Как перенаправить порты в роутере

Проброс портов

Иногда возникает необходимость доступа извне к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.

О пробросе портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание.

Внешний IP-адрес

IP-адрес может быть:

• Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
• Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
• Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер. Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
• Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.

Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети – серыми.

Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.

Безопасность

Так как в случае проброса портов будет открыт доступ к устройствам, находящимся внутри вашей локальной сети, особое внимание следует уделить безопасности:

• Для подключения к устройству должен использоваться надежный пароль;
• Если передается конфиденциальная информация, то она должна быть в шифрованном виде.

В этом случае злоумышленник может:

• Установить на компьютер свои программы;
• Перенастроить локальную сеть;
• Отслеживать и влиять на обмен данными по локальной сети.

Подключение

Перед настройкой проброса портов, следует подключиться к роутеру. У роутера обычно по умолчанию IP-адрес 192.168.0.1 или 192.168.1.1. Логин по умолчанию admin, а пароль может быть тоже admin, иногда 1234. Настройки роутера по умолчанию указываются на наклейке с тыльной стороны.

Вводим адрес роутера в браузере. На рисунке фото выше это 192.168.1.1, на запрос имени пользователя и пароля – заполняем соответствующие поля. После этого попадаем в главное меню роутера.

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

• Статические, то есть заданные вручную на каждом устройстве;
• Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Настройка проброса портов

После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:

• Порт роутера;
• IP устройства;
• Порт устройства.

Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.

В настройках переадресации добваляем новый виртуальный сервер.

Запись настраивается следующим образом:

• Порт сервиса – это как раз тот порт, по которому будут подключаться из интернета;
• Внутренний порт – это порт устройства, к которому надо открыть доступ;
• IP-адрес – это адрес устройства в локальной сети
• Протокол – тут можно выбрать протокол TCP или UDP. Можно выбрать “ВСЕ”, тогда будут перенаправляться оба протокола.
• Состояние – здесь выбираем “включено”. При не надобности, можно отключить проброс, не удаляя запись.

Пункт “стандартный порт сервиса” предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля “порт сервиса” и “внутренний порт”. Ниже будут рассмотрены основные сервисы.

После того как все настройки выполнены, следует их сохранить.

Номера портов

Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536.

На компьютере эти порты делятся на следующие группы :

• Системные (от 0 до 1023);
• Пользовательские (от 1024 до 49151);
• Динамические (от 49152 до 65535).

Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.

Стандартные сервисы

Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

• Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
• Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

Выбираем “Разрешить подключение”.

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

Как перенаправить порты в роутере

Проброс портов — это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором/ роутером, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера/ сетевого устройства в локальной сети. Такое перенаправление нужно если вы, к примеру, хотите организовать доступа к IP камере через Интернет или такое перенаправление иногда требуется для многопользовательских игр.

Проброс портов на роутерах D-link.

Подключитесь к веб интерфейсу роутера D-Link и нажмите клавишу «Расширенные настройки».

Выберите «Виртуальные серверы» в разделе «Межсетевой экран».

В открывшемся окне нажмите «Добавить».

В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку «Изменить».

Шаблон — В раскрывающемся списке выберите один из шести приведенных шаблонов виртуальных серверов или выберите значение Custom (пользовательский), чтобы самостоятельно определить параметры виртуального сервера.
Имя — Название виртуального сервера для удобной идентификации. Может быть произвольным.
Интерфейс — Соединение, к которому будет привязан создаваемый виртуальный сервер.
Протокол — Протокол, который будет использовать создаваемый виртуальный сервер. Выберите необходимое значение из раскрывающегося списка.
Внешний порт (начальный)/ Внешний порт (конечный) — Порт маршрутизатора, трафик с которого будет переадресовываться на IP-адрес, определяемый в поле Внутренний IP. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внешний порт (начальный) и не заполняйте поле Внешний порт (конечный).
Внутренний порт (начальный)/ Внутренний порт (конечный) — Порт IP-адреса, задаваемого в поле Внутренний IP, на который будет переадресовываться трафик с порта маршрутизатора, задаваемого в поле Внешний порт. Задайте начальное и конечное значения диапазона портов. Если необходимо указать только один порт, задайте его в поле Внутренний порт (начальный) и не заполняйте поле Внутренний порт (конечный).
Внутренний IP — IP-адрес сервера, находящегося в локальной сети. Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).
Удаленный IP — IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).

