Кидок портів на роутері – це процедура, що дозволяє встановити прямий зв’язок між комп’ютером із зовнішньої мережі (наприклад, з інтернету) і пристроєм, що знаходяться у внутрішній мережі маршрутизатора. Завдяки цьому будь-який пристрій або програма, знає зовнішній IP-адресу вашого роутера і номери портів, які проброшены на ньому, може отримувати доступ з інтернету до відповідних пристроїв у мережі за маршрутизатором, наприклад, до комп’ютерів і ноутбуків в домашній «локалці». За умови, що це не заборонено налаштуваннями міжмережевого екрану (фаєрвола).
Малюнок 1. Схема локальної мережі
Існує безліч цілей і завдань, для реалізації яких необхідно призначити пробросы портів на роутері. Наприклад, для повноцінної роботи пірінгових клієнтів, можливості створення будь-яких інтернет-серверів – ігрових (змагання комп’ютерних гравців у режимі онлайн) WEB, FTP та інших. Якщо у вас не виходить організувати торрент-роздачу на BitTorrent трекері, або створену вами ігрову сесію «не бачать» інші віддалені гравці, значить, порт на роутері не проброшен. Проблема ускладнюється, якщо маршрутизатор знаходиться не в будинку і належить не вам, а провайдеру. Таке часто буває у користувачів виділеного широкосмугового доступу Ethernet, коли в квартиру проводиться лише кабель, а маршрутизатор надійно захищений від несанкціонованого проникнення. В цьому випадку питання про те, як прокинути порт, вирішується безпосередньо з вашим провайдером.
Що таке NAT і чим він заважає?
Малюнок 2. При підключенні до мережі через маршрутизатор комп’ютер знаходиться під NAT роутера.
Для тих же, хто має власний маршрутизатор, наприклад, для користувачів широкосмугового доступу ADSL, буде корисно дізнатися, як прокинути порт на роутері. Але спочатку з’ясуємо, чому без цієї процедури неможливий прямий доступ в локальну сітку ззовні. Справа в тому, що практично всі маршрутизатори працюють на основі технології NAT – це особливий мережевий механізм, службовець для перетворення IP-адрес пакетів даних, що проходять транзитом через міжмережевий екран або роутер.
Завдяки йому здійснюється поділ глобальної мережі на дві незалежні сегменти, кожен зі своїм адресним простором: зовнішнім («публічним») і внутрішнім («приватним»), що знаходяться під NAT. Створена за допомогою роутера «локалки» є внутрішньою мережею, де кожному комп’ютеру можна призначити свій унікальний IP, і це не викличе конфліктів або брак адрес у зовнішній мережі, оскільки зовнішнє і внутрішнє адресні простору незалежні один від одного.
Ззовні вся «локалки» буде видно під одним єдиним публічним IP, наданим конкретній маршрутизатора. Відповідно, внутрішнє адресний простір ззовні видно не буде, і всі приватні адреси, які користувач призначив комп’ютерів у своїй персональній сітці, для зовнішніх користувачів просто не будуть існувати – про них «знає» тільки роутер. (РИС. 1)
Навіщо необхідний кидок портів?
Технології маршрутизації з використанням NAT відмінно підходять для вирішення більшості повсякденних завдань рядових користувачів інтернету.
Малюнок 3. Для того, щоб увійти в меню конфігурацій роутера його необхідно запустити і підключити до комп’ютера.
Коли одному з комп’ютерів локальної сітки потрібен доступ до сервера в інтернеті (наприклад, для завантаження веб-сторінки в браузері), на його вимогу маршрутизатор з’єднується з сервером, використовуючи свій зовнішній IP, потім отримує і відправляє потрібні дані по внутрішньому адресою запитав їх комп’ютер. З боку сервера цей комп’ютер умовно «не існує», так як знаходиться під NAT роутера, і сервер може «спілкуватися» тільки з самим роутером за його публічному IP. (РИС. 2)
Такий механізм широко використовується провайдерами інтернету, оскільки має масу переваг:
Однак у деяких випадках основна перевага цього механізму – невидимість і недоступність внутрішніх комп’ютерів ззовні – обертається серйозною перешкодою. Для повноцінної роботи в пірингової мережі або в режимі сервера необхідно, щоб будь-який користувач інтернету міг вільно підключитися до комп’ютера. Можна зробити це, якщо комп’ютер знаходиться за маршрутизатором, тобто в його приватній мережі, і NAT приховує його від виявлення? Саме для цього і налаштовуються пробросы портів на роутері.
Принцип роботи переадресації портів
Малюнок 4. Після завершення налаштування віртуального сервера роутер потрібно перезавантажити.
Суть технології в тому, що роутер здійснює перенаправлення потоку даних для конкретних портів TCP/IP зі свого публічного адреси на приватний адресу певного пристрою в «локалці». Простіше кажучи, щоб отримати доступ ззовні на внутрішній адресу, досить звернутися за зовнішнім IP маршрутизатора на один з заданих портів, яка відповідає потрібному приватного адресою.
В пам’ять роутера для цього потрібно заздалегідь вписати таблицю відповідностей між визначеними портами і адресами, щоб він «знав», який трафік і на який комп’ютер відправляти. Така «таблиця» у багатьох маршрутизаторах називається «Віртуальний сервер», адже фізично сервер створюється на внутрішньому вузлі, але ззовні доступний з публічного IP і конкретним номером порту.
Існує два способи перекидання портів: автоматично (за допомогою UPnP) і вручну. Під час процедури перенесення вручну потрібно вибрати номери портів для кожної адреси, який повинен бути доступний з інтернету. Потім ці номери разом з публічним IP роутера повідомляються програмі-клієнту на іншій стороні з’єднання. Роутер, отримавши запит на свою адресу з відповідного порту TCP/IP, перенаправляє дані прямо до того пристрою, яке цього порту призначено у відповідність. При цьому приватний IP залишається невидимим, і жоден інший клієнт, який не знає номера порту, на нього не потрапить.
Як прокинути порт на маршрутизаторі?
Розглянемо приклад, як пробрасывают порт на роутері D-Link будь-якої моделі з прошивкою 1.4.Х або новіше. Ця процедура не сильно відрізняється у різних виробників і на різних моделях, тому дана інструкція цілком підійде під будь-який сучасний маршрутизатор з веб-інтерфейсом.
Малюнок 5. Налаштування роутера дозволяють задати як один, так і кілька портів.
Спочатку необхідно увійти в меню конфігурації роутера. Для цього він повинен бути запущений і підключений до комп’ютера. У рядку будь-якого інтернет-браузера вводимо внутрішній IP маршрутизатора, під яким він бачив у приватній локальній сітці. У нашому випадку це 192.168.0.1. У вікні авторизації в рядках «ім’я користувача» та «пароль» вводимо одне і те ж слово: admin. Насамперед розглянемо автоматичний кидок з допомогою майстра. Увійшовши в меню, шукаємо посилання «Майстер налаштування віртуального сервера» і натискаємо на неї. (РИС. 3)
На що відкрилася конфігураційної сторінці бачимо кілька полів. У полі «Шаблон» можна вибрати одну із вбудованих заготовок. Нижче вводиться будь-яке зручне ім’я. Далі потрібно вибрати інтерфейс, з яким пов’язаний наш віртуальний сервер. Потім вводиться приватний адресу вузла локальної мережі, для якого будуть відкриватися порти, і віддалений публічний адресу, якому буде дозволено доступ. Якщо поле «Віддалений IP» залишити порожнім, доступ буде відкритий для всіх. Зберігаємо налаштування і перезавантажуємо маршрутизатор. (РИС. 4)
Для установки сервера вручну необхідно зайти в розширені налаштування і вибрати «Віртуальні сервери», на сторінці тиснемо «Додати». Крім вже відомих з попереднього способу полів, бачимо 4 нових: зовнішні і внутрішні початкові/кінцеві порти. Потік даних з зовнішнього порту перенаправляється по внутрішньому порту на приватний адресу, вказану в полі «Внутрішній IP». За допомогою початкового і кінцевого номера можна встановити цілий діапазон портів. Якщо потрібно використовувати тільки один порт, заповнюємо поле «початковий» і залишаємо порожнім «кінцевий». Номер порту може бути будь-яким числом від 0 до 65535, рекомендується використовувати значення вище 49152. (РИС. 5)
