Когда следует использовать правила переадресации портов и брандмауэра?
В интернет-центрах Keenetic по умолчанию работают встроенный Межсетевой экран (Firewall) и механизм Трансляция сетевых адресов (NAT), что позволяет скрыть и защитить устройства домашней сети от пользователей Интернета и угроз извне. Обе функции являются важным элементом безопасности локальной сети.
Но при этом, следует помнить, что Трансляция сетевых адресов и Межсетевой экран — функции, предназначенные для решения принципиально разных задач.
Чтобы разобраться в каких случаях следует использовать правила переадресации портов в NAT, а в каких правила Firewall, рассмотрим сначала назначение каждой из указанных функций.
Трансляция сетевых адресов
Трансляция сетевых адресов (NAT, Network Address Translation) — этот механизм позволяет использовать всем устройствам локальной сети (компьютерам, планшетам, смартфонам) единственный IP-адрес внешнего интерфейса, через который происходит подключение к Интернету или внешней сети. Самый распространенный случай: на роутер выделяется один публичный белый IP-адрес (через который и осуществляется выход во внешнюю сеть), за которым работают и получают доступ устройства домашней сети с локальными/внутренними IP-адресами (по умолчанию из подсети 192.168.1.x).
В простейшем случае при работе NAT происходит подмена в сетевых пакетах IP-адреса источника и назначения. У пакетов, приходящих из внешней сети, меняется адрес получателя, у пакетов из внутренней — отправителя. В частности, NAT изменяет IP-адрес источника (внутренний локальный/частный адрес) в сетевом пакете, принятом от устройства локальной сети, на глобальный/внешний адрес перед передачей пакета во внешнюю сеть. При получении ответа NAT преобразовывает адрес получателя (внешний адрес) обратно в локальный/внутренний адрес перед передачей его исходному внутреннему хосту сети.
По умолчанию механизм NAT настроен таким образом, чтобы предотвращать или ограничивать обращение извне (со стороны внешней сети) к устройствам локальной сети, оставляя возможность обращения из локальной сети во внешнюю. NAT позволяет скрыть внутренние сервисы компьютеров/серверов локальной сети от обращений из Интернета.
С помощью пользовательских правил переадресации портов можно определенные внутренние сервисы (например, Веб- или FTP-сервер), расположенные в локальной сети за NAT, сделать видимыми (доступными) для внешних пользователей из Интернета. Для этого нужно создать правила NAT для трансляции (иногда говорят — для "перенаправления", "проброса", "открытия") определенных портов через роутер на компьютер/сервер локальной сети (этот механизм также называют Port Forwarding). По сути, такие правила определяют трансляцию трафика из внешней сети во внутреннюю (такой тип правил NAT называют Destination NAT).
Важно
Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье "В чем отличие "белого" и "серого" IP-адреса?"
Приведем примеры, в каких случаях следует использовать переадресацию портов:
Предоставить доступ из Интернета на сетевое хранилище (NAS), к IP-камере или серверу (WWW, FTP и др.) локальной сети;
Предоставить доступ из Интернета на компьютер домашней сети, используя специальные службы для удаленного подключения рабочих столов. Например, с помощью Remote Desktop (из состава ОС Windows) или через программы Radmin, VNC и др;
Выполнить подмену номера порта ("
маппинг") для обращения на другой порт. Например, перевести удаленное управление роутером из Интернета на другой порт (в случае, если ваш провайдер блокирует стандартный порт80и вы хотите использовать для доступа к веб-конфигуратору порт8080);Открытие портов для торрента, игровых консолей, и других приложений, которые используют входящий трафик из внешней сети для работы каких-то функций.
Дополнительная информация:
Важно
В интернет-центрах Keenetic настраивать дополнительно к правилу переадресации портов разрешающее правило в настройках межсетевого экрана НЕ НУЖНО. Достаточно создать только правило переадресации портов в NAT.
При использовании некоторых служб интернет-центра (например, VPN-сервер PPTP, VPN-сервер L2TP/IPsec, FTP-сервер, служба UPnP) автоматически включаются правила переадресации портов для трансляции адресов из внутренней сети во внешнюю. Данные правила не отображаются в веб-конфигураторе роутера.
Межсетевой экран
Межсетевой экран (Firewall, сетевой экран) — предназначен для защиты устройств локальной сети от атак извне. В общем случае, сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов. Прежде всего межсетевой экран предназначен для обеспечения безопасности и разграничения доступа. По умолчанию встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов (LAN) сети в публичные (WAN), и запрещает в обратную сторону. Пользовательскими настройками (правилами) можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети (путем блокирования портов или протоколов). Фактически правила Firewall осуществляют проверку — пропустить (разрешить) сетевой пакет или отбросить (запретить).
Приведем примеры, в каких случаях следует использовать правила межсетевого экрана:
Разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ, и наоборот — заблокировать доступ в Интернет только для определенных компьютеров локальной сети, а всем остальным разрешить доступ;
Заблокировать доступ к определенным веб-сайтам из локальной сети;
Разрешить определенным компьютерам локальной сети доступ только к какому-то одному указанному веб-сайту (или нескольким сайтам);
Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам);
Блокировать (запретить) передачу трафика по определенным портам или протоколам;
Заблокировать доступ с определенных IP-адресов к интернет-центру со стороны Интернета или внешней сети;
Разрешить удаленное управление интернет-центром из Интернета только с определенных IP-адресов.
Дополнительная информация:
Важно
В Keenetic сначала выполняются правила трансляции адресов (NAT), а затем правила межсетевого экрана (Firewall).
Примечание
Некоторые интернет-провайдеры не позволяют клиентам своей сети запускать и использовать серверные приложения (такие как веб-сервер WWW, FTP-сервер, VPN-сервер PPTP или почтовый сервер). Интернет-провайдер может блокировать пользовательский трафик по стандартным протоколам и портам (например, 21/FTP, 80/HTTP, 25/SMTP и другим портам) или периодически делать проверку сети на наличие в ней активных серверов (при обнаружении возможна последующая блокировка доступа или даже приостановление действия вашего договора). За дополнительной информацией по использованию серверных служб и блокировки определенного трафика, обращайтесь к своему интернет-провайдеру.