Пошаговое руководство для открытия портов в роутере от Ростелеком

В этой статье поговорим о том, как можно перенаправить трафик с IP адреса (белого) на другой IP адрес (серый) использую утилиту iptables.

Начальные данные

У нас имеется компьютер под управлением linux, выступающий в роли маршрутизатора с одним внешним интерфейсом enp0s3 для доступа в Интернет () и внутренним enp0s8 интерфейсом Локальной сети (10.0.7.1). Требуется пробросить tcp порт (2121) с белого ip-адреса на серый ip-адрес Локальной сети порт (21).

Чаще всего проброс трафика используется, если мы находимся в локальной сети и от внешнего мира отделены шлюзом. Для того, чтобы открыть доступ для локальных служб (ssh, web, ftp и т.д.), нам необходимо пробросить порты. Поскольку в качестве шлюза мы будем использовать сервер на Linux, то осуществлять данные действия будем с помощью утилиты iptables.

Предварительная настройка для переброски портов

Понятие порта является неким идентификатором, определяющим процесс или приложение, использующегося для работы на компьютере в локальной сети. Таким образом, порт — это не физическое понятие. По умолчанию, все порты на компьютере, имеющего доступ для выхода в интернет «Ростелекома», закрыты. Некоторые программы — Skype, uTorrent, использующие технологию UPnP, —  сами открывают те из них, что необходимы для работы. Для большинства используемых сетевых программ порт должен быть открыт абонентом «Ростелекома» вручную.

Предварительная настройка для переброски портов

Чтобы открыть порты на роутерах, нужно предварительно зайти в используемый ими интерфейс. Для этого в строку адреса браузера, открытого на компьютере, вводим цифровую комбинацию или Она зависит от модели роутера, взятого у «Ростелекома» в аренду. На открывшейся после нажатия клавиши Enter странице первоначальной авторизации, вводим в оба поля слово admin и выполняем команду «Вход». Должна открыться стартовая страница интерфейса используемого роутера от «Ростелекома».

Предварительная настройка для переброски портов

Если этого не произошло, необходимо проверить настройки сетевой карты компьютера. Ее разъем должен быть подключен патч-кордом к одному из LAN-портов маршрутизатора. При этом к порту WAN («Интернет») присоединен кабель провайдера «Ростелеком. Для доступа к настройкам одновременно нажимаем клавиши WIN+R на клавиатуре. В открывшуюся форму «Выполнить» вводим комбинацию и нажимаем кнопку OK.

Предварительная настройка для переброски портов

На открывшейся странице находим нужное соединение «Ростелеком» и кликаем по нему правой клавишей мыши. В списке меню выбираем пункт «Свойства». После выбора протокола 4 версии TCP/IP проверяем в его свойствах отметки автоматического получения адресов IP и DNS-серверов. В случае их отсутствия отмечаем требуемые пункты «галочками» и нажимаем трафарет OK.

Как включить проброс портов?

Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.

На моделях TP-Link это делается так:

  • Зайдите в меню роутера, введите в адресной строке браузера свой IP-адрес, авторизуйтесь (обычно для этого вводится значение Admin).
  • Выберите строку «Переадресация», включите данную функцию, если прежде она была не активирована.
Как включить проброс портов?

В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.

При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.

Настройка

Для начала откройте веб интерфейс роутера. Запустите браузер, в адресной строке введите адрес — , нажмите «Enter». Появится окно входа в устройство. Укажите логин — admin, пароль — admin, нажмите «Вход». Если возникла ошибка, есть отдельная статья по входу в роутер D-Link.

Настройка

Если открываете порт для компьютера, но не знаете его IP-адрес, зайдите в «Сеть» – «LAN». В «Статистический DHCP» нажмите на «Выберите IP/MAC адрес». Появится список всех устройств, подключенных к роутеру. В моем случае IP-адрес

Слева в меню выберите «Межсетевой экран» – «Виртуальные серверы». Стандартно все порты закрыты — нет ни одной строки, кроме шапки таблицы. Для открытия порта нажмите «Добавить».

