什麼是端口轉發以及如何在路由器上進行設置

已發表: 2021-05-23

如果你正在閱讀這篇文章,恭喜你! 您正在使用端口 80 和 443(用於 Web 流量的標准開放網絡端口)成功地與 Internet 上的另一台服務器進行交互。 如果這些端口在我們的服務器上被關閉,您將無法閱讀本文。 封閉的端口使您的網絡(和我們的服務器)免受黑客攻擊。

我們的網絡端口可能是開放的,但您的家庭路由器的端口不應該是開放的,因為這為惡意黑客打開了一個漏洞。 但是,您可能需要不時使用端口轉發允許通過 Internet 訪問您的設備。 為了幫助您了解有關端口轉發的更多信息,您需要了解以下內容。

目錄

    什麼是端口轉發?

    端口轉發是本地網絡路由器上的一個過程,它將連接嘗試從在線設備轉發到本地網絡上的特定設備。 這要歸功於網絡路由器上的端口轉發規則,該規則與對網絡上設備的正確端口和 IP 地址的連接嘗試相匹配。

    本地網絡可能有一個公共 IP 地址,但內部網絡上的每個設備都有自己的內部 IP。 端口轉發將這些外部請求從 A(公共 IP 和外部端口)鏈接到 B(請求的端口和網絡上設備的本地 IP 地址)。

    為了解釋為什麼這可能有用,讓我們假設您的家庭網絡有點像中世紀的堡壘。 雖然您可以向外看,但其他人無法查看或突破您的防禦——您可以免受攻擊。

    由於集成了網絡防火牆,您的網絡處於相同的位置。 您可以訪問其他在線服務,例如網站或遊戲服務器,但其他互聯網用戶無法訪問您的設備。 吊橋升起,因為您的防火牆會主動阻止來自外部連接的任何企圖破壞您的網絡。

    但是,在某些情況下,這種保護級別是不可取的。 如果您想在家庭網絡上運行服務器(例如使用 Raspberry Pi),則需要外部連接。

    這就是端口轉發的用武之地,因為您可以將這些外部請求轉發到特定設備,而不會影響您的安全性。

    例如,假設您在內部 IP 地址為192.168.1.12的設備上運行本地 Web 服務器,而您的公共 IP 地址為80.80.100.110 。 由於端口轉發規則,將允許對端口80 ( 80.90.100.110:80 ) 的外部請求,並將流量轉發到192.168.1.12上的端口 80

    為此,您需要將網絡配置為允許端口轉發,然後在網絡路由器中創建適當的端口轉發規則。 您可能還需要在網絡上配置其他防火牆,包括 Windows 防火牆,以允許流量。

    為什麼要避免使用 UPnP(自動端口轉發)

    在本地網絡上設置端口轉發對於高級用戶來說並不困難,但它會給新手帶來各種困難。 為了幫助克服這個問題,網絡設備製造商創建了一個名為UPnP (或通用即插即用)的端口轉發自動化系統。

    UPnP 背後的想法是(現在也是)允許基於 Internet 的應用程序和設備在您的路由器上自動創建端口轉發規則以允許外部流量。 例如,UPnP 可以自動為運行遊戲服務器的設備打開端口並轉發流量,而無需在路由器設置中手動配置訪問權限。

    這個概念很棒,但遺憾的是,執行是有缺陷的——如果不是非常危險的話。 UPnP 是惡意軟件的夢想,因為它會自動假定在您的網絡上運行的任何應用程序或服務都是安全的。 UPnP 黑客網站 揭示了即使在今天,網絡路由器也很容易包含的不安全因素的數量。

    從安全的角度來看,最好謹慎行事。 與其冒著網絡安全風險,不如避免使用 UPnP 進行自動端口轉發(並在可能的情況下完全禁用它)。 相反,您應該只為您信任且沒有已知漏洞的應用程序和服務創建手動端口轉發規則。

    如何在您的網絡上設置端口轉發

    如果您要避免 UPnP 並希望手動設置端口轉發,通常可以從路由器的 Web 管理頁面進行。 如果您不確定如何訪問它,通常可以在路由器底部或路由器文檔手冊中找到相關信息。

    您可以使用路由器的默認網關地址連接到路由器的管理頁面。 這通常是192.168.0.1或類似的變體 - 在 Web 瀏覽器的地址欄中輸入此地址。 您還需要使用路由器提供的用戶名和密碼進行身份驗證(例如admin )。

    使用 DHCP 保留配置靜態 IP 地址

    大多數本地網絡使用動態 IP 分配來為連接的設備分配臨時 IP 地址。 一段時間後,更新 IP 地址。 這些臨時 IP 地址可能會被回收並在其他地方使用,並且您的設備可能分配有不同的本地 IP 地址。

    但是,端口轉發要求用於任何本地設備的 IP 地址保持不變。 您可以手動分配靜態 IP 地址,但大多數網絡路由器允許您使用 DHCP 保留在路由器的設置頁面中為某些設備分配靜態 IP 地址。

    不幸的是,每個路由器製造商都不同,下面屏幕截圖中顯示的步驟(使用 TP-Link 路由器製作)可能與您的路由器不匹配。 如果是這種情況,您可能需要查看路由器的文檔以獲得更多支持。

    首先,使用網絡瀏覽器訪問網絡路由器的網絡管理頁面,並使用路由器的管理員用戶名和密碼進行身份驗證。 登錄後,訪問路由器的 DHCP 設置區域。

    您可能能夠掃描已連接的本地設備(以自動填充所需的分配規則),或者您可能需要為您希望為其分配靜態 IP 的設備提供特定的 MAC 地址。 使用正確的 MAC 地址和您希望使用的 IP 地址創建規則,然後保存條目。

    創建新的端口轉發規則

    如果您的設備具有靜態 IP(手動設置或在 DHCP 分配設置中保留),您可以移動以創建端口轉發規則。 這方面的條款可能會有所不同。 例如,一些 TP-Link 路由器將此功能稱為虛擬服務器,而 Cisco 路由器則以標準名稱(端口轉發)來稱呼它。

    在路由器 Web 管理頁面的正確菜單中,創建新的端口轉發規則。 該規則將需要您希望外部用戶連接的外部端口(或端口範圍)。 此端口鏈接到您的公共 IP 地址(例如,公共 IP 的端口8080.80.30.10 )。

    您還需要確定要將流量從外部端口轉發到的內部端口。 這可能是同一個端口或替代端口(以隱藏流量的目的)。 您還需要提供本地設備的靜態 IP 地址(例如192.168.0.10 )和使用的端口協議(例如 TCP 或 UDP)。

    根據您的路由器,您可能能夠選擇一種服務類型來自動填充所需的規則數據(例如端口 80 的HTTP或端口 443 的HTTPS )。 配置規則後,保存它以應用更改。

    附加步驟

    您的網絡路由器應自動將更改應用到防火牆規則。 對打開的端口進行的任何外部連接嘗試都應使用您創建的規則轉發到內部設備,儘管您可能需要為使用多個端口或端口範圍的服務創建額外的規則。

    如果您遇到問題,您可能還需要考慮向您的 PC 或 Mac 的軟件防火牆(包括 Windows 防火牆)添加額外的防火牆規則,以允許流量通過。 例如,Windows 防火牆通常不允許外部連接,因此您可能需要在 Windows 設置菜單中進行配置。

    如果 Windows 防火牆給您帶來困難,您可以暫時禁用它以進行調查。 但是,由於存在安全風險,我們建議您在解決問題後重新啟用 Windows 防火牆,因為它提供了針對可能的黑客攻擊的額外保護。

    保護您的家庭網絡

    您已經了解瞭如何設置端口轉發,但不要忘記風險。 您打開的每個端口都會在路由器防火牆之外增加一個漏洞,端口掃描工具可以找到並濫用該漏洞。 如果您需要為某些應用程序或服務打開端口,請確保將它們限制為單個端口,而不是可能被破壞的巨大端口範圍。

    如果您擔心家庭網絡,可以通過添加第三方防火牆來提高網絡安全性。 這可能是安裝在您的 PC 或 Mac 上的軟件防火牆,也可能是連接到您的網絡路由器的 24/7 硬件防火牆(如 Firewalla Gold),以同時保護您的所有設備。