Freebsd: проброс портов в локальную сеть для rdp и radmin

Что такое проброс портов

В компьютерных сетях портом называют числовой идентификатор от 0 до 65 535, указываемый при запросе на соединение. Стандартные номера портов назначаются серверным службам Центром управления номерами интернета (IANA). Например, веб-серверы обычно используют порт 80, FTP-серверы — порты 20 и 21, SMTP-серверы — порт 25 и 110. Перечень общеизвестных и зарегистрированных организацией IANA портов, а также их краткое описание можно посмотреть на сайте «Википедия» по адресу https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP.

Белым цветом в таблице выделены порты, зарегистрированные IANA, синим — незарегистрированные, а жёлтым — конфликтные порты, имеющие несколько применений наряду с зарегистрированным

Использование портов позволяет компьютерам, ноутбукам, смартфонам одновременно запускать несколько служб/приложений. А переадресация портов сообщает маршрутизатору, на какое устройство внутри сети должны быть направлены входящие соединения и с каким именно приложением на этом устройстве нужно связаться для обмена пакетами данных.

Проброс портов в iptables

Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:

Чтобы настройка сохранялась после перезагрузки используйте такую команду:

Мы не будем здесь подробно рассматривать правила iptables и значение каждой опции, поэтому перед тем, как читать дальше вам лучше ознакомиться со статьей iptables для начинающих. Дальше рассмотрим проброс портов iptables nat.

Настройка прохождения пакетов

Сначала мы рассмотрим как разрешить прохождение пакетов через маршрутизатор. Для этого в брандмауэре есть цепочка FORWARD. По умолчанию для всех пакетов применяется правило DROP, которое означает что все нужно отбросить. Сначала разрешим инициализацию новых соединений, проходящих от eth0 до eth1. Они имеют тип contrack и представлены пакетом SYN:

Действие ACCEPT означает, что мы разрешаем это соединение. Но это правило разрешает только первый пакет, а нам нужно пропускать любой следующий трафик в обоих направлениях для этого порта (80). поэтому добавим правила для ESTABLIHED и RLEATED:

Дальше явно установим что наша политика по умолчанию — DROP:

Это еще не проброс портов, мы только разрешили определенному трафику, а именно на порт 80, проходить через маршрутизатор на другие машины локальной сети. Теперь настроим правила, которые будут отвечать за перенаправление трафика.

Модификация пакетов в iptables

Далее мы настроим правила, которые будут указывать как и куда нужно перенаправить пакеты, приходящие на порт 80. Сейчас маршрутизатор может их пропускать в сеть, но он еще не знает куда. Для этого нам нужно будет настроить две вещи — модификацию адреса назначения (Destination) DNAT и модификацию адреса отправителя (Source) SNAT.

Правила DNAT настраиваются в цепочке PREROUTING, в таблице NAT. Эта операция изменяет адрес назначения пакета чтобы он достиг нужной нам цели, когда проходит между сетями. Клиенты будут отправлять пакеты нашему маршрутизатору, и им не нужно знать топологию внутренней сети. Пакет автоматически будет приходить нашему веб-серверу (192.168.1.2).

С помощью этого правила мы перенаправляем все пакеты, пришедшие на порт 80, к 192.168.1.2 опять же на порт 80:

Но это только половина работы. Пакет будет иметь исходный адрес клиента, а значит будет пытаться отправить ответ ему. Так как клиент ожидает получить ответ от маршрутизатора, то нормального TCP соединения не получиться. Чтобы решить эту проблему нужно модифицировать адрес источника и заменить его на адрес маршрутизатора 192.168.1.1. Тогда ответ придет маршрутизатору, а тот уже от своего имени передаст его в сеть.

Если вы хотите перенаправить трафик на порт 8080, то нужно указать его после ip адреса:

Также может понадобиться выполнить проброс диапазона портов iptables, для этого просто укажите диапазон, например, 1000:2000:

После добавления этого правила можете проверять работу перенаправление портов iptables будет выполняться и все будет отправляться так, как нужно.

