การส่งต่อพอร์ตคืออะไรและจะตั้งค่าบนเราเตอร์ของคุณอย่างไร

หากคุณกำลังอ่านบทความนี้ขอแสดงความยินดี! คุณโต้ตอบกับเซิร์ฟเวอร์อื่นบนอินเทอร์เน็ตได้สำเร็จโดยใช้พอร์ต 80 และ 443 ซึ่งเป็นพอร์ตเครือข่ายแบบเปิดมาตรฐานสำหรับการรับส่งข้อมูลทางเว็บ หากพอร์ตเหล่านี้ถูกปิดบนเซิร์ฟเวอร์ของเรา คุณจะไม่สามารถอ่านบทความนี้ได้ พอร์ตปิดช่วยให้เครือข่ายของคุณ (และเซิร์ฟเวอร์ของเรา) ปลอดภัยจากแฮกเกอร์

พอร์ตเว็บของเราอาจเปิดอยู่ แต่พอร์ตของเราเตอร์ที่บ้านไม่ควรเป็น เพราะจะเป็นการเปิดช่องโหว่สำหรับแฮ็กเกอร์ที่ประสงค์ร้าย อย่างไรก็ตาม คุณอาจต้องอนุญาตการเข้าถึงอุปกรณ์ของคุณผ่านทางอินเทอร์เน็ตโดยใช้การส่งต่อพอร์ตเป็นครั้งคราว เพื่อช่วยให้คุณเรียนรู้เพิ่มเติมเกี่ยวกับการส่งต่อพอร์ต นี่คือสิ่งที่คุณจำเป็นต้องรู้

การส่งต่อพอร์ตคืออะไร?

การส่งต่อพอร์ตเป็นกระบวนการบนเราเตอร์เครือข่ายท้องถิ่นที่ส่งต่อความพยายามในการเชื่อมต่อจากอุปกรณ์ออนไลน์ไปยังอุปกรณ์เฉพาะบนเครือข่ายท้องถิ่น ต้องขอบคุณกฎการส่งต่อพอร์ตบนเราเตอร์เครือข่ายของคุณที่ตรงกับความพยายามในการเชื่อมต่อที่ทำกับพอร์ตที่ถูกต้องและที่อยู่ IP ของอุปกรณ์บนเครือข่ายของคุณ

เครือข่ายท้องถิ่นอาจมีที่อยู่ IP สาธารณะเพียงที่อยู่เดียว แต่อุปกรณ์แต่ละเครื่องในเครือข่ายภายในของคุณมี IP ภายในของตัวเอง การส่งต่อพอร์ตจะเชื่อมโยงคำขอภายนอกเหล่านี้จาก A (IP สาธารณะและพอร์ตภายนอก) ไปยัง B (พอร์ตที่ร้องขอและที่อยู่ IP ในเครื่องของอุปกรณ์บนเครือข่ายของคุณ)

เพื่ออธิบายว่าทำไมสิ่งนี้จึงอาจมีประโยชน์ สมมติว่าเครือข่ายในบ้านของคุณเป็นเหมือนป้อมปราการยุคกลางเล็กน้อย แม้ว่าคุณจะสามารถมองออกไปนอกกำแพงได้ แต่คนอื่นๆ จะไม่สามารถมองเข้าไปในหรือฝ่าฝืนการป้องกันของคุณได้—คุณปลอดภัยจากการถูกโจมตี

ด้วยไฟร์วอลล์เครือข่ายแบบบูรณาการ เครือข่ายของคุณอยู่ในตำแหน่งเดียวกัน คุณสามารถเข้าถึงบริการออนไลน์อื่นๆ เช่น เว็บไซต์หรือเซิร์ฟเวอร์เกม แต่ผู้ใช้อินเทอร์เน็ตคนอื่นๆ จะไม่สามารถเข้าถึงอุปกรณ์ของคุณได้เป็นการตอบแทน สะพานชักถูกยกขึ้น เนื่องจากไฟร์วอลล์ของคุณบล็อกความพยายามใดๆ จากการเชื่อมต่อภายนอกเพื่อเจาะเครือข่ายของคุณ

อย่างไรก็ตาม มีบางสถานการณ์ที่ไม่พึงปรารถนาระดับการป้องกันนี้ หากคุณต้องการเรียกใช้เซิร์ฟเวอร์บนเครือข่ายในบ้านของคุณ (เช่น ใช้ Raspberry Pi) จำเป็นต้องมีการเชื่อมต่อภายนอก

นี่คือที่มาของการส่งต่อพอร์ต เนื่องจากคุณสามารถส่งต่อคำขอภายนอกเหล่านี้ไปยังอุปกรณ์เฉพาะโดยไม่กระทบต่อความปลอดภัยของคุณ

ตัวอย่างเช่น สมมติว่าคุณกำลังเรียกใช้เว็บเซิร์ฟเวอร์ในพื้นที่บนอุปกรณ์ที่มีที่อยู่ IP ภายใน 192.168.1.12 ในขณะที่ที่อยู่ IP สาธารณะของคุณคือ 80.80.100.110 คำขอภายนอกไปยังพอร์ต 80 ( 80.90.100.110:80 ) จะได้รับอนุญาต ต้องขอบคุณกฎการส่งต่อพอร์ต โดยมีการรับส่งข้อมูลที่ส่งต่อไปยัง พอร์ต 80 ใน 192.168.1.12

ในการดำเนินการนี้ คุณจะต้องกำหนดค่าเครือข่ายของคุณเพื่ออนุญาตการส่งต่อพอร์ต จากนั้นจึงสร้างกฎการส่งต่อพอร์ตที่เหมาะสมในเราเตอร์เครือข่ายของคุณ คุณอาจต้องกำหนดค่าไฟร์วอลล์อื่นๆ ในเครือข่ายของคุณ รวมทั้งไฟร์วอลล์ Windows เพื่อให้รับส่งข้อมูลได้

ทำไมคุณควรหลีกเลี่ยง UPnP (การส่งต่อพอร์ตอัตโนมัติ)

การตั้งค่าการส่งต่อพอร์ตบนเครือข่ายท้องถิ่นของคุณไม่ใช่เรื่องยากสำหรับผู้ใช้ขั้นสูง แต่สามารถสร้างปัญหาทุกประเภทสำหรับมือใหม่ เพื่อช่วยแก้ปัญหานี้ ผู้ผลิตอุปกรณ์เครือข่ายได้สร้างระบบอัตโนมัติสำหรับการส่งต่อพอร์ตที่เรียกว่า UPnP (หรือ Universal Plug and Play )

แนวคิดเบื้องหลัง UPnP คือ (และคือ) เพื่ออนุญาตให้แอปและอุปกรณ์บนอินเทอร์เน็ตสร้างกฎการส่งต่อพอร์ตบนเราเตอร์ของคุณโดยอัตโนมัติเพื่ออนุญาตการรับส่งข้อมูลภายนอก ตัวอย่างเช่น UPnP อาจเปิดพอร์ตและส่งต่อทราฟฟิกโดยอัตโนมัติสำหรับอุปกรณ์ที่ใช้เซิร์ฟเวอร์เกมโดยไม่จำเป็นต้องกำหนดค่าการเข้าถึงด้วยตนเองในการตั้งค่าเราเตอร์ของคุณ

แนวคิดนี้ยอดเยี่ยม แต่น่าเศร้าที่การดำเนินการมีข้อบกพร่อง—หากไม่เป็นอันตรายอย่างยิ่ง UPnP เป็นความฝันของมัลแวร์ เนื่องจากจะถือว่าแอปหรือบริการใดๆ ที่ทำงานบนเครือข่ายของคุณโดยอัตโนมัตินั้นปลอดภัย เว็บไซต์แฮ็ค UPnP เผยจำนวนความไม่ปลอดภัยที่แม้ในปัจจุบันจะรวมอยู่ในเราเตอร์เครือข่าย

จากมุมมองด้านความปลอดภัย วิธีที่ดีที่สุดคือใช้ความระมัดระวัง แทนที่จะเสี่ยงต่อความปลอดภัยเครือข่ายของคุณ ให้หลีกเลี่ยงการใช้ UPnP สำหรับการส่งต่อพอร์ตอัตโนมัติ (และหากเป็นไปได้ ให้ปิดการใช้งานทั้งหมด) คุณควรสร้างกฎการส่งต่อพอร์ตด้วยตนเองสำหรับแอปและบริการที่คุณเชื่อถือและไม่มีช่องโหว่ที่ทราบ

วิธีการตั้งค่าการส่งต่อพอร์ตบนเครือข่ายของคุณ

หากคุณกำลังหลีกเลี่ยง UPnP และต้องการตั้งค่าการส่งต่อพอร์ตด้วยตนเอง คุณสามารถทำได้จากหน้าการดูแลระบบเว็บของเราเตอร์ หากคุณไม่แน่ใจว่าจะเข้าถึงข้อมูลนี้ได้อย่างไร โดยปกติแล้วคุณจะพบข้อมูลที่ด้านล่างของเราเตอร์หรือรวมอยู่ในคู่มือเอกสารของเราเตอร์

