що IP адреса у нас внутрішній провайдерский (сірий, інакше кажучи). Дивитися треба саме в розділі WAN - це налаштування для вашого інтернету!

Для того, щоб було зрозуміло, як відрізнити білий від сірого я написав цю міні-шпаргалку. Справа в тому, що ще на початку далеких 80-х роках, коли була затверджена специфікація TCP / IP розумні голови відразу вирішили зарезервувати різні адресні простори (підмережі) для спеціальних цілей. Навіть зарезервували пару підмереж для того, щоб можна було згадувати ці адреси в технічній документації, а то в суд на батьківщині протоколу ходять частіше ніж за хлібом ... Ну, це вже лірика. З усього цього зарезервованого пишноти, нас цікавлять підмережі, виділені саме під приватні мережі. Їх не багато:
10.Х.Х.Х
172.16.Х.Х
192.168.Х.Х
де Х - число від 0 до 255.

У моєму прикладі ми бачимо, що адреса починається з десятки - це значить, що адреса у мене внутрішній. Ну, я і не в образі - буде потрібен білий, попрошу дядька-провайдера про виділення.

Перевіряємо і коригуємо настройки DHCP

Перед тим, як прокидати порт, нам потрібно виділити адресний простір в своїй домашній мережі, яке ми зможемо задіяти для наших мережевих сервісів, до яких необхідно отримати доступ з інтернету. Йдемо в розділ DHCP.

Тут нас цікавить три речі:

- включений або виключений DHCP-сервер (DHCP Server Enabled / Disabled - в дужках буду наводити назви англомовних пунктів меню, тому що не всі маршрутизатори оснащені російськомовним інтерфейсом);

- Початковий IP-адреса (Start IP Address) - початкове значення діапазону адресного простору, з якого DHCP-сервер буде роздавати IP-адреси;

- Кінцевий IP-адреса (End IP Address) - кінцеве значення діапазону адресного простору, з якого DHCP-сервер буде роздавати IP-адреси.

А ще подивіться в заголовок на зеленому тлі і спробуйте вгадати, про що думав перекладач, коли робив російську локалізацію, програмісти були солідарні. Жартую-жартую - думаю, що у людей були дуже стислі терміни, і вони не встигли виловити всі очепятки.

В принципі, якщо ви є щасливим володарем маршрутизатора марки TP-Link, то скоріше за все у вас такий діапазон буде проставлено за замовчуванням. Я не став міняти цю настройку на домашньому маршрутизаторі, тому що виділення діапазону з 200 адрес мені вистачить ще з десятикратним запасом. У маршрутизаторів марки Zyxel взагалі зазвичай десь з 192.168.0.20 по 192.168.0.39 - 20 адрес діапазон за замовчуванням варто.

Тепер давайте визначимося, будемо ми фіксувати IP-адреса комп'ютера, до якого потрібно відкрити доступ або поставимо це через відповідні налаштування DHCP-сервера.

Для більшої надійності, я б рекомендував скористатися першим способом. Але розглянемо ми їх обидва, тому що випадки різні бувають.

Готуємо комп'ютер через прописування фіксованого (статичного) IP-адреси

Буває, що за замовчуванням маршрутизатор роздає адресний простір всієї підмережі (в настройках коштує від 192.168.0.2 (адреса маршрутизатора не повинен бути в адресному діапазоні) і по 192.168.0.254). Якщо ви хочете скористатися першим способом, то необхідно цей діапазон підкоригувати, звільнивши адреса для нашого комп'ютера. Поміняти в поле ВІД, наприклад, на 192.168.0.3 -тоді адресу 192.168.0.2 ми зможемо використовувати для нашого комп'ютера, до якого відкриваємо доступ. Хоча, для домашньої мережі, як правило, такої кількості адрес не потрібно, тому в поле ВІД можна написати, наприклад, 192.168.0.10, або 192.168.0.100 на кінці - раптом ще щось доведеться відкривати - точно з адресами не промахнетеся.

Для того, щоб привласнити комп'ютера статичний IP-адресу, йдемо в Пуск> Панель управління> Центр управління мережами і загальним доступом.

Клацаємо по ссилочку, що позначає з'єднання з інтернетом (Тип доступу: Інтернет) і потрапляємо ось в таке віконце:

Тут ми натискаємо Властивості і вибираємо Протокол Інтернету версії 4

І натискаємо Властивості

Вибираємо Використовувати наступний IP-адреса: і вбиваємо туди статичний адреса, який звільнили на попередньому кроці. (IP-адреса, маску підмережі, шлюз, бажаний DNS-сервер). Натискаємо всюди ОК.

Готуємо комп'ютер через фіксування його адреси на маршрутизаторі

Це другий спосіб. У ньому вже не потрібно нічого встановлювати на комп'ютері, але потрібно знати MAC-адресу мережевого адаптера. Втім, про все по порядку.

Йдемо по вже знайомим шляхом: Пуск> Панель управління> Центр управління мережами і загальним доступом.

