1. Що таке NAT і чим він заважає?
2. Навіщо потрібен кидок портів?
3. Принцип роботи переадресації портів
4. Як прокинути порт на маршрутизаторі?

Кидок портів на роутері - це процедура, що дозволяє встановити прямий зв'язок між комп'ютером із зовнішньої мережі (наприклад, з інтернету) і пристроєм, що знаходиться у внутрішній мережі маршрутизатора. Завдяки цьому будь-який пристрій або додаток, що знає зовнішній IP-адреса вашого роутера і номери портів, які проброшени на ньому, може отримувати доступ з інтернету до своїх пристроїв в мережі за маршрутизатором, наприклад, до комп'ютерів і ноутбуків в домашній «локалке». За умови, що це не заборонено настройками брандмауера (фаєрвола).

Малюнок 1. Схема локальної мережі

Існує безліч цілей і завдань, для реалізації яких необхідно призначити кидок портів на роутері. Наприклад, для повноцінної роботи пірінгових клієнтів, можливості створення будь-яких інтернет-серверів - ігрових (змагання комп'ютерних гравців в режимі онлайн), WEB, FTP та інших. Якщо у вас не виходить організувати торрент-роздачу на BitTorrent трекер, або створену вами ігрову сесію «не бачать» інші віддалені гравці, значить, порт на роутері НЕ проброшен. Проблема посилюється, якщо маршрутизатор знаходиться не в домі і належить не вам, а провайдеру. Таке часто буває у користувачів виділеного широкосмугового доступу по Ethernet, коли в квартиру проводиться лише кабель, а маршрутизатор надійно захищений від несанкціонованого проникнення. У цьому випадку питання про те, як прокинути порт, вирішується безпосередньо з вашим провайдером.

Що таке NAT і чим він заважає?

Малюнок 2. При підключенні до мережі через маршрутизатор комп'ютер знаходиться під NAT роутера.

Для тих же, хто має власний маршрутизатор, наприклад, для користувачів широкосмугового доступу по ADSL, буде корисно дізнатися, як прокинути порт на роутері. Але спочатку з'ясуємо, чому без цієї процедури неможливий прямий доступ в локальну сітку ззовні. Справа в тому, що практично всі призначені для користувача маршрутизатори працюють на основі технології NAT - це особливий мережевий механізм, службовець для перетворення IP-адрес пакетів даних, що проходять транзитом через міжмережевий екран або роутер.

Завдяки йому проводиться поділ глобальної мережі на два незалежних сегмента, кожен зі своїм адресним простором: зовнішнім ( «публічним») і внутрішнім ( «приватним»), що знаходяться під NAT. Створена за допомогою роутера «локалка» є внутрішньою мережею, де кожному комп'ютеру можна призначити свій унікальний IP, і це не викличе конфліктів або нестачі адрес у зовнішній мережі, покольку зовнішнє і внутрішнє адресні простори незалежні один від одного.

Ззовні вся «локалка» буде видно під одним єдиним публічним IP, присвоєним конкретному маршрутизатора. Відповідно, внутрішнє адресний простір ззовні видно не буде, і всі приватні адреси, які користувач призначив комп'ютерів в своїй персональній сітці, для зовнішніх користувачів просто не будуть існувати - про них «знає» тільки роутер. (РІС. 1)

Навіщо потрібен кидок портів?

Технології маршрутизації з використанням NAT відмінно підходять для вирішення більшості повсякденних завдань рядових користувачів інтернету.

Малюнок 3. Для того, щоб увійти в меню конфігурацій роутера його необхідно запустити і підключити до комп'ютера.

Коли одному з комп'ютерів локальної сітки потрібен доступ до сервера в інтернеті (наприклад, для завантаження веб-сторінки в браузері), на його вимогу маршрутизатор з'єднується з сервером, використовуючи свій зовнішній IP, потім отримує і перенаправляє необхідні дані по внутрішньому адресою на запитав їх комп'ютер . З боку сервера цей комп'ютер умовно «не існує», так як знаходиться під NAT роутера, і сервер може «спілкуватися» тільки з самим роутером по його публічному IP. (РІС. 2)

Такий механізм широко використовується провайдерами інтернету, оскільки має масу переваг:

1. Економія адресного простору. Завдяки NAT немає необхідності давати кожному користувачеві унікальний зовнішній адресу, досить створити свою внутрішню мережу і вільно розпоряджатися приватним адресним простором, використовуючи для виходу назовні лише один або кілька публічних IP.
2. Підвищення безпеки. Всі комп'ютери локальної мережі захищені від виявлення і використання з «глобальної павутини». З'єднання ініціюється тільки зсередини. Публічний адреса може отримувати дані з приватного тільки в рамках ініційованої ним трансляції.
3. Можливість управління адресами і портами, здійснювати порт-адресні трансляції та т. Д.

http://antonkozlov.ru/

Однак в деяких випадках головна перевага цього механізму - невидимість і недоступність внутрішніх комп'ютерів ззовні - обертається серйозною перешкодою. Для повноцінної роботи в пиринговой мережі або в режимі сервера необхідно, щоб будь-який користувач з інтернету міг вільно підключитися до комп'ютера. Чи можна зробити це, якщо ви перебуваєте за маршрутизатором, тобто в його приватній мережі, і NAT приховує його від виявлення? Саме для цього і налаштовуються кидок портів на роутері.

Принцип роботи переадресації портів

Малюнок 4. Після завершення налаштування віртуального сервера роутер потрібно перезавантажити.

Суть технології в тому, що роутер здійснює перенаправлення потоку даних для конкретних портів TCP / IP зі свого публічного адреси на приватний адресу певного пристрою в «локалке». Простіше кажучи, щоб отримати доступ ззовні на внутрішній адресу, досить звернутися по зовнішньому IP маршрутизатора на один із заданих портів, відповідний потрібного приватному адресою.

На згадку роутера для цього потрібно заздалегідь вписати таблицю відповідностей між певними портами і адресами, щоб він «знав», який трафік і на який комп'ютер відправляти. Така «таблиця» в багатьох маршрутизаторах називається «Віртуальний сервер», адже фізично сервер створюється на внутрішньому вузлі, але ззовні доступний з публічного IP і конкретному номеру порту.

Існує два способи проброса портів: автоматично (за допомогою UPnP) і вручну. Під час процедури проброса вручну потрібно вибрати номери портів для кожної адреси, який повинен бути доступний з інтернету. Потім ці номери разом з публічним IP роутера повідомляються програмі-клієнту на іншій стороні з'єднання. Роутер, отримавши запит на свою адресу за відповідним порту TCP / IP, перенаправляє дані прямо до того пристрою, який цього порту призначено у відповідність. При цьому приватний IP як і раніше залишається невидимим, і жоден інший клієнт, який не знає номера порту, на нього не потрапить.

Як прокинути порт на маршрутизаторі?

Розглянемо приклад, як прокидаємо порт на роутері D-Link будь-якої моделі з прошивкою 1.4.Х або новіше. Ця процедура не сильно відрізняється у різних виробників і на різних моделях, тому дана інструкція цілком підійде під будь-який сучасний маршрутизатор з веб-інтерфейсом.

Малюнок 5. Налаштування роутера дозволяють задати як один, так і кілька портів.

Спочатку необхідно увійти в меню конфігурації роутера. Для цього він повинен бути запущений і підключений до комп'ютера. У рядку будь-якого інтернет-браузера вводимо внутрішній IP маршрутизатора, під яким він видно в приватній локальної сітці. У нашому випадку це 192.168.0.1. У вікні авторизації в рядках «ім'я користувача» і «пароль» вводимо один і той же слово: admin. Насамперед розглянемо автоматичний кидок за допомогою майстра. Увійшовши в меню, шукаємо посилання «Майстер налаштування віртуального сервера» і натискаємо на неї. (РІС. 3)

На що відкрилася конфигурационной сторінці бачимо кілька полів. В поле "Шаблон" можна вибрати одну з вбудованих заготовок. Нижче вводиться будь-який зручний ім'я. Далі потрібно вибрати інтерфейс, з яким буде пов'язаний наш віртуальний сервер. Потім вводиться приватний адресу вузла локальної мережі, для якого будуть відкриватися порти, і віддалений публічний адресу, якому буде дозволений доступ. Якщо поле «Віддалений IP» залишити порожнім, доступ буде відкритий для всіх. Зберігаємо налаштування і перезавантажуємо маршрутизатор. (РІС. 4)

http://antonkozlov.ru/

Для установки сервера вручну необхідно зайти в розширені налаштування і вибрати «Віртуальні сервери», на сторінці тиснемо «Додати». Крім вже відомих з попереднього способу полів, бачимо 4 нових: зовнішні і внутрішні початкові / кінцеві порти. Потік даних з зовнішнього порту перенаправляється по внутрішньому порту на приватний адресу, вказану в полі «Внутрішній IP». За допомогою початкового і кінцевого номера можна задати цілий діапазон портів. Якщо потрібно використовувати тільки один порт, заповнюємо поле «початковий» і залишаємо порожнім «кінцевий». Номер порту може бути будь-яким числом від 0 до 65535, рекомендується використовувати значення вище 49152. (РІС. 5)

Читайте також