Сохранение настроек iptables

Теперь, когда все настроено, нужно сохранить этот набор правил, чтобы он загружался автоматически при каждом старте. Для этого выполните:

Готово. Теперь проброс портов iptables ubuntu будет работать так, как нужно.

Source NAT

Основное назначение Source NAT MikroTik – изменение IP-адреса и/или порта источника и выполнение обратной функции для ответа.

Самое распространенное применение – это выход множества ПК в интернет через один белый IP-адрес.

Стандартные действия для цепочки src-nat:

• src-nat – преобразование адреса и/или порта отправителя;
• masquerad – преобразование адреса отправителя на адрес исходящего интерфейса и порта на случайный порт.

Настройка MikroTik NAT для доступа в интернет

Настройка NAT для статического WAN

Если мы получаем статический IP от провайдера, то рекомендуем для настройки NAT на MikroTik использовать правило src-nat. Это позволит устройствам из LAN выходить в глобальную сеть интернет. Откроем:

IP=>Firewall=>NAT=> “+”.

• Chain: srcnat – указываем цепочку;
• Out. Interface – задаем исходящий WAN-интерфейс.

Откроем вкладку “Action”:

• Action: src-nat;
• To Addresses – Внешний IP WAN интерфейса.

Настройка NAT для динамического WAN

Если мы получаем динамический IP от провайдера, то необходимо использовать правило Masquerade.

Masquerade – это частный случай src-nat для ситуаций, когда внешний IP-адрес может динамически изменяться.

Тогда настройка NAT на MikroTik будет выглядеть следующим образом:

Использование masquerade вместо src-nat может вызвать проблемы:

• С телефонией;
• Большая нагрузка ЦП, если создано много PPPoE соединений.
• Проблемы с установкой соединения при 2 и более WAN-каналов.

Если у вас несколько внешних интерфейсов, то рекомендуется добавлять условие, выделяя трафик по адресу источника:

Где Src. Address – локальная подсеть.

NAT loopback (Hairpin NAT)

Настройка Hairpin NAT MikroTik предназначена, чтобы организовать доступ из LAN к ресурсу в LAN по внешнему IP-адресу WAN. Чтобы подробно описать данную настройку и разобраться в проблеме, рассмотрим пример:

Если хост локальной сети (Ws01) обращается к серверу, находящемуся в этой же сети по внешнему IP, то сервер, получив запрос, зная, что данное устройство находится в одной LAN с IP 192.168.12.10 отвечает ему напрямую. Хост не принимает данный ответ, так как не обращался к серверу по айпи 192.168.12.100.

Правило Hairpin NAT MikroTik для статического WAN

Чтобы избежать проблему, описанную выше, выполним настройку hairpin NAT на MikroTik. При получение статического айпи от поставщика интернет-услуг, советуем использовать правило Src-nat:

Для значений Src. Address и Dst. Address указываем локальную подсеть.

Далее открыв вкладку “Action”:

• Действие: src-nat;
• To Addresses – указываем свой WAN-IP

NAT Loopback при динамическом WAN

При получении динамического IP-адреса от провайдера, для правила NAT loopback нужно использовать masquerade:

• Выбираем цепочку srcnat;
• Для значений Src. Address и Dst. Address указываем локальную подсеть;
• Out. Interface – назначаем bridge;

Затем откроем пункт меню “Action”:

Назначим действие(Action) – маскарад.

Поставим созданное правило вторым:

Покажем пример такого правила:

На этом настройка Hairpin NAT на MikroTik выполнена. Теперь мы сможем обращаться к внутренним ресурсам сети по внешнему IP.

MikroTik NAT. Общая информация

NAT (Network Address Translation) – преобразование сетевых адресов. Главное назначение NAT – это экономия белых IP-адресов и повышение безопасности сети за счет ограничения обращений к внутренним хостам LAN снаружи и возможности скрыть сервисы с помощью подмены портов.

«Классический» NAT предполагает, что количество одновременных выходов в интернет из локальной сети за “натом” ограничено количеством свободных портов TCP/UDP. Благодаря этому множество устройств может одновременно выйти в интернет через один белый IP.

По умолчанию для LAN сети, находящейся за “натом”, доступ в интернет есть, а из глобальной сети в NAT-сеть попасть нельзя. За исключением случаев проброса портов.

Настройка NAT на MikroTik подразделяется на два типа:

• Destination NAT – изменение IP-адреса назначения и выполнение обратной функции для ответа. Преобразование адреса получателя называется dst-nat;
• Source NAT – изменение IP-адреса источника и выполнение обратной функции для ответа. Преобразование адреса источника называется src-nat.

Все остальные действия – производные от dst-nat и src-nat.

NAT обрабатывает только первый пакет соединения (connection-state=new).

Схематично принцип работы NAT можно изобразить так:

Cisco

С моей стороны было бы кощунством не рассказать про настройку
проброса портов с помощью сетевого оборудования небезызвестной компании
Cisco. Благо, здесь все решается одной простой строкой, которая, тем не
менее, будет разной для различных типов устройств. Например, проброс
портов в Cisco PIX (Private Internet Exchange) или ASA (Adaptive
Security Appliance) осуществляется с помощью следующей строки
конфигурации:

В то же время для оборудования, работающего на операционной системе Cisco IOS, строка будет выглядеть так:

Обе они не делают ничего кроме проброса порта 80 на сервер
192.168.0.100 для клиента с адресом 1.2.3.4. При этом если необходимо
настроить проброс всех портов, достаточно просто опустить номера/ имена
портов в строке конфигурации.

Destination NAT

Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Практически применяется в следующих случаях:

• Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
• Перенаправление любого DNS-трафика через маршрутизатор.

Стандартные действия возможные для цепочки dst-nat:

• dst-nat – преобразование адреса и/или порта получателя;
• redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.

Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.

Проброс портов на MikroTik

Пример проброса порта для RDP

Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.

Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.  

Для этого откроем:

IP=>Firewall=>NAT=> “+”.

На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:

Где:

• Chain: dstnat – цепочка правил для IP-адреса назначения;
• Protocol: 6 (tcp) – протокол;
• Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
• In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).

Следующим шагом откроем вкладку “Action”:

• Для поля “Action” указываем значение dst-nat;
• To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
• To Ports – порт на который будут перенаправляться запросы.

Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).

Проброс порта на MikroTik для видеонаблюдения

Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.

Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:

Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:

Откроем пункт меню “Action”:

• Указываем действие dst-nat;
• To Addresses – внутренний IP видеосервера или видеорегистратора.

Проброс портов для нескольких внешних IP

Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:

Создадим новый лист для интерфейсов “ISP”:

• Interfaces;
• Interface List => Lists => “+”.

Name: ISP – произвольное имя для Interface List.

Следующим шагом добавим нужные WAN интерфейсы:

Повторить данный шаг для всех WAN-интерфейсов.

Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:

Так можно настроить проброс портов на MikroTik для нескольких WAN.

Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.

Перенаправление трафика на маршрутизатор

С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.

Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.

Для этого выполним настройку NAT на MikroTik следующим образом.

Откроем: IP=>Firewall=>NAT=> “+”.

Добавим запись:

Перейдем в пункт меню “Action” и укажем действие redirect:

Настроим сетевые интерфейсы клиентов

При настройке сетевых интерфейсов клиентов важно помнить, что адрес сервера pfSense должен быть указан в качестве шлюза, в нашем случае

Настройка в Ubuntu

Редактируем файл /etc/network/interfaces:

auto ens31

iface ens31 inet static

address 10.0.0.2

netmask

dns-nameserver 8.8.8.8

gateway

Перезапускаем службу сети:

/etc/init.d/networking restart

Windows

Для настройки сетевого адаптера в среде Windows необходимо открыть Пуск →  Панель управления → Сеть и интернет → Сетевые подключения либо

Пуск →  Панель управления → Сеть и интернет → Центр управления сетями и общим доступом  → Изменение параметров адаптера.

В открывшейся папке кликаем правой кнопкой мыши по значку сетевого адаптера, выбираем “Свойства”.

В открывшемся окне кликом мыши по названию (не по галке) выбираем “Протокол Интернета версии 4 (TCP/IPv4)”. Нажимаем кнопку “Свойства”.

В новом окне указываем:

• IP-адрес — 10.0.0.3;
• Маска подсети: ;
• Шлюз — ;
• Предпочитаемый DNS-сервер: 8.8.8.8.

Для сохранения нажимаем кнопку “OK”. В окне Свойств сетевого адаптера также нажимаем кнопку “OK”.

Важно! Еще раз обращаем внимание, что IP-адрес сервера pfSense должен быть указан в качестве основного шлюза и шлюза по умолчанию. Настроим маршрутизацию

Настроим маршрутизацию

В главном меню веб-приложения выбираем Firewall → NAT. На вкладке “Port Forward “. Нажимаем кнопку Add.

На открывшейся странице редактирования правила перенаправления трафика создадим правило для RDP-интерфейса.

В поле Destination указываем Any.

Destination port range (from port) — выбираем порт назначения, в нашем случае MS RDP. Поле “to port” заполнится автоматически.

Redirect target IP — указываем IP-адрес сервера или компьютера под управлением ОС Windows.

Redirect target port — MS RDP.

При желании заполняем поле описания — “Description”.

Нажимаем кнопку “Save”. И не забываем нажать кнопку “Apply changes”.

Важно! В случае если порт RDP был изменен (по умолчанию 3389), имя порта выбираем “Other”, в поле Custom указываем текущее значение. Созданное правило отображается как в примере ниже

Созданное правило отображается как в примере ниже.

Аналогичным способом создаются правила, скажем, для SSH-доступа.

Проверка подключения

Для проверки работоспособности настроек требуется подключиться SSH-клиентом или приложением для доступа к удаленному рабочему столу на внешний IP-адрес сервера pfSense.

Также, проверку можно выполнить с помощью сниффера сетевых портов — nmap.

Поделиться Оценить

Средняя оценка: 5.0 Оценили: 1220140 Минск ул. Домбровская, д. 9 +375 (173) 88-72-49

700 300 ООО «ИТГЛОБАЛКОМ БЕЛ»220140 Минск ул. Домбровская, д. 9 +375 (173) 88-72-49

700 300 ООО «ИТГЛОБАЛКОМ БЕЛ»

Перед тем, как начать

Эта статья рассказывает о настройке проброса портов в самых разных операционных системах, начиная с Windows и заканчивая ОС, установленными на сетевом оборудовании. В большинстве случаев для реализации проброса портов используются специальные правила брандмауэра, и здесь я должен сделать первое предостережение.

Дело в том, что любой брандмауэр выполняет трансляцию сетевых адресов до их фильтрации, поэтому описанные в статье правила должны находиться в начале. Второе: для успешного прохождения оттранслированных пакетов должны быть добавлены правила, разрешающие входящие подключения на целевой порт шлюза, а также правила, разрешающие обмен данными между внутренней целевой машиной и шлюзом.

Openwrt и DD-WRT

Конечно же, кроме оборудования именитой Cisco на рынке существуют и
гораздо менее дорогостоящие решения вроде разного рода домашних роутеров
и точек доступа. Большой популярностью среди них пользуются
ультра-бюджетные сетевые устройства таких компаний, как D-Link, ASUS,
Linksys и других. На многих из них можно установить свободные и более
продвинутые прошивки вроде OpenWrt, X-Wrt и DD-wrt, которые отличаются
более развитой системой настройки и хорошим комьюнити. Естественно,
проброс портов легко выполнить и с их помощью. В DD-Wrt проброс портов
осуществляется с помощью локализованного веб-интерфейса. Чтобы настроить
проброс по описанной выше схеме, достаточно открыть веб-интерфейс
роутера (192.168.1.1), перейти на вкладку «NAT/QoS», далее — вкладка
«Перенаправление портов». Теперь в поле «Приложение» пишем любое удобное
для нас имя, например, «www», «Порт-источник» — внешний порт роутера,
«Протокол» — TCP или UDP, «IP-адрес» — адрес внутреннего сервера,
«Порт-приемник» — его порт. Далее выбираем галочку «Включить», жмем
кнопку «Добавить », потом — кнопку «Применить».