Тільки тепер у вікні

Вибираємо розділ Відомості

Тут нас цікавить рядок, що позначає Фізична адреса - це і є той самий MAC. Не дивуйтеся, що він у мене такий ексклюзивний, я його злегка підправив в одній відомій програмі. Інакше мій комп'ютер буде нескладно відстежити. Я, звичайно, не страждаю параноєю, але і світити зайву інформацію великим бажанням не горю.

Отже, MAC-адресу ми з'ясували, тепер переходимо в розділ DHCP> Резервування адрес (Address Reservation)

Тут у мене вже зарезервовано якийсь адресу з не менш чарівним MAC-адресою (природно, його я теж підкоригував). Натискаємо Додати нову ... (Add New ...) (зате від такого перекладу веселіше на душі).

Вбиваємо туди наш чудовий MAC-адресу і виділений під цю справу будь-який IP-адреса, причому знаходиться в діапазоні, який роздає DHCP! Інакше нічого працювати не буде. І натискаємо Зберегти.

Власне, тепер, ми натискаємо там, де просить маршрутизатор, щоб зробити перезапуск. Для чистоти експерименту перезавантажуємо цільової комп'ютер і переходимо до наступного етапу.

Налаштовуємо кидок портів на маршрутизаторі

Нас цікавить розділ Переадресування (Forwarding), а в цьому розділі Віртуальні сервери (Virtual Servers - хто б міг подумати? - прим. Авт.). Цей розділ відкривається відразу після клацання по пункту меню.

За замовчуванням тут у нас повинно бути порожньо. Щоб виправити цю несправедливість, ми натискаємо Додати нову ... (Add New ...)

І потрапляємо в цю форму. Пройдемо по порядку:

Порт сервісу (Service Port) - це порт, або діапазон портів, за яким ми будемо ломитися зовні. Побачивши звернення з цього порту, роутер зрозуміє, куди перенаправляти наш пакет, щоб він досяг мети.

Внутрішній порт (Internal Port) - це порт, який слухає наш домашній мережевий сервіс. Якщо ми звернемося до внутрішнього сервісу по іншому порту - нічого працювати не буде.

IP-адреса (IP Address) - це адреса нашого комп'ютера або іншого пристрою, до якого нам потрібно дістатися з інтернету. Як бачите, він тут вказується явно. Тому його необхідно зафіксувати.

Протокол (Protocol) - тут можна вибрати або TCP, або UDP, а можна обробку обох протоколів по одному порту одночасно. Однак, мій добрий рада, - якщо ви знаєте, що потрібно саме один транспортний протокол, а так само знаєте, який саме протокол потрібно - краще вибирати строго його. Бо, як свідчить стара адмінських мудрість, зайвий відкритий порт - зайва пролом в безпеці. Майте це на увазі.

Стан (Status) - Включено (Enabled) / Виключено (Disabled) - ну, тут, навіть, коментувати нічого - правило може бути включено, може бути вимкнено.

Стандартний порт сервісу (Common Service Port) - найбільш часто використовувані сервіси і встановлені для них порти. Якщо розгорнути цей список, що випадає, то можна побачити, що попередньо встановлених портів там чимало і в більшості випадків їх вистачає.

Якщо вибрати будь-який з них, то все поля заповняться автоматично. Давайте виберемо протокол HTTP, як ніби ми збираємося зробити домашній вебсервер і зробити його доступним з інтернету.

Як бачите, нам залишилося тільки прописати наш локальний адресу пристрою. Якщо вам потрібно, наприклад, прокинути порт RDP - 3389, то замість 80 в обох полях потрібно прописати 3389.

Іноді буває таке, що в налаштуваннях маршрутизаторів фігурують діапазони суворо від і до. В цьому випадку, якщо вам потрібно прописати всього лише один порт, вписуємо в ці поля однакові значення.

Натискаємо кнопочку Зберегти (Save) і бачимо наш чудовий сервіс в списку.

В поле IP-адреса я ввів 192.168.0.97. Ви повинні ввести ту адресу, яку зафіксували для свого цільового комп'ютера.

Ось, власне, і все. Всі правила для віртуальних серверів, як правило, застосовуються без перезавантаження маршрутизатора. Хоча - всяке буває. Якщо не запрацювало, то перезапустіть маршрутизатор і спробуйте перезавантажити комп'ютер. Після цього все повинно запрацювати.

Що робити, якщо раптом нічого не запрацювало?

Є ще один момент, який може перешкоджати доступу до сервісу, який ви повинні бачити з інтернету. Це Firewall або Брандмауер. А так же всякого роду антивіруси, які мають свій Firewall і, часом параноїдально, які намагаються за всяку ціну захистити комп'ютер користувача від зовнішніх загроз.

Спробуйте відключити ваш Firewall і перевірити, чи буде доступний сервіс після цього. Якщо все запрацює, значить потрібно копати саме там.

Що саме і як копати - розглянемо в одній з наступних статей.

Теги: мережеві технології , як прокинути порти

Інші статті в розділі: