2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Проброс портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание.

Схема сети и описание сценария проброса портов

Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

схема проброса порта в NAT mikrotik

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download .

Для проброса портов в Mikrotik необходимо:

  • Запустить программу Winbox;
  • Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
  • В меню программы перейти IP > Firewall > вкладка NAT;
  • Нажать кнопку [+];
  • Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
  • Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.

Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Читайте так же:
Как настроить 20 каналов без приставки?

Лучшие методы для дополнительной безопасности RDP

Не разрешайте прямой доступ RDP клиентам серверам за пределами своей сетии

Открытие RDP (порт 3389) для сетей за пределами частной сети крайне не рекомендуется и является известным вектором для многих атак. Варианты ниже перечислены способы повышения безопасности, сохраняя при этом доступ к системе по протоколу RDP.

После настройки шлюза RDP узлы должны быть настроены так, чтобы разрешать RDP-соединения только от узла шлюза или подсетей компании там, где это необходимо.

Используйте шлюзы RDP

Настоятельно рекомендуется использовать шлюз RDP. Он позволяет жестко ограничить доступ к портам удаленного рабочего стола, одновременно поддерживая удаленные подключения через один сервер-шлюз.

При использовании сервера шлюза удаленных рабочих столов все службы удаленных рабочих столов на вашем рабочем столе и рабочих станциях должны быть ограничены, чтобы разрешить доступ только из шлюза удаленных рабочих столов. Сервер шлюза удаленных рабочих столов прослушивает запросы удаленного рабочего стола через HTTPS (порт 443) и подключает клиента к службе удаленного рабочего стола на целевой машине.

  1. Используйте службу шлюза RDP в компании. Это лучший вариант для разрешения доступа RDP к системе, относящейся к категории UC P2 и ниже. Включает интеграцию DUO. Служба шлюза RDP предоставляется командой Windows.
  2. Служба выделенного шлюза. Требуется для RDP-доступа к системам UC P4 или выше. Также должен быть настроен для DUO.

Некоторые компании используют VPS, управляемый IST, в качестве шлюза удаленных рабочих столов. По приблизительной оценке, 30–100 одновременно работающих пользователей могут использовать один шлюз удаленных рабочих столов. Hа на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако можно реализовать чуть более сложную реализацию шлюза удаленных рабочих столов с балансировкой сетевой нагрузки.

По сути, все, что необходимо — это простое изменение на расширенной вкладке RDP-клиента:

Подключение через шлюз удаленных рабочих столов

Рисунок 3 — Подключение через шлюз удаленных рабочих столов

Измените порт для удаленного рабочего стола

Изменение порта прослушивания поможет «спрятать» удаленный рабочий стол от злоумышленников, которые сканируют сеть в поисках компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto.

Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь это сделать, если вы не знакомы с реестром Windows и TCP / IP): HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp.

Измените порт прослушивания с 3389 на другой и не забудьте обновить все правила брандмауэра с новым портом. Хотя этот подход полезен, это безопасность посредством неизвестности, что не является самым надежным подходом к обеспечению безопасности.

Убедитесь, что вы также используете другие методы для ограничения доступа, как описано в этой статье.

Туннелируйте подключение к удаленному рабочему столу через IPSec или SSH

Если использование шлюза удаленных рабочих столов невозможно, вы можете добавить дополнительный уровень проверки подлинности и шифрования, туннелируя сеансы удаленного рабочего стола через IPSec или SSH. IPSec встроен во все операционные системы Windows, начиная с Windows 2000, но использование и управление в Windows 10 значительно улучшены . Если доступен SSH-сервер, вы можете использовать SSH-туннелирование для подключений к удаленному рабочему столу.

Как настроить порты Dameware для разрешения удаленных подключений

Dameware от SolarWinds — одно из наиболее полных программ для удаленного рабочего стола, которое вы можете использовать в своем бизнесе. Особенно, если вы ищете что-то для развертывания ИТ-поддержки и услуг, таких как установка программного обеспечения и исправлений, устранение неполадок компьютера и решение проблем. Его даже можно интегрировать в службу поддержки SolarWinds через Интернет, которая позволяет удаленно обращаться к вашим клиентским тикетам и запросам непосредственно из интерфейса службы поддержки.

Читайте так же:
Где трамвай имеет преимущество?

Как работают удаленные подключения Dameware

Чтобы инициировать удаленный сеанс, вам необходимо установить клиент Dameware на свой компьютер, а затем установить агент клиента на удаленном компьютере. Затем вам также необходимо настроить три серверных компонента, которые входят в установочный пакет. Конечно, вы можете развернуть Dameware в автономном режиме, и тогда вам не придется устанавливать серверные компоненты. Но все это зависит от типа и размера вашей организации. Если вас это немного сбивает с толку, вы можете проверить наш полный обзор службы удаленной поддержки Dameware, чтобы быть в курсе последних событий.

Итак, когда вы хотите подключиться к удаленному компьютеру, вы просто вводите его IP-адрес в клиенте Dameware и отправляете запрос на подключение. Затем агент клиента на главном компьютере получит запрос, и вы сможете начать удаленный сеанс. Если вы подключаетесь к компьютерам в своей сети, процесс очень прост. Однако, если удаленный компьютер находится в другой сети, вы не сможете связаться с ним, пока не откроете определенные порты на их маршрутизаторах. Агент клиента Dameware использует порты 6129, 6130, 6132 и 6133 для прослушивания входящих запросов на соединение, и эти порты наверняка будут закрыты для большинства маршрутизаторов.

Почему порты закрываются в первую очередь

Что ж, ваш роутер — это шлюз. Вы используете его для подключения к внешним сетям, включая Интернет, но его также можно использовать для доступа к вашей сети извне. Это серьезный риск, потому что если злоумышленники получат доступ к вашей сети, они могут украсть важные бизнес-данные. Чтобы избежать этого, маршрутизатор действует как брандмауэр и имеет только несколько открытых портов, позволяющих вам получить доступ к Интернету. Для большинства других подключений, которые вы, возможно, захотите запустить, вам нужно будет вручную открыть порты. Включая удаленные подключения Dameware, к которым мы обращаемся.

Все важные порты Dameware и почему они должны быть открыты

Порт 443 (HTTPS) — это порт, который Dameware Internet Proxy использует для связи с Mini Remote Control и агентом клиента на машине конечного пользователя. Это порт, который используется для передачи запросов интернет-сеанса. Кроме того, если на конечном компьютере не установлен клиентский агент Dameware, то это порт, который будет использоваться для загрузки необходимых компонентов.

Порт 6129 (порт удаленного управления Dameware Mini) — это порт, который агент клиента Dameware на главном компьютере использует для прослушивания входящих запросов удаленного подключения.

Порт 6130 (порт связи мобильного шлюза) — это порт, который сервер мобильного шлюза использует для прослушивания входящих запросов от мобильного клиента, чтобы он, в свою очередь, мог пересылать запрос агенту клиента на главном компьютере.

Порт 6132 — этот порт является двунаправленным и используется для передачи данных интернет-сеанса между Dameware Mini Remote и интернет-прокси Dameware.

Порт 6133 (сервисный порт Dameware) — этот порт также является двунаправленным и используется компонентами Dameware Server для связи друг с другом.

Если у вас есть знания о перенаправлении портов, это может быть вся необходимая информация. Если нет, то оставайтесь здесь, пока мы пройдем пошаговый процесс открытия портов на вашем маршрутизаторе, а также на вашем брандмауэре.

Читайте так же:
Сколько надо залить масла в коробку?

Как перенаправить порт на маршрутизаторе, чтобы разрешить удаленные подключения

Процесс будет отличаться в зависимости от маршрутизатора, поэтому воспринимайте это как общее руководство. Я постараюсь выделить, как этот процесс зависит от некоторых распространенных маршрутизаторов, но если ваш маршрутизатор не упоминается, вы все равно можете использовать свою интуицию, чтобы руководство работало.

Шаг 1. Войдите в веб-интерфейс вашего роутера.

Для этого откройте предпочтительный браузер, введите IP-адрес маршрутизатора в адресной строке и нажмите клавишу ВВОД. Большинство маршрутизаторов используют 192.168.0.1 или 192.168.1.1 в качестве своих IP-адресов, но если они вам не подходят, вы можете выполнить быструю проверку через командную строку.

Если вы используете Windows, откройте командную строку и используйте команду ipconfig. Появится ряд параметров, среди которых вы увидите шлюз по умолчанию. Это адрес вашего роутера.

Как проверить свой шлюз по умолчанию

Если вы используете компьютер Mac, откройте Терминал и используйте команду netstat –nr, а если вы снова используете Linux, откройте терминал и затем используйте команду ip route | grep по умолчанию.

Вход в D-Link

Теперь вы должны быть на странице входа в систему вашего роутера, где вам будет предложено ввести данные для входа. Опять же, эти детали будут отличаться в зависимости от маршрутизатора. Для маршрутизаторов D-Link и Belkin используйте Admin в качестве имени пользователя, а затем оставьте поле пароля пустым. Если вы используете Linksys, Asus, DrayTek, TP-Link или маршрутизатор TRENDnet, используйте admin в качестве имени пользователя и пароля. Для других типов маршрутизаторов выполните поиск в Интернете, чтобы установить данные для входа по умолчанию.

Шаг 2. Настройте порты

Но сначала вам нужно будет найти настройки переадресации портов. В моем случае я использую маршрутизатор D-Link, поэтому я просто перейду к расширенным настройкам, и опция будет доступна как Advanced Port Forwarding Rules. Для других вариант может быть доступен как виртуальный сервер, в то время как другие будут откровенно отмечены как переадресация портов. Если у него есть оба варианта, вы можете использовать любой из них.

Кроме того, для некоторых маршрутизаторов, таких как Linksys, этот параметр будет доступен не в разделе «Расширенная настройка», а в разделе «Приложения и игры». Я включил скриншоты для большинства основных маршрутизаторов.

Перенаправление портов маршрутизатора Asus

Перенаправление портов маршрутизатора Linksys

Перенаправление портов NETGEAR

Belkin Port Forwarding

Вы прибыли в секцию переадресации порта. Следующим шагом является заполнение обязательных полей, которые практически одинаковы для каждого маршрутизатора. Это; имя службы / имя порта, номер порта, используемый протокол (TCP / UDP) и, конечно же, внутренний IP-адрес, на который вы пересылаете.

Настройка портов Dameware на D-Link

Как только детали будут заполнены, сохраните настройки, и все готово. Обязательно отметьте кнопку включения, если она есть. Теперь порты должны быть открыты, если они не заблокированы встроенным брандмауэром компьютера. В этом случае вам нужно будет выполнить следующие шаги.

Как включить переадресацию портов в брандмауэре Windows

1. Откройте панель управления, перейдите в раздел «Система и безопасность» и откройте брандмауэр Защитника Windows. Или просто выполните поиск по брандмауэру в строке поиска, и он все равно приведет вас туда.

Открытие брандмауэра Windows

2. Перейдите к расширенным настройкам и на левой панели вы увидите параметр «Правила для входящих подключений». Щелкните его правой кнопкой мыши и выберите параметр «Новое правило». Или же перейдите к панели «Действия» в правой части окна и нажмите «Новое правило». Вам будет предложено выбрать тип правила, которое вы хотите создать, и в нашем случае вам нужно щелкнуть порт, а затем Далее.

Читайте так же:
Как подключить интернет через телефон к компьютеру через USB?

Перенаправление портов в брандмауэре Windows

3. Введите номера портов, которые вы хотите разрешить. Но сначала укажите, применяется ли правило к соединениям TCP или UDP. Dameware Remote Support использует TCP-соединение.

Брандмауэр Windows для перенаправления портов

При перечислении количества портов, как в нашем случае, разделяйте их запятыми. Или вы можете использовать опцию диапазона, где вместо перечисления количества последовательных портов вы просто указываете диапазон. Например, вы можете использовать 500-512 вместо перечисления всех портов между ними.

4. Выберите параметр Разрешить подключение на следующей вкладке и установите все флажки, когда будет предложено выбрать, где применяется правило. Затем дайте правилу имя и завершите процесс. И все готово. Чтобы удалить правило, щелкните его из списка правил в средней панели, а на правой панели вы увидите параметр удаления.

Перенаправление портов брандмауэра Windows

На этом этапе вы должны иметь возможность успешно инициировать удаленное соединение с компьютерами за пределами вашей внутренней сети. Однако есть еще один шаг, о котором многие забывают, но один очень важный. Я говорю об изменении внутреннего IP-адреса, на котором вы перенаправили порты с динамического на статический.

Если вы используете DHCP для назначения IP-адресов своим устройствам, то в какой-то момент он назначит новый адрес удаленному компьютеру. Это означает, что вам придется снова пройти весь процесс переадресации портов, используя новый адрес. Этот следующий шаг предназначен для того, чтобы IP-адрес удаленного компьютера не изменился через некоторое время.

Как назначить статический IP-адрес вашему устройству

Назначение статического IP-адреса можно выполнить двумя способами. Первый — через интерфейс маршрутизатора, который идеально подходит для таких устройств, как камеры и игровые консоли, у которых отсутствует прямой способ взаимодействия с их прошивкой и программным обеспечением. Но если вы назначаете IP-адрес компьютеру, вы можете сделать это прямо из его интерфейса. Это проще, и мы будем использовать этот метод. Но сначала вам понадобится некоторая информация, которую вы получите из командной строки.

1. Откройте командную строку, введите команду ipconfig / all и запишите следующую информацию. Ваш IPv4-адрес, маска подсети, шлюз по умолчанию и DNS-серверы.

Командная строка ipconfig all

2. Откройте панель управления, перейдите в раздел «Сеть и Интернет» и нажмите «Центр управления сетями и общим доступом». Как только это будет сделано, нажмите на опцию «Изменить настройки адаптера» на левой панели.

Изменение настроек адаптера

3. Щелкните правой кнопкой мыши параметр Ethernet и перейдите в свойства. В перечисленных элементах найдите параметр с надписью «Протокол Интернета версии 4 (TCP / IPv4)», выберите его и нажмите «Свойства».

Открытие портов в брандмауэре Windows

4. Заполните информацию, которую вы собрали на шаге 1, в соответствующие поля и затем нажмите OK.

Что такое порт компьютера

Порт – это виртуальное дополнение к сетевому адресу, которое позволяет разделить запросы разных приложений и обрабатывать их автономно. Часть постоянно занята системными службами Windows или другой операционки, остальные свободны для использования прикладными программами, в том числе запускаемыми на удаленных серверах.

Проверка порта на доступность

  1. Иногда порты путают с разъемами на материнской плате (формально они и являются ими, но там речь идет о подключении физических устройств).
  2. Общее количество портов составляет 65535. Они имеют определенное назначение, например, 20-21 «по умолчанию» используется для соединения по FTP, а 110 выделен под почтовый протокол POP3.
  3. Сочетание IP-адреса и порта принято называть сокетом или файловым дескриптором, при помощи которого программа передает данные.
Читайте так же:
Что такое полиуретановый лак?

Перед подключением к какому-либо порту рекомендуется проверить, свободен ли он. Если нет, то операционная система выдаст ошибку, и соединение прервется. Многие программы делают проверку в автоматическом режиме и сами пытаются менять номера в поиске незанятого подключения. Но в ряде случаев это требуется сделать вручную, например, при отладке собственного кода.

Номера портов

И так товарищ, ты теперь почти просветлел и понял – что же такое порт. Теперь же давайте поговорим про понятие «номер порта». Как я уже и говорил, в каждом компьютере, сервере, маршрутизаторе существует ровно 65 535 портов. Конечно, используются они не все и есть свободные «адреса».

С 0 до 1023-го – это зарезервированные «квартиры» для систем как Windows, так и Linux. Насчет Mac OS сказать не могу, с данной ОС не работал. Далее с 1024 по 49151 идут свободно используемые входы. То есть их могут использовать отдельные приложения, утилиты или даже системные службы. Некоторые программы могут одновременно использовать один и тот же номер.

Остальные порты, можно сказать – находятся в свободном полете и могут использоваться или не использоваться по усмотрению ОС или пользователя. Запоминать тот или иной номер бессмысленно, потому что их очень и очень много. Например, очень часто для игр на домашних роутерах нужно открыть дополнительные номера. Но запоминать, к какой именно игре используется тот или иной номер, смысла нет.

Но со временем за определенными портами закрепились отведенные службы. Вот пример нескольких из них:

  • 20, 21: FTP
  • 22: SSH
  • 23: Telnet
  • 25: SMTP
  • 43: WHOIS
  • 53: DNS
  • 67, 68: DHCP
  • 80: HTTP (Веб-port)
  • 110: POP3
  • 113: аутентификация в IRC
  • 143: IMAP
  • 161: SNMP
  • 194: IRC
  • 389: LDAP
  • 443: HTTPS
  • 587: SMTP
  • 631: CUPS

Чаще всего обычный пользователь не задумывается о пробросе, открытии или закрытии портов. Этим занимается сама операционная система, а в частности Брандмауер. Также при установке приложений, игр и утилит, которые используют интернет или сетевое подключения, они сами прописывают при инсталляции настройки по использованию тех или иных входных номеров. Некоторые программы используют сразу несколько.

ПРИМЕЧАНИЕ! Портовая конфигурация также есть у роутеров и провайдера.

Выводы

Используя СОМ-сервер в сочетании с устройством управления питанием Power over NET и KVM over IP, можно построить многофункциональную распределенную систему, предназначенную для удаленного администрирования сетевых ресурсов, причем основной особенностью такой схемы станет возможность централизованного управления всеми ее узлами.

Кроме того, это решение позволит упростить многие нетривиальные процедуры, обычно требующие присутствия персонала, продлить ресурс оборудования (и не только за счет грамотного его использования), оптимизировать список выполняемых функций и даже улучшить пожаробезопасность – ведь в заполненном инертным газом герметичном помещении искрообразование и возгорание невозможны. Впрочем, сфера использования подобных устройств не исчерпывается серверными решения – СОМ-сервер можно задействовать и для управления технологическими процессами, мониторинга средств телеметрии или создания испытательных стендов. Единственное, что остается порекомендовать, – применять дополнительные средства для защиты трафика управления: протоколы IPSec, L2TP или OpenVPN.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector