2gusia (2gusia) wrote,
2gusia
2gusia

Category:

Доступ из Интернет 2 - проброс портов

В прошлый раз мы настроили DDNS и теперь в любой момент можно узнать, какой IP адрес нашему роутеру дал провайдер. Но IP один, а сервисов и компьютеров в локальной сети много. Как до них добраться?


(Пробежимся по теории.) Для этой цели протоколы TCP/IP поддерживают специальный параметр, порт. На пальцах можно объяснить TCP/IP порт как номер почтового ящика. В одном доме можно установить множество независимых почтовых ящиков, на одном IP адресе можно независимо адресовать множество портов. Чтобы обратиться к конкретному порту, его надо указать после IP адреса через двоеточие, например 95.127.34.125:8080

Некоторые номера портов стандартизованы, ср. Но, если вы обращаетесь к локальным ресурсам из столь небезопасного места как Интернет, хорошая идея - использовать нестандартные номера портов.

Проброс портов (port forwarding) - это привязывание к порту на публичном IP адреса в локальной сети (IP:порт). Смотрим на рисунок

217.202.89.4 - наш публичный IP. В локальной сети два компьютера, только на первый из которых (192.168.0.1) мы хотим передавать пакеты из Интрернет. Для этого вы связали с ним порт 6881. На анимации видно, что пакет (зелёный) с правильным IP и правильным 6881 портом роутер пропускает на локальный компьютер. Пакет (жёлтый) с неверным портом роутер отбрасывает. А если мы пошлём из Интернет пакет на локальный IP адрес 192.168.0.1, то пакет (красный) просто не дойдёт до роутера.

Практика. Очень простая. Проблема только в том, что у каждого роутера это простое соответствие указывается чуть по-своему.
На моём роутере, как и на большинстве, порты можно пробрасывать через веб гуй.
1) Я создал вот такое правило переадресации
port_fwd
Здесь TM - произвольное имя. TM - потому, что у меня это ТоррентМонитор
8082 - нестандартный порт, по которому будем обращаться из Интернет
192.168.1.54 - локальный IP, по которому доступен вебгуй торрентмонитора.
8080 - его локальный порт

2) После применения такого правила мы можем обращаться к этому сервису из Интернет (DDNS, напомню, мы настроили прошлый раз)
Набираем в строке браузера
vasiapupkin.no-ip.info:8082
(понятно, вместо vasiapupkin пишете имя своего хоста)

Работать должно как из локальной сети (что не интересно), так и из глобальной (с работы, если сисадмин не запретил, от соседа или по мобильному интернет). Должен появиться запрос пароля торрентмонитора. Вводит его НЕ СТОИТ,

3) Убедившись, что всё работает, УДАЛИТЕ ПРАВИЛО из п 1. Мы упражнялись на кошках, в реальной жизни доступ из Сети к веб-интерфейсам - исключительно стрёмная практика. Пароли часто передаются в открытую и подслушать их - задача для пионера. Особенно глупо было бы пробросить доступ к вебгую nas4free или подобному локальному ресурсу - там есть где разгуляться кулхацкеру, и пароль вас не спасёт. Торрентмонитор у нас живёт в отдельном хорошо изолированном джейле, доступ вы даёте один раз на несколько секунд - так что опасности немного.

4) А в следующий раз мы развернём в джейле что-то полезное с доступом из Сети. Я пока выбираю между помещением в такой джейл OwnCloud, sFTP и лунапарком с блекджеком. И то и другое полезно и по сути своей должно торчать в Интеренет. Высказывать предпочтение (включая другие варианты) можно в комментах.

UPD от 27 авг 2013
Как быстро выяснилось, большинство провайдеров закрывают какие-то порты. Поэтому проброс на закрытый порт работать не будет.

Чтобы проверить порт есть множество сервисов, например portscan.ru Прежде чем пробрасывать порт, убедитесь, что он не заблокирован провайдером.

И ещё zlong_krsk в комментах подсказывает: "Не все домашние роутеры позволяют при пробросе менять номер порта. Т.е. если пришли на 8082, то и на внутренний сервер попадем на 8082, и никак иначе."
Если это ваш случай, то придётся у сервиса, который хотите выдать наружу, сразу конфигурировать нестандартный порт.
Tags: it, роутер, руками
Subscribe

  • Статья про SSD Apacer в NAS

    Сегодня после длительной борьбы с web-редактором IXBT Live (который оказался не совместимым с Google Docs), наконец, опубликовали мой опус про SSD,…

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 20 comments

  • Статья про SSD Apacer в NAS

    Сегодня после длительной борьбы с web-редактором IXBT Live (который оказался не совместимым с Google Docs), наконец, опубликовали мой опус про SSD,…

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…