Настройка

Выберите необходимые параметры, они зависят от цели проброса: для видеорегистратора, камеры, файлообменника, игры. Ниже отдельно опишу каждый:

  1. Шаблон — список готовых настроек. Если в нем есть то, что вам нужно, выберите этот пункт. Автоматические выставятся внешний и внутренний порты, протокол. В другом случае оставьте Custom.
  2. Имя — название настроек. Не влияет на конфигурацию. Используется в виде идентификатора для понимания, где, какой и для чего открыт порт.
  3. Интерфейс — определенный тип соединения, оставьте по умолчанию «Все».
  4. Протокол — если точно знаете, какой протокол вам потребуется — выбирайте его. В другом случае выставьте TCP/UDP.
  5. Внешний порт — порт, который нужно пробросить, на который приходит запрос. Если порт один, пропишите его в поле «Начальный». Если диапазон — заполните оба поля.
  6. Внутренний порт — порт, на который перенаправляются пакеты, идет трафик с внешнего порта. Заполните аналогично внешнему — «Начальный» для одного, «Начальный» и «Конечный» для диапазона.
  7. Внутренний IP — IP-адрес устройства для которого пробрасываете порт: компьютер, видеорегистратор, IP-камера. Устройство должно быть подключено к роутеру. Обычно оно находится в выпадающем списке. Выберите его, поле заполнится автоматически.
Настройка

Заполните обязательные поля, нажмите «Применить».

Читайте также:  Как заработать в Стиме – 10 лучших способов

Появится строка с указанными параметрами. В будущем можно нажать на нее, зайти внутрь для изменения настроек. Либо удалить, если потребуется закрыть порт — поставьте галочку напротив, нажмите «Удалить».

Настройка

После сохраните изменения. Нажмите на цифру сверху, затем на кнопку «Сохранить».

Для надежности перезагрузите роутер — наведите на «Система», нажмите «Перезагрузить».

Настройка

Есть вероятность, что при корректной настройке порт останется закрытым. Брандмауэр или антивирус могут блокировать доступ. Для теста отключите их на время, проверьте еще раз.

Вывод: описал алгоритм для открытия портов на DIR-615 в зависимости от цели — программа, сетевая игра, видеонаблюдение.

Настройка

Если не получилось настроить, возникли вопросы, напишите в комментариях, постараемся помочь.

Проброс портов

На шлюз приходит пакет, который мы должны перенаправить на нужный сервер в локальной сети перед принятием решения о маршрутизации, то есть — в цепочке PREROUTING таблицы nat.

iptables -t nat -A PREROUTING —dst $EXT_IP -p tcp —dport $SRV_PORT -j DNAT —to-destination $LAN_IP

Рассмотрим пример

iptables -t nat -A PREROUTING —dst 1.2.3.4 -p tcp —dport 80 -j DNAT —to-destination

Если входящий пакет пришёл извне на шлюз (1.2.3.4), но предназначен веб-серверу (порт 80), то адрес назначения подменяется на локальный адрес И впоследствии маршрутизатор передаст пакет в локальную сеть.

Дальше принимается решение о маршрутизации. В результате пакет пойдёт по цепочке FORWARD таблицы filter, поэтому в неё надо добавить разрешающее правило. Оно может выглядеть, например, так:

iptables -I FORWARD 1 -i eth0 -o eth1 -d $LAN_IP -p tcp -m tcp —dport $SRV_PORT -j ACCEPT

Рассмотрим пример

iptables -I FORWARD 1 -i eth0 -o eth1 -d -p tcp -m tcp —dport 80 -j ACCEPT

Пропустить пакет, который пришёл на внешний интерфейс, уходит с внутреннего интерфейса и предназначен веб-серверу (:80) локальной сети.

С одной стороны, этих двух правил уже достаточно для того, чтобы любые клиенты за пределами локальной сети успешно подключались к внутреннему серверу. С другой — а что будет, если попытается подключиться клиент из локальной сети? Подключение просто не состоится: стороны не поймут друг друга.

Допустим, — ip-адрес клиента внутри локальной сети.

  1. Пользователь вводит в адресную строку браузера адрес ;
  2. Сервер обращается к DNS и разрешает имя в адрес 1.2.3.4;
  3. Маршрутизатор понимает, что это внешний адрес и отправляет пакет на шлюз;
  4. Шлюз, в соответствии с нашим правилом, подменяет в пакете адрес 1.2.3.4 на , после чего отправляет пакет серверу;
  5. Веб-сервер видит, что клиент находится в этой же локальной сети (обратный адрес пакета — ) и пытается передать данные напрямую клиенту, в обход шлюза;
  6. Клиент игнорирует ответ, потому что он приходит не с 1.2.3.4, а с ;
  7. Клиент и сервер ждут, но связи и обмена данными нет.

Есть два способа избежать данной ситуации.

Первый — разграничивать обращения к серверу изнутри и извне, для этого создать на локальном DNS-сервере А-запись для указывающую на

Второй — с помощью того же iptables заменить обратный адрес должно быть добавлено после принятия решения о маршрутизации и перед непосредственной отсылкой пакета. То есть — в цепочке POSTROUTING таблицы nat.

iptables -t nat -A POSTROUTING —dst $LAN_IP -p tcp —dport $SRV_PORT -j SNAT —to-source $INT_IP

Рассмотрим пример

iptables -t nat -A POSTROUTING —dst -p tcp —dport 80 -j SNAT —to-source

Если пакет предназначен веб-серверу, то обратный адрес клиента заменяется на внутренний адрес мы гарантируем, что ответный пакет пойдёт через шлюз.

Надо дополнительно отметить, что это правило важно только для внутренних клиентов. Ответ внешним клиентам пойдёт через шлюз в любом случае.

Но, пока что, для нормальной работы этого недостаточно. Предположим, что в качестве клиента выступает сам шлюз.В соответствии с нашими предыдущими правилами он будет гонять трафик от себя к себе и представлять исходящие пакеты транзитными.

Исправляем это:

iptables -t nat -A OUTPUT —dst $EXT_IP -p tcp —dport $SRV_PORT -j DNAT —to-destination $LAN_IP

Рассмотрим пример

iptables -t nat -A OUTPUT —dst 1.2.3.4 -p tcp —dport 80 -j DNAT —to-destination

Теперь для удобства запилим скрипт, чтобы не прописывать правила каждый раз вручную.

#!/bin/bashEXT_IP=«» # внешний, реальный IP-адрес шлюза;INT_IP=«» # См. выше.EXT_IF=eth0 # Внешний и внутренний интерфейсы.INT_IF=eth1 # Для шлюза они вряд ли изменятся, поэтому можно прописать вручную.LAN_IP=$1 # Локальный адрес сервера передаём скрипту первым параметром,SRV_PORT=$2 # а тип сервера, в смысле какой порт (или набор портов) открывать — вторым# Здесь желательно сделать проверку ввода данных, потому что операции достаточно серьёзные.iptables -t nat -A PREROUTING —dst $EXT_IP -p tcp —dport $SRV_PORT -j DNAT —to-destination $LAN_IPiptables -t nat -A POSTROUTING —dst $LAN_IP -p tcp —dport $SRV_PORT -j SNAT —to-source $INT_IPiptables -t nat -A OUTPUT —dst $EXT_IP -p tcp —dport $SRV_PORT -j DNAT —to-destination $LAN_IPiptables -I FORWARD 1 -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp —dport $SRV_PORT -j ACCEPT

Теперь, чтобы обеспечить доступ извне к локальному FTP по адресу , достаточно набрать в консоли от имени супер-пользователя:

./ 20,21

Проброс портов на роутере Asus

Способ №1: проброс портов роутера Асус при помощи включения компонента UPnP.

Зайдите в настройки вашего маршрутизатора Asus, используя свой логин и пароль (если вы забыли свой логин и пароль от панели настроек – прочитайте статьи: как узнать пароль от своего Wi-Fi роутера, как сбросить настройки роутера на заводские и как зайти в настройки роутера). Затем зайдите в раздел «Wan», потом выберите в верхнем списке пункт меню «Интернет-соединение», поставьте галочку напротив «Включить UPnP?» и сохраните настройки (смотри картинку).

Проброс портов на роутере Asus

Способ №2: ручной способ!

  1. В разделе «LAN-DHCP Server» нам необходимо включить ручное назначение IP (Enable Manual Assignment), выбираем в поле ниже свой MAC-адрес (если к роутеру подключено несколько машин, свой MAC можно узнать на вкладке Карта Сети, нажав на кнопку «Клиенты», а после этого на кнопку «Обновить». Зная свой текущий IP, справа в таблице увидите и свой MAC адрес), затем следует указать желаемый IP.
  2.  Нажимаем на кнопку «Добавить», а после – нажимаем на кнопку «Применить» (смотри картинку).
  3. Далее переходим во вкладку «WAN-Virtual Server», затем в «Port Forwarding» и включаем опцию «Enable Port Forwarding» (Включить переадрессацию портов) – смотри картинку.
  4. Далее нам следует заполнить необходимые поля:

— Service Name (имя службы) — ни к чему не обязывающее имя «правила» перенаправления портов; — Port Range (диапазон портов) — диапазон портов (или 1 конкретный), С которых роутер будет перенаправлять входящие соединения; — Local IP (локальный IP) — локальный (внутри вашей сети) IP, НА который роутер будет перенаправлять входящие соединения с портов <Port Range>; — Local Port (локальный порт) — номер порта на машине с IP <Local IP> на который роутер будет перенаправлять соединения; — Protocol (протокол) — соединения какого типа следует отлавливать роутеру.

Проброс портов на роутере Asus

Все готово! Теперь вы знаете как пробросить порты на роутере самостоятельно.

Join @AdmNtsRu on TelegramСмотрите также:Mikrotik анонсировал RB941-2nD-TC: hAP lite с обновленным дизайномСравнение лицензий MikroTik RouterOSMikrotik выпустил новую версию RouterOS — удаленного доступа в маршрутизаторах Mikrotik

Проброс портов на роутере Asus

Проверка доступности порта

Открываем на компьютере командную строку (заходим Пуск – Все программы – Стандартные, либо Пуск – в строке поиска набираем cmd и нажимаем клавишу Enter).

После в окне вводим команду: “netstat -bn”. В ответ выйдет список из названия программы, адреса, номера порта и состояние соединения. Как правило, используются только три вида состояния: ESTABLISHED (соединение установлено), TIME_WAIT (в режиме ожидания) и SYN_SENT (попытка соединения).

Записываем и их. Эти порты уже в работе (заняты). Приступаем к основной нашей задаче.

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

Брандмауэр

В настройки брандмауэра проще всего попасть двумя способами:

  • Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
  • Выполнить “”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.
Брандмауэр

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Брандмауэр

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Брандмауэр

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

Выбираем “Разрешить подключение”.

Брандмауэр

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

Брандмауэр

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

Брандмауэр

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

Брандмауэр

После проверки не забудьте включить брандмауэр.

Технический блог специалистов ООО”Интерфейс”

Брандмауэр
  • Главная
  • Настраиваем проброс портов в Windows при помощи командной строки и Portproxy

Что такое проброс порта. Как пробросить порты на роутере

Перенаправление порта — это сопоставление определённого порта на внешнем интерфейсе роутера с определённым портом нужного устройства в локальной сети.

Перенаправление порта является одной из функций механизма NAT (трансляции сетевых адресов). Суть NAT заключается в использовании несколькими устройствами в локальной сети одного внешнего интерфейса.

Что такое проброс порта. Как пробросить порты на роутере

В домашних сетях внешний интерфейс — это WAN-порт роутера, а сетевые устройства — это компьютеры, планшеты и смартфоны.

А суть перенаправления заключается в том, чтобы предоставить доступ к какому-то устройству в сети из Интернета, используя какой-либо открытый порт роутера.

Как сделать проброс порта на шлюзе (роутере, модеме)

Что такое проброс порта. Как пробросить порты на роутере

Это то, что в народе называется «как открыть порт на роутере».

Допустим, есть задача предоставить доступ к удалённому рабочему столу компьютера, который подключён к Интернету через роутер. Для этого нужно создать правило перенаправления любого свободного порта WAN-интерфейса роутера на порт 3389 нужного компьютера.

3389 — это порт, который используется по умолчанию для приёма входящих подключений службы сервера удалённых рабочих столов.

Что такое проброс порта. Как пробросить порты на роутере

После создания такого правила и применения настроек на роутере запросы, поступившие на указанный внешний порт будут перенаправлены на 3389 нужного компьютера в сети.

Для этого на роутере необходимо зайти в настройки перенаправления портов и добавить правило.

Пример настройки перенаправления порта на роутере D-Link.

Что такое проброс порта. Как пробросить порты на роутере

1 Откройте раздел Advanced (Расширенные настройки).

2 Выберите настройку Port Forwarding (перенаправление портов).

3 Настройте правило перенаправления:

Что такое проброс порта. Как пробросить порты на роутере
  • Укажите любое удобное для вас имя правила;
  • Укажите номер публичного порта (или диапазон). Публичный порт — это тот, который будет открыт на роутере для доступа из Интернета через WAN-интерфейс. Если нужно открыть только один порт, укажите один и тот же порт и в качестве начального в диапазоне, и в качестве конечного.В нашем случае нам нужно открыть порт 3389, поэтому мы два раза указали его в верхней строке настроек.
  • Укажите IP-адрес компьютера (сервера) в локальной сети, на котором запущена служба, доступ к которой нужно предоставить. Рекомендуется зарезервировать IP-адрес для данного сервера в настройках DHCP-резервирования на роутере, чтобы он не поменялся в дальнейшем. Вместо этого также можно указать IP-адрес вручную в настройках сетевого адаптера на компьютере, проброс до которого вы будете делать на роутере.В нашем примере мы указываем внутренний серый IP-адрес , который принадлежит компьютеру с Windows Server 2008 с настроенным сервером удалённых рабочих столов.
  • Укажите порт для приёма входящих подключений на компьютере в локальной сети.В нашем случае на сервере для службы Сервер удалённых рабочих столов используется порт по умолчанию 3389.
  • Установите флажок слева для включения правила.

4 Нажмите Save Setting (Сохранить настройки)

Проверка работы перенаправления порта

Что такое проброс порта. Как пробросить порты на роутере

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Что такое проброс порта. Как пробросить порты на роутере

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес и указанный порт 3389)

Что такое проброс порта. Как пробросить порты на роутере

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Примечание

Что такое проброс порта. Как пробросить порты на роутере

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server.

Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление

Что такое проброс порта. Как пробросить порты на роутере

можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

Ручной способ переадресации

Выполнить проброс портов вручную немного сложнее, но этот способ считается более верным. При автоматической переадресации иногда возникает ситуация, когда роутер открывает доступ не для того устройства, и если вы хотите все контролировать в целях безопасности сети, то остановитесь на этом способе настройки. Есть один минус — переадресация перестанет работать, если поменять данные роутера, поэтому придётся заново вносить всю необходимую информацию.

Когда вы уже знаете, какой порт хотите открыть и делаете это для отдельной программы, например, торрента, выполните следующее:

Ещё нужен MAC-адрес компьютера, дабы по нему найти свой компьютер в списке всех устройств, подключённых к маршрутизатору.

Его вы узнаете при помощи таких действий:

Теперь настроим роутер на проброс портов. Прежде всего, в меню оборудования измените способ установки IP-адреса на статический, так как для открытия порта необходимо, чтобы он оставался неизменным.

Рассмотрим, как сделать переадресацию на моделях TP-Link, так как они наиболее востребованы среди провайдеров и их клиентов.

Вы связали вместе IP и MAC-адреса вашего компьютера, теперь осталось внести параметры для переадресации. Это делается так:

Теперь вы осведомлены в том, как делается проброс портов автоматически и вручную. Выбрать оптимальный вариант установки вы можете по своему усмотрению, а если что-то пойдёт не так, то всегда можно сбросить настройки и начать процесс сначала.

Источник