Другие подходы
Для осуществления проброса порта совсем необязательно использовать брандмауэры или системные демоны, как, например, этого требуют старые версии FreeBSD. Существует несколько других способов сделать это с помощью специализированного софта или стандартных инструментов ОС (кто знает, возможно, ты используешь Minix в качестве ОС для шлюза :)). Один из таких инструментов — SSH. Далеко не каждый системный администратор в курсе, что проброс порта является стандартной функцией этой программы. Возьмем, к примеру, следующую ситуацию. В локальной сети, закрытой от внешней сети NAT’ом, есть сервер, к которому тебе необходимо иметь доступ. Ситуация усугубляется тем, что ты не имеешь привилегий для настройки файервола на машине-шлюзе. Зато у тебя есть доступ к SSH-серверу, работающему на этом шлюзе. Как это может помочь? На самом деле очень сильно. Ты просто выполняешь следующую команду на удаленной машине (serverip — адрес внутреннего сервера, gateway-ip — адрес шлюза):
И вуаля, порт 8080 локальной машины становится портом 80 внутреннего сервера локалки. Теперь достаточно набрать в веб-браузере адрес localhost:8080, и ты попадешь туда, куда надо. Твой SSH-клиент создаст туннель с SSH-сервером шлюза, все передаваемые в рамках которого данные будут направлены на порт 80 внутреннего сервера.
Более радикальный способ — установка софта, специально созданного для осуществления проброса портов. Одна из таких программ носит имя rinetd и представляет собой высокопроизводительный сервер, позволяю щий пробрасывать любое количество соединений. Он есть в пакетах для популярных Linux-дистрибутивов и портах BSD-систем.
После его установки достаточно отредактировать файл /etc/rinetd.conf (/usr/local/etc/rinetd.conf), поместив туда строки следующего вида:
И (пере)запустить сервер командой:
в Ubuntu или:
во FreeBSD. Так же во FreeBSD придется активировать запуск rinetd при
старте:
После этого весь трафик, пришедший на порт 80 машины 1.2.3.4, будет автоматически перенаправлен на тот же порт машины с IP-адресом 192.168.0.100.
Один из излюбленных способов проброса портов среди UNIX-администраторов заключается в использовании утилиты socket совместно с сетевым супер-сервером inetd. Как и все гениальное, идея в этом случае проста, а реализация очевидна. Открываем файл /etc/inetd.conf (даже если в твоей системе используется более новый xinetd, ты все равно можешь использовать этот файл) и добавляем в него строку следующего вида:
Здесь порт1 — это прослушиваемый порт на машине-шлюзе, а порт2 — порт назначения на внутренней машине 192.168.0.100. При этом оба они должны быть заданы в форме имени службы (www, ftp и т.д.), если же таковой не имеется (ты выбрал произвольный порт), то ее необходимо добавить в файл /etc/services.
Далее можно перезагрузить inetd командой «kill -HUP» и наслаждаться результатом. Если же его нет, то смотрим в файл /etc/hosts.allow. Доступ к службе должен быть открыт.
Открытие портов на TP-Link
Чтобы открыть порты на маршрутизаторе TP-Link, необходимо выполнить следующие действия:
- Развернуть обозреватель, в поисковике вписать IP-адрес роутера: https://tplinkwifi.net и нажать на клавишу подтверждения.
- Появится окно для прохождения авторизации. Потребуется ввести пароль и логин, которые по умолчанию имеют значения «admin»/«admin».
- Отыскать на левой панели раздел «Forwarding».
- Выбрать вкладку «Virtual Servers».
- Кликнуть клавишу «Добавить новый» («Add New…»).
- В строке «Service Port» ввести шифр порта. В поле «IP Address» указать адрес устройства.
- Далее понадобится выбрать тип соединения. Для этого нужно воспользоваться строкой «Protocol». Пользователь может выбрать «ALL», «UPD» или «TCP».
- В поле «Status» необходимо установить команду «Enabled».
- На следующем этапе можно определиться со стандартным портом — «DNS», «HTTP», «PPTP» и «TELNET».
- По завершении процедуры сохранить значения с помощью соответствующей кнопки «Save».
По умолчанию для соединения компьютера с веб-сервером используется 80 порт. Осуществив проброс портов на роутере TP-Link, значение изменится на 8080. То есть, после этого для входа рабочую панель раздающего прибора придется прописывать 192.168.1.1:8080.
Различия между публичным и частным IP
IP может быть определен как логический и уникальный идентификатор для каждого из компьютеров, подключенных к сети , Кроме того, IP-адрес в сетях IPv4 состоит из четырех групп чисел от 0 до 255, разделенных точками, длиной 32 бита. Эти адреса представлены в десятичной системе счисления, разделенной точками, например адрес 192.168.1.1.
Что касается IP-адресов, можно сказать, что существует два класса:
- Открытый IP-адрес .
- Частный IP .
Компания публичный IP — это идентификатор нашей сети, выходящей в Интернет, то есть тот, который вы назначили в своем домашнем маршрутизаторе в интерфейсе Internet WAN. На этот публичный IP вы не можете поставить то, что хотите, в этом случае именно ваш поставщик услуг (оператор или интернет-провайдер) назначает вам статический или динамический (последний является наиболее нормальным).
Также в рамках публичного IP у нас есть две категории:
- Компания статический публичный IP Это означает, что оно никогда не изменится и всегда будет таким же.
- Компания динамический публичный IP, это означает, что это может измениться, когда маршрутизатор выключен, или после периода времени, который решает наш поставщик.
Сегодня подавляющее большинство имеют динамичный публичный IP. Статический IP-адрес обычно используется компаниями для настройки своих серверов, и в дополнение к оплате за подключение к Интернету они должны добавить небольшую плату за наличие этого фиксированного IP-адреса. Для частный IP именно оно идентифицирует каждое из устройств, подключенных к нашей сети. Поэтому мы ссылаемся на каждый из IP-адресов, которые назначает маршрутизатор:
- Наш ПК.
- К смартфону.
- К планшету.
- Smart TV или устройство Android TV.
- Другие устройства, такие как интеллектуальные разъемы, IP-камеры и многое другое.
Таким образом, мы можем сказать, что устройства, подключенные к одному и тому же маршрутизатору, имеют разные частные IP-адреса, но одинаковые общедоступные IP-адреса. В этом смысле именно маршрутизатор действует как шлюз для связи с внешним миром.
Возможные способы открытия портов
Как открыть порт на роутере? Порты могут быть использованы протоколами TCP и UDP. Первый из них использует средства проверки достоверности передаваемой информации. Это приводит к уменьшению пропускной способности и снижению скорости обмена. Второй протокол не гарантирует достоверность. Он является широковещательным и предназначен для использования в сетевых играх с большим количеством участников.
Некоторые программы (utorrent, Skype) способны сами открывать (пробрасывать, перенаправлять) необходимые для их работы порты. Они реализуют заложенную в них технологию UPnP. Для работы большинства игровых серверов открыть порт на роутере приходится вручную. Для этого существует несколько способов:
- активирование функции демилитаризованной зоны (DMZ);
- использование настройки виртуального сервера;
- использование настройки функции «Триггер портов».
Указанные способы решения вопроса — как пробросить порт на роутере — применяются в зависимости от модели используемого устройства и меню его интерфейса.
Что такое проброс портов и зачем это нужно?!
На WiFi-роутерах Keenetic, как собственно и на большинстве подобных современных устройств, изначально политикой безопасности запрещены все входящие подключения из внешней сети. То есть устройства в локальной сети недоступны из Интернета напрямую. Всеми их подключениями управляет специальный механизм — NAT. Так же, на Кинетиках по умолчанию активирована служба UPnP, благодаря которой любая программа на подключенном к маршрутизатору компьютере, может сама открыть себе порт через NAT благодаря автоматическому созданию правил. Но не во всех случаях UPnP подходит. Например, когда нужно сделать доступным из Интернета видеорегистратор, камеру наблюдения или игровую приставку.
В этом случае нужно открыть порт на Keentic вручную, через веб-интерфейс или консоль WiFi-маршрутизатора. Сам процесс прописывания порта в правилах NAT роутера и называется Проброс портов. После этого, зная внешний IP и номер открытого порта можно получить прямой доступ к устройству в локальной сети, «спрятанному» за роутером.
Основная неисправность: не открывается порт. Как решить проблему
Но не все так просто, и иногда даже после скрупулезного следования вышеизложенной методике, порт может не открыться. Причин такого развития событий несколько, и все они имеют решение, поэтому каждую следует рассмотреть в отдельности. Следует набраться терпения и точно проходить по каждому алгоритму поиска неисправности. Устранение ошибки всегда занимает меньше времени, чем ее поиск.
Интернет провайдер блокирует открытие портов
Очень популярная проблема, когда пользователь хочет выполнить «проброс порта», но не слишком знаком с особенностью своего тарифного плана. Или же стоимость тарифного плана низка и не предусматривает доступ для других IP-адресов. При этом не открывается или просто неправильно работает порт на роутере.
Способы решения проблемы:
- Связаться со службой интернет-провайдера и узнать особенности выбранного тарифного плана. После этого поинтересоваться, существуют ли пакеты услуг, при которых можно будет открывать порты своего роутера. Если такие предусмотрены, то как можно к ним подключиться.
- Подключить услугу постоянного IP-адреса, что позволяет использовать весь функционал домашнего интернет-устройства.
Если приведенные решения проблемы не помогли, то скорее всего, придется поменять интернет-провайдера. Тогда можно заранее выбрать пакет услуг, предусматривающий более разносторонний функционал, а может и меньшую стоимость. Перечень провайдеров, предоставляющих данные услуги достаточно велик, поэтому проблем возникнуть не должно.
Неправильно указаны данные
Это может быть некорректный IP-адрес роутера или сервера, для которого открывается порт. Банальная невнимательность часто приводит к подобным ошибкам, поэтому выполняя каждый пункт вышеприведенной последовательности, следует постоянно проверять: правильно ли вписаны данные.
Программа-антивирус не позволяет открыть порт
Особенно лицензионные программы-антивирусы слишком скрупулезно проверяют все нововведения на компьютере. И открытие порта — доступ для постороннего устройства — может считаться как угроза.
Понять, что порт не дает открыть именно антивирус, достаточно просто. Сама программа известит об этом пользователя. Решить проблему ненамного сложнее — достаточно на время «проброса портов» отключить антивирус. И обратно включить его, когда все необходимые операции будут выполнены.
Заполнение таблицы после проброса портов
Как правило, к заполнению таблицы прибегают, чтобы распределить порты и упростить работу маршрутизатора. Состоит она из нескольких колонок:
- «Service Ports». Предназначена для наименования порта. Можно вписывать любые параметры.
- «IP Address». Постоянный адрес стационарного устройства. Для него и открывают порты в раздающем приборе.
- «Protocol». В этой колонке отображаются доступные протоколы. Выбирается любой, но если нет уверенности, то лучше выставить команду «ALL».
- «Status». Отображает текущее состояние порта — активен или отключен.
- «Modify». Колонка показывает дополнительные пути и кастомные параметры. Рекомендуется заполнять только продвинутым пользователям.
После ввода необходимых данных рекомендуется сохранить параметры. Для этого можно воспользоваться двумя методами:
- Нажать на соответствующую клавишу в интерфейсе.
- Сохранить на компьютер или мобильное устройство файл с расширением «ini».
Как открыть порты у роутера TP-Link? (зелёный интерфейс)
Обновлено04-22-2021 10:04:01 AM 815972
В данной инструкции рассматривается настройка роутера на примере модели TL-WR740N.
Проброс портов используется преимущественно для: — веб-серверов (почтовых, игровых или любых других); — управления домашними/офисными IP-камерами; — удалённого рабочего стола домашнего/офисного ПК.
Перед настройкой данной функции вам понадобится: — Войти в веб-интерфейс роутера (подробнее). — Узнать номера портов и протокол — если это камера видеонаблюдения или настройка игрового либо почтового сервера, то номера необходимых портов и протокол должны быть указаны в документации к устройствам, либо на сайте разработчика оборудования или игровых либо почтовых приложений.
Если вам уже удалось открыть веб-интерфейс роутера и вам известны данные о номерах портов и протоколы, следуйте инструкции ниже.
1. В меню настроек роутера перейдите в раздел DHCP — Резервирование адресов (Address Reservation). Нажмите кнопку Добавить (Add New).
2. В появившемся окне укажите MAC-адрес устройства, для которого вы будете открывать порт (для ПК или камеры). Затем укажите постоянный IP-адрес, который роутер будет выдавать этому устройству.
Скорее всего, ваш роутер уже выдал IP-адрес локальным устройствам. Их МАС-адрес также можно узнать через меню роутера. Вы можете скопировать эти адреса.
IP- и MAC-адреса уже подключённых устройств можно посмотреть в таблице раздела DHCP — Список клиентов DHCP (DHCP Client List)
3. В меню настроек роутера выберите раздел Переадресация (Forwarding) — Виртуальные серверы (Virtual Servers). Затем нажмите кнопку Добавить (Add New).
4. В поле Порт сервиса (Service port) укажите номер порта, который вы хотите открыть, а в поле IP-адрес — IP-адрес устройства, для которого вы открываете этот порт.
Используйте тот же адрес, который вы указывали при резервации во втором шаге.
В поле Протокол (Protocol) выберите одно из значений ( TCP , UDP или ALL ) в зависимости от вашей задачи, а в поле Состояние (Status) укажите Включено (Enabled). Поле Внутренний порт (Internal Port) можно оставить пустым, если мы открываем один порт. Запросы, приходящие на номер сервисного порта, уйдут на аналогичный номер внутреннего порта. Если необходимо получать запросы на один номер порта, а направлять — на другой, то укажите этот внутренний порт в зависимости от вашей задачи.
5. Нажмите кнопку Сохранить (Save), чтобы сохранить сделанные изменения. Запись появится в таблице.
На этом настройка функции перенаправления портов завершена.
Сервисы для проверки открытых портов
Общее число путей, по которым происходит передача информации — 65536. Наиболее часто используемые для почтовых сервисов, HTML, MS SQL, IMAP, SMTP – от 0 до 1023. Среди них есть каналы, которые чаще всего применяют для пиратского входа. Открывать их небезопасно, слишком высок риск хакерской атаки. Поэтому, когда в сети встречается вопрос — для чего на роутере открыт 22 порт, опытные пользователи рекомендуют закрыть его и определять для проброса пути из более высокого диапазона (от 49152).
Каналы с нумерацией от 1024 до 49151 резервируются под специальные потоки ПО. Остальные пути называют динамическими и могут использоваться для любых целей.
Чтобы проверить, есть на роутере открытые порты и защитить систему от удаленной атаки, разработаны специальные онлайн-приложения, большинство из которых бесплатные для пользователя. Некоторые программы требуют введения номера порта для диагностики, другие тестируют наиболее часто используемые каналы.
Заполнение таблицы после проброса портов
Как правило, к заполнению таблицы прибегают, чтобы распределить порты и упростить работу маршрутизатора. Состоит она из нескольких колонок:
- «Service Ports». Предназначена для наименования порта. Можно вписывать любые параметры.
- «IP Address». Постоянный адрес стационарного устройства. Для него и открывают порты в раздающем приборе.
- «Protocol». В этой колонке отображаются доступные протоколы. Выбирается любой, но если нет уверенности, то лучше выставить команду «ALL».
- «Status». Отображает текущее состояние порта — активен или отключен.
- «Modify». Колонка показывает дополнительные пути и кастомные параметры. Рекомендуется заполнять только продвинутым пользователям.
После ввода необходимых данных рекомендуется сохранить параметры. Для этого можно воспользоваться двумя методами:
- Нажать на соответствующую клавишу в интерфейсе.
- Сохранить на компьютер или мобильное устройство файл с расширением «ini».
Возможные проблемы при пробросе портов и их решение
Иногда при проверке работоспособности добавленных портов пользователь попадает из интернета в панель администрирования роутера, а не на нужный сервис или приложение на компьютере. Почему так происходит? Причин может быть несколько:
- блокировка внешнего соединения брандмауэрами и антивирусными программами. Решается данная проблема отключением этих служб либо их тонкой настройкой, во время которой добавляются исключения на подсоединение к нужным портам;
- у компьютера нет постоянного адреса. В таком случае при старте или перезагрузке роутера IP-адрес ПК изменится, и открытый порт перестанет работать, поскольку изначально был привязан к другому адресу. Решение — присвоить компьютеру (ноутбуку, планшету) неизменяемый IP-адрес;
- политика провайдера. Не редки случаи, когда интернет-провайдер запрещает обладателям «серых» (внутренних) IP-адресов использовать некоторые порты, например, торрент-трекеров. Выход из данной ситуации — приобретение статичного «белого» адреса;
- изменение порта самим приложением или сервисом. Иногда программы-клиенты самостоятельно меняют порт при каждом запуске. Избежать этого можно, если прописать порт в настройках софта и запретить опцию «Случайный выбор порта».
В настройках программы uTorrent (раздел «Соединение») можно указать порт входящих соединений и запретить выбор случайного порта при запуске
Проброс портов
Независимо от типа подключения, роутер всегда получает конкретный IP-адрес, предоставляемый провайдером (он может быть динамическим, то есть меняться при каждом новом подключении, или статическим). Но конечные устройства (компьютеры, смартфоны, телевизоры, приставки) получают уже внутренний адрес, начинающийся с цифр «192.168.1» или «192.168.0». Это IP-адреса локальной сети, такая нумерация сделана для удобства. Проблема в том, что если извне кто-то попытается передать данные на конкретное устройство, то такая попытка окажется безуспешной, поскольку внешнему узлу известен адрес роутера, но не конечного устройства. В принципе такая ситуация встречается нечасто – например, при работе торрент-клиентов, при настройке IP-камер, когда нужно использовать FTP-соединения. Многие сетевые игры также требуют наличия конкретного IP, который спрятан за NAT.
Проблема решается посредством проброса портов. То есть роутеру нужно указать, что если приходит пакет, адресованный на определённый порт, его нужно сразу адресовать на конкретный локальный IP-адрес. Эта операция называется открытием портов (в англоязычном варианте – port forwarding).
Для этого вам нужно знать, какой именно порт открывать, а это уже зависит от конкретного приложения. В принципе имеется возможность переброски портов и в достаточно широком диапазоне, но это менее предпочтительный способ.
Универсального правила здесь нет. В популярном торрент-клиенте µTorrent, к примеру, нужный порт можно увидеть в настройках (вкладка «Соединение»), в сетевых многопользовательских играх ищите тоже в настройках.
Итак, какой порт пробросить, мы знаем, теперь переходим непосредственно к делу:
- заходим во вкладку «Интернет»;
- выбираем пункт «Переадресация портов»;
- устанавливаем селектор в положение «Да» напротив параметра «Включить переадресацию портов»;
- в поле «Список избранных серверов» имеется возможность выбора популярных сервисов, для которых проброс портов будет выполняться автоматически (тот же клиент BitTorrent или FTP-клиент);
- аналогичная возможность предоставляется для популярных игр (в поле «Список избранных игр», здесь присутствуют WOW, CS, Ageof Empires, Warcraft и др.);
- в поле «Имя службы» можно указать, для какой программы вы открываете порт, это чисто информационные данные;
- поле «Диапазон портов» предназначено для указания конкретного порта, если он известен, или диапазона портов (разделитель – двоеточие);
- важным также является поле «Локальный IP-адрес», здесь прописываем внутренний адрес устройства (например, 192.168.0.15);
- в поле «Локальный порт» указываем то же, что и в «Диапазоне портов»;
- в поле «Протокол» указываем тот протокол, который использует программа, для которой требуется проброс портов;
- жмём на плюсик, стоящий справа;
- кликаем по кнопке «Применить».
Остаётся только перезагрузить роутер, и все произведённые настройки начнут работать, а все входящие пакеты, предназначенные для запущенной программы или игры, будут перенаправляться на нужный компьютер.
Как открыть порты на Windows 10 и 7. Или привет любителям Майнкрафт
Привет любителям сетевых игр! Сейчас в продолжение темы про сетевые настройки поговорим о том, как открыть порты на Windows 10 и 7, на примере популярной игры под названием Майнкрафт (в оригинале Minecraft).
Итак, друзья, для того чтобы создать свой сервер в Майнкрафт, нужно обязательно открыть порт под номером 25565 на роутере. О том как это правильно сделать, я очень подробно рассказывал вам в прошлом посте. Кто еще не читал, пора бы это, наконец-то, сделать.
Но бывает такое, что все равно порт остается закрытым. Происходит так потому, что, скорее всего, стандартный брандмауэр продолжает блокировать соединение. Поэтому нужно экстренно внести соответствующие корректировки в список сетевых правил.
И надо сразу сказать, что делается это довольно легко, главное настроить встроенный брандмауэр Windows 10 и всего-то делов. Хотя и в “семерке” все действия будут практически одинаковыми. Поэтому прочитав эту статью, вы без особого труда сможете организовать все это дело и там. Так что давайте начинать, а то уже не терпится.
Первым делом жмем правой кнопкой мыши по значку “Пуск” и идем в “Панель управления”.
Находим там вкладку “Брандмауэр Windows”.
На следующем шаге есть возможность немножко схитрить. Чтобы не мучиться дальше с выставлением параметров и всего такого, в пункте “Включение и отключение брандмауэра Windows” можно вообще его отключить.
По логике раз сетевой экран уже бездействует, значит, порт тоже должен открыться. Так что осталось только проверить так ли это. Но лично я такой метод стопроцентно посоветовать вам не могу, поскольку, как-никак, это угроза вашей сетевой безопасности. Поэтому переходим в раздел “Дополнительные параметры”.
И следуем по пути “Правила для входящих подключений – Создать правило”.
Далее выбираем опцию “Для порта”. Хотя, например, можно попробовать указать вариант “Для программы”, чтобы прописав каталог расположения файлов ПО, разрешить все входящие соединения. Но мы следуем по более безопасному пути, поэтому выбираем первый вариант развития событий.
На следующем шаге выбираем протокол и, собственно, сам номер порта, который пытаемся открыть. Поскольку эта статья посвящается любителям игры Майнкрафт, то, естественно, его номер будет 25565.
В качестве очередного ликбеза по сетевой безопасности, особо строптивых сразу хочется уберечь от необдуманных поступков. Дело в том, что не стоит на горячую голову сразу активировать пункт “Все локальные порты”, чтобы ничего не прописывать руками.
Такими действиями вы создадите просто огромную дыру для проникновения на ваш компьютер злоумышленников и прочих нехороших программ. Ну а мы двигаемся дальше и “Разрешаем подключение” по выбранным портам.
Затем профилям сетей.
На завершающем шаге нужно придумать осмысленное имя только что созданному правилу, чтобы потом его можно было отыскать в бесконечном списке сетевых параметров брандмауэра Windows 10 и 7.
Ну вот и все, друзья, на картинке ниже можно увидеть финал нашего кропотливого труда. Кстати, если щелкнуть правой кнопкой мыши по названию правила, откроется дополнительное меню с выбором разных интересных действий.
Но это еще не все. Теперь нужно точно такое правило настроить для исходящих соединений. Думаю вы уже догадываетесь, как это можно сделать.
Только будьте очень внимательными при настройке выбора действия. Почему-то изначально брандмауэр предлагает “Блокировать подключение”. Это нам не нужно, поэтому ставим галочку напротив пункта “Разрешить подключение”.
В завершение добавлю немного дегтя в нашу бочку с медом. Бывает такое, что несмотря на все перечитсленные действия и настройки, порт все равно не открывается (кстати, о том как его проверить, я рассказывал в прошлой статье).
Причиной этому может послужить ваша антивирусная программа, в составе которой имеется свой брандмауэр. В таком случае нужно еще будет “поколдовать” с его правилами. Также, по некоторым техническим особенностям, открытие портов может быть заблокировано на уровне оборудования вашего провайдера. В таком случае сделать вряд ли что-то получится.
Настройка Port Forwarding в MikroTik
В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.
По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.
Настройка вкладки General
Нажимаем плюс и в появившемся окне заполняем несколько полей:
Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
Src. Address Dst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
Src
Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно. Dst
Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети. (В моем случае это 30000 т.к. я подменяю стандартный порт 3389 из мира.)
Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, в моем случае это WAN. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.
Настройка вкладки Action
В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:
- accept — просто принимает данные;
- add-dst-to-address-list — адрес назначения добавляется в список адресов;
- add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
- dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
- jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
- log — просто записывает информацию о данных в лог;
- masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
- netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat;
- passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
- redirect — данные перенаправляются на другой порт этого же роутера;
- return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
- same — редко используемая настройка один и тех же правил для группы адресов;
- src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).
Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.
В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов. В поле To Ports, соответственно, номер порта, к примеру:
- 80/tcp — WEB сервер,
- 22/tcp — SSH,
- 1433/tcp — MS SQL Server,
- 161/udp — snmp,
- 23/tcp — telnet
Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.
Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.
Привязка устройств по MAC-address
Такая привязка позволяет присвоить постоянный IP-адрес в локальной сети абоненту согласно MAC-адресу (физическому адресу) его сетевой карты. Это необходимо для того, чтобы DHCP маршрутизатора при каждом его включении не присваивал устройству в сети новый случайный IP. Таким образом, пользователю не приходится повторять все процедуры, связанные с прописыванием нового локального адреса. Он сохраняется за каждым устройством в сети постоянным.
В разделе интерфейса DHCP выбираем пункт «Резервирование адресов» и нажимаем в нем кнопку «Добавить». На новой странице копируем в поля значения резервируемого адреса требуемого устройства и его MAC-адреса, определенные при предварительных работах, из вкладки «Состояние» ПК. Проверяем клетку «Статус», в которой должна стоять отметка «Включено». Сохраняем скопированные данные и перезагружаем маршрутизатор.
Решение возможных проблем при пробросе портов
Не стоит забывать, что перебросив порт 80, который является стандартным для протокола HTTP, вы можете лишиться доступа к контрольной панели роутера. Во избежание такой ситуации необходимо предварительно изменить порт управления роутером, если вы собираетесь перебросить порт 80. Для этого зайдите в меню «Безопасность -> Удалённое управление» и в поле «Порт веб-управления» установите другое значение. В дальнейшем доступ к панели управления роутером вы сможете осуществлять с указанием нового порта. Например, если задан порт 777, открыть управление Wi-Fi роутером можно будет по адресу 192.168.0.1:777.
Брандмауэр
После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.
В настройки брандмауэра проще всего попасть двумя способами:
- Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
- Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш +<r>, поле поле открыть записываем команду и нажимаем “OK”.</r>
В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.
Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.
Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.
Выбираем тип правила “Для порта” и жмем далее.
Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.
С точки зрения безопасности, тут важно выбирать не все локальные порты, а именно указать нужный
Выбираем “Разрешить подключение”.
Указываем галочками профили.
Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.
После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.
Отключение брандмауэра
В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.
Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.
После проверки не забудьте включить брандмауэр.
- https://wifigid.ru/sovety-po-nastrojke-routerov/kak-otkryt-porty-na-routere
- http://winetwork.ru/nastrojka-routera/kak-otkryt-probrosit-porty-na-routere.html
- https://naseti.com/o-routerah/probros-portov.html