คุณสามารถเชื่อมต่อกับหน้าผู้ดูแลระบบของเราเตอร์ได้โดยใช้ที่อยู่เกตเวย์เริ่มต้นสำหรับเราเตอร์ของคุณ โดยทั่วไปคือ 192.168.0.1 หรือรูปแบบที่คล้ายกัน—พิมพ์ที่อยู่นี้ลงในแถบที่อยู่เว็บเบราว์เซอร์ของคุณ คุณจะต้องตรวจสอบสิทธิ์โดยใช้ชื่อผู้ใช้และรหัสผ่านที่ให้มากับเราเตอร์ของคุณ (เช่น admin )

การกำหนดค่าที่อยู่ IP แบบคงที่โดยใช้การสำรอง DHCP

เครือข่ายท้องถิ่นส่วนใหญ่ใช้การจัดสรร IP แบบไดนามิกเพื่อกำหนดที่อยู่ IP ชั่วคราวให้กับอุปกรณ์ที่เชื่อมต่อ หลังจากช่วงเวลาหนึ่ง ที่อยู่ IP จะได้รับการต่ออายุ ที่อยู่ IP ชั่วคราวเหล่านี้อาจถูกนำกลับมาใช้ใหม่และใช้ที่อื่น และอุปกรณ์ของคุณอาจมีที่อยู่ IP ในเครื่องที่แตกต่างกัน

อย่างไรก็ตาม การส่งต่อพอร์ตต้องการให้ที่อยู่ IP ที่ใช้สำหรับอุปกรณ์ในพื้นที่ยังคงเหมือนเดิม คุณสามารถกำหนดที่อยู่ IP แบบคงที่ได้ด้วยตนเอง แต่เราเตอร์เครือข่ายส่วนใหญ่อนุญาตให้คุณกำหนดการจัดสรรที่อยู่ IP แบบคงที่ให้กับอุปกรณ์บางอย่างในหน้าการตั้งค่าเราเตอร์ของคุณโดยใช้การจอง DHCP

ขออภัย ผู้ผลิตเราเตอร์แต่ละรายแตกต่างกัน และขั้นตอนที่แสดงในภาพหน้าจอด้านล่าง (สร้างโดยใช้เราเตอร์ TP-Link) อาจไม่ตรงกับเราเตอร์ของคุณ ในกรณีนี้ คุณอาจต้องดูเอกสารของเราเตอร์เพื่อรับการสนับสนุนเพิ่มเติม

ในการเริ่มต้น ให้เข้าถึงหน้าการดูแลระบบของเราเตอร์เครือข่ายของคุณโดยใช้เว็บเบราว์เซอร์และรับรองความถูกต้องโดยใช้ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบของเราเตอร์ เมื่อคุณลงชื่อเข้าใช้แล้ว ให้เข้าถึงพื้นที่การตั้งค่า DHCP ของเราเตอร์ของคุณ

คุณอาจสามารถสแกนหาอุปกรณ์ในพื้นที่ที่เชื่อมต่ออยู่แล้ว (เพื่อป้อนกฎการจัดสรรที่จำเป็นโดยอัตโนมัติ) หรือคุณอาจต้องระบุที่อยู่ MAC เฉพาะสำหรับอุปกรณ์ที่คุณต้องการกำหนด IP แบบคงที่ให้ สร้างกฎโดยใช้ที่อยู่ MAC ที่ถูกต้องและที่อยู่ IP ที่คุณต้องการใช้ จากนั้นบันทึกรายการ

การสร้างกฎการส่งต่อพอร์ตใหม่

หากอุปกรณ์ของคุณมี IP แบบคงที่ (ตั้งค่าด้วยตนเองหรือจองไว้ในการตั้งค่าการจัดสรร DHCP) คุณสามารถย้ายไปสร้างกฎการส่งต่อพอร์ตได้ ข้อกำหนดสำหรับสิ่งนี้อาจแตกต่างกันไป ตัวอย่างเช่น เราเตอร์ TP-Link บางตัวอ้างถึงคุณลักษณะนี้เป็น Virtual Servers ในขณะที่เราเตอร์ Cisco อ้างถึงโดยใช้ชื่อมาตรฐาน ( Port Forwarding )

ในเมนูที่ถูกต้องบนหน้าการดูแลเว็บของเราเตอร์ของคุณ ให้สร้างกฎการส่งต่อพอร์ตใหม่ กฎจะต้องใช้พอร์ต ภายนอก (หรือช่วงพอร์ต) ที่คุณต้องการให้ผู้ใช้ภายนอกเชื่อมต่อ พอร์ตนี้เชื่อมโยงกับที่อยู่ IP สาธารณะของคุณ (เช่น พอร์ต 80 สำหรับ IP สาธารณะ 80.80.30.10 )