Это действительно простой путь, который… не сработает для
большинства российских провайдеров, предоставляющих как доступ к
локальной сети (прямой), так и доступ к сети интернет (через VPN/PPTP).
Дело в том, что добавленное таким образом правило будет применено к
внешнему физическому интерфейсу, тогда как интерфейс ppp0, используемый
для выхода в интернет через VPN/PPTP, останется не при делах. Для
решения проблемы можно воспользоваться прямым вмешательством в недра
DD-Wrt. Открываем вкладку «Тех.обслуживание», далее — «Команды» и
набираем стандартные правила iptables:

Нажимаем «Сохр. брандмауэр» и перезагружаемся. Ненамного труднее
выполнить эту операцию с помощью веб-интерфейса прошивок X-Wrt,
представляющих собой, по сути, более юзабельный вариант OpenWrt. Жмем на
«Network», затем «Firewall», выбираем в меню «New Rule» пункт «Forward»
и нажимаем «Add». Записываем в поле «Forward To» IP-адрес внутреннего
сервера, в поле «Port» помещаем номер пробрасываемого порта. В
выпадающем меню выбираем пункт «Protocol» и нажимаем «Add», в
появившемся меню выбираем протокол: TCP или UDP. Если порт, открытый на
шлюзе, должен отличаться от порта внутреннего сервера, выбираем в
выпадающем меню пункт «Destination Ports», получаем одноименное поле и
вводим в него номер порта. Нажимаем кнопку «Save».

Того же эффекта можно достичь, отредактировав конфигурационный файл /etc/config/firewall следующим образом:

Переадресация портов

Для открытия портов на роутере не нужно быть опытным администратором — с этой процедурой справится любой пользователь. Главное, следовать пошаговой инструкции, состоящей из двух основных этапов: присвоения статического IP-адреса пользовательскому компьютеру в настройках ОС Windows и перенаправления портов в админ-панели маршрутизатора.

Предварительные настройки «Виндовс»

Перед пробросом портов нужно для устройств локальной сети выделить диапазон внутренних IP-адресов, после чего закрепить по одному адресу за каждым ПК. Сделать это можно в настройках компьютера либо в панели администрирования роутера (раздел DHCP). Первый способ является более надёжным, так как статический адрес прописывается в настройках сетевой карты и без вашего вмешательства ничто и никто его не изменит. Для запуска данного процесса нужно включить ПК и произвести несколько действий:

1. Перейти в раздел «Сетевые подключения», воспользовавшись системной утилитой «Выполнить» (вызывается сочетанием клавиш Win + R в любой версии Windows). В появившемся окошке ввести команду ncpa.cpl и нажать кнопку «ОК» или клавишу «ENTER».

   Для быстрого перехода к разделу с сетевыми подключениями можно использовать системную программу «Выполнить»

2. В открывшемся окне кликнуть правой кнопкой мыши по активному сетевому подключению и выбрать пункт «Свойства».

   При клике ПКМ по активному подключению появится контекстное меню

3. Сделать двойной клик по строке «IP версии 4 (TCP/IPv4)», чтобы открыть свойства протокола.

   В «Свойствах подключения» первым делом нужно убедиться в том, что пункт «IP версии 4 (TCP/IPv4)» включён, после чего перейти к настройке протокола

4. В окне «Свойства» активировать пункты «Использовать следующий IP-адрес» и «Использовать следующие адреса DNS-серверов». После чего заполнить обязательные поля:
   • «IP-адрес» — сюда вписать адрес из диапазона внутренней локальной сети, например, любое значение от 192.168.0.2 до 192.168.0.200 (единственное условие — он должен отличаться от адреса роутера),
   • «Маска подсети» — в домашних сетях чаще всего этот параметр имеет значение 255.255.255.0,
   • «Основной шлюз», в роли которого выступает IP-адрес роутера (по умолчанию 192.168.0.1 или 192.168.1.1),
   • «Предпочитаемый DNS-сервер» — здесь чаще всего указывают DNS-адреса провайдера или альтернативного источника, например, публичного сервиса Google Public DNS (8.8.8.8 и 8.8.4.4.).