คุณจะต้องกำหนดพอร์ต ภายใน ที่คุณต้องการส่งต่อการรับส่งข้อมูลจากพอร์ต ภายนอก นี่อาจเป็นพอร์ตเดียวกันหรือพอร์ตสำรอง (เพื่อซ่อนวัตถุประสงค์ของการรับส่งข้อมูล) คุณจะต้องระบุที่อยู่ IP แบบคงที่สำหรับอุปกรณ์ ในพื้นที่ ของคุณ (เช่น 192.168.0.10 ) และโปรโตคอลพอร์ตที่ใช้งาน (เช่น TCP หรือ UDP)

ขึ้นอยู่กับเราเตอร์ของคุณ คุณสามารถเลือกประเภทบริการเพื่อกรอกข้อมูลกฎที่จำเป็นโดยอัตโนมัติ (เช่น HTTP สำหรับพอร์ต 80 หรือ HTTPS สำหรับพอร์ต 443) เมื่อคุณกำหนดค่ากฎแล้ว ให้บันทึกเพื่อใช้การเปลี่ยนแปลง

ขั้นตอนเพิ่มเติม

เราเตอร์เครือข่ายของคุณควรใช้การเปลี่ยนแปลงกฎไฟร์วอลล์ของคุณโดยอัตโนมัติ ความพยายามในการเชื่อมต่อภายนอกกับพอร์ตที่เปิดควรส่งต่อไปยังอุปกรณ์ภายในโดยใช้กฎที่คุณสร้างขึ้น แม้ว่าคุณอาจต้องสร้างกฎเพิ่มเติมสำหรับบริการที่ใช้พอร์ตหรือช่วงพอร์ตหลายพอร์ต

หากคุณประสบปัญหา คุณอาจต้องพิจารณาเพิ่มกฎไฟร์วอลล์เพิ่มเติมในไฟร์วอลล์ของซอฟต์แวร์พีซีหรือ Mac (รวมถึงไฟร์วอลล์ Windows) เพื่อให้รับส่งข้อมูลได้ โดยปกติแล้ว Windows Firewall จะไม่อนุญาตให้มีการเชื่อมต่อภายนอก ดังนั้นคุณอาจต้องกำหนดค่านี้ในเมนูการตั้งค่า Windows

หาก Windows Firewall ทำให้คุณลำบาก คุณสามารถปิดการใช้งานชั่วคราวเพื่อตรวจสอบ อย่างไรก็ตาม เนื่องจากความเสี่ยงด้านความปลอดภัย เราขอแนะนำให้คุณเปิดใช้งาน Windows Firewall อีกครั้งหลังจากที่คุณแก้ไขปัญหา เนื่องจากเป็นการเพิ่มการป้องกันเพิ่มเติมจากการพยายามแฮ็คที่อาจเกิดขึ้น

การรักษาความปลอดภัยเครือข่ายภายในบ้านของคุณ

คุณได้เรียนรู้วิธีตั้งค่าการส่งต่อพอร์ตแล้ว แต่อย่าลืมความเสี่ยง แต่ละพอร์ตที่คุณเปิดจะเพิ่มช่องอื่นผ่านไฟร์วอลล์ของเราเตอร์ซึ่งเครื่องมือสแกนพอร์ตสามารถค้นหาและใช้ในทางที่ผิด หากคุณต้องการเปิดพอร์ตสำหรับแอพหรือบริการบางอย่าง ตรวจสอบให้แน่ใจว่าคุณจำกัดพอร์ตเหล่านั้นไว้ที่พอร์ตแต่ละพอร์ต แทนที่จะเป็นช่วงพอร์ตขนาดใหญ่ที่อาจละเมิดได้

หากคุณกังวลเกี่ยวกับเครือข่ายในบ้าน คุณสามารถเพิ่มความปลอดภัยเครือข่ายได้โดยการเพิ่มไฟร์วอลล์ของบริษัทอื่น นี่อาจเป็นซอฟต์แวร์ไฟร์วอลล์ที่ติดตั้งบนพีซีหรือ Mac ของคุณหรือไฟร์วอลล์ฮาร์ดแวร์ 24/7 เช่น Firewalla Gold ที่ต่ออยู่กับเราเตอร์เครือข่ายของคุณเพื่อปกป้องอุปกรณ์ทั้งหมดของคุณในครั้งเดียว