     В окне настроек протокола можно задать статичный IP-адрес компьютеру и DNS-серверу

5. Подтвердить настройки нажатием «ОК».

Проброс портов в веб-интерфейсе маршрутизатора

После того как для компьютера зафиксирован статичный IP-адрес, можно переходить к настройке роутера (на примере TP-Link). Для этого нужно выполнить следующие действия:

1. Войти в админ-панель маршрутизатора, введя в браузерной строке адрес устройства (для большинства роутеров по умолчанию используется 192.168.0.1 или 192.168.1.1).

   По умолчанию для входа в веб-интерфейс большинства роутеова используются одинаковые логин и пароль — admin

2. В боковом меню выбрать раздел «Переадресация», а в нём подраздел «Виртуальные серверы».
3. В открывшемся окне нажать кнопку «Добавить» для создания нового правила переадресации.

   Чтобы открыть новый порт, нужно воспользоваться кнопкой «Добавить» в разделе «Виртуальные серверы»

4. Откроется диалоговое окно, где обязательно нужно заполнить два поля: «Порт сервиса» — здесь указывается номер порта, который нужно открыть, и «IP-адрес» — присвоенный компьютеру статический адрес в сети. Поле «Внутренний порт» можно оставить пустым, а поля «Протокол» («Все») и «Состояние» («Включено») оставить по умолчанию. После чего подтвердить настройки, нажав на кнопку «Сохранить».

   В настройках виртуального сервера обязательно нужно указать номер внешнего порта и статичный IP-адрес компьютера или другого сетевого устройства

При необходимости проброса стандартных портов в роутере имеются предустановленные настройки. Достаточно выбрать в выпадающем списке «Стандартный порт сервиса» нужную службу (DNS, FTP, HTTP, POP3, SMTP, TELNET), как все поля заполнятся автоматически.

Для облегчения процесса настройки стандартных портов предусмотрено соответствующее поле с перечнем общеизвестных портов

Как работает NAT?

Чтобы иметь возможность общаться с другими компьютерами в сети компьютер должен иметь уникальный ip адрес. Но поскольку количество адресов уменьшалось нужно было придумать технологию, которая позволяла бы давать один адрес нескольким машинам. И была придумана технология NAT или Network Address Translation.

Все работает очень просто. Компьютер имеет свой адрес в локальной сети, он не виден из интернета. Когда ему нужно отправить пакет, он отправляет его роутеру, затем роутер подменяет адрес отправителя на свой и передает пакет дальше к цели. Параллельно роутер запоминает с какого локального компьютера был отправлен пакет на этот адрес. Дальше ответный пакет приходит роутеру, он подменяет адрес назначения на адрес нужного компьютера и отдает пакет в локальную сеть.

Что нужно, чтобы пробросить порты?

Выше отмечалось, что перед проброской необходимо узнать порт и MAC-адрес, а также настроить маршрутизатор. Кроме того, необходимо определить адрес роутера в локальной сети дома или офиса.

Все изменения вносятся через интерфейс маршрутизатора. Для работы потребуется:

• адрес для входа (чаще всего );
• логин и пароль (по умолчанию admin);

• понимание принципов, как сделать проброс портов на роутере;
• 10-15 минут личного времени.

Для настройки может потребоваться добавление портов. Для этого:

1. войдите в интерфейс маршрутизатора;
2. жмите кнопку «Добавить новый» и укажите необходимые данные (номер порта, данные компьютера).

Что такое «проброс портов» и зачем его делать

«Проброс портов» — это тоже самое открытие порта на маршрутизаторе, но только на специализированном языке пользователей, которые профессионально занимаются беспроводными сетями, или их работа связана с компьютерными устройствами.

Зачем открывают порты на маршрутизаторе? Чтобы ответить на данный вопрос следует немного разобраться в функционале роутера. Каждый Wi-Fi-роутер работает как «раздатчик» трафика пользователям и имеет 2 особенности:

• Может обеспечивать подключение к сети нескольким устройствам одновременно.
• Только принимает трафик, но не передает его обратно в сеть.