Чтобы задать другие параметры для существующего сервера, выделите соответствующий сервер в таблице. На открывшейся странице измените необходимые параметры и нажмите кнопку «Изменить».

Чтобы сохранить существующее правило, нажмите на кнопку «Система» и затем «Сохранить».

Проброс портов на роутерах TP-link.

Зайдите на веб интерфейс роутера TP-Link. Перейдите в меню «Переадресация» — «Виртуальные серверы». Нажмите кнопку «Добавить новую».

Заполните поля:
Порт сервиса — Сетевой порт, по которому пользователи будут заходить на ваш сервис.
Внутренний порт — Внутренний порт, по которому доступен ваш сервис (внутри вашей локальной сети).
Примечание: Порт сервиса и Внутренний порт могут быть разными.
IP-адрес — Локальный IP-адрес вашего сервиса, выданный маршрутизатором.

Сохраните настройку, нажав кнопку «Сохранить».

Проброс портов на роутерах ASUS.

Зайдите на веб интерфейс роутера Asus, выберите в меню «Интернет» — вкладка «Переадресация портов», в самом низу страницы заполните поля.

Имя службы— произвольное имя службы.

Диапазон портов— укажите порты с которых роутер будет перенаправлять входящие соединения, например диапазон портов 1000:1050 или отдельные порты 1000, 1010 или смешанный 1000:1050, 1100.

Локальный адрес— адрес на который будет переадресовывать роутер.

Локальный порт— номер порта на машине с IP на который роутер будет перенаправлять соединения;

Протокол— соединения какого типа следует отлавливать роутеру.

После указания всех настроек нажмите «Плюс», что бы добавить правило, после этого сохраните настройки и нажмите кнопку «Применить».

Проброс портов на роутерах Zyxel.

Зайдите на веб интерфейс роутера Zyxel. Зайдите в меню «Безопасность» — «Трансляция сетевых адресов (NAT)». Нажмите «Добавить правило».
В новом диалоговом окне заполните следующие пункты.

Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета — интерфейс туннеля (PPPoE, PPTP или L2TP).

Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.

В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов (FTP)). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.

В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).

Новый номер порта назначения – используется для «подмены порта» (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.

После заполнения нужных полей нажмите кнопку Сохранить.
В данном случае, указаны правила для перенаправления порта 4000 по TCP и UDP протоколу.

В результате, в настройках «Безопасность» должно появиться окно с правилами переадресации для tcp/4000 и udp/4000.

Переадресация портов

По умолчанию в интернет-центрах Keenetic запрещены входящие подключения из Интернета к компьютерам или сетевым устройствам домашней сети. Предположим, у вас дома работает веб-камера и подключена через Keenetic к Интернету. Компьютеры домашней сети смогут подключиться к ней, а вот подключиться из Интернета к веб-камере без переадресации портов не получится. В этом случае иногда говорят «нужно открыть порт на роутере». Термин «переадресация портов» иногда заменяют на аналогичные «проброс портов», «перенаправление портов» или «трансляция портов».
Переадресация портов является частью механизма NAT (трансляции сетевых адресов). Задачей переадресации портов является предоставить доступ из Интернета к сервисам вашей сети, используя открытый порт.

Используя службу UPnP устройства домашней сети могут сами разрешить необходимые им подключения. UPnP позволяет программно перенаправлять порты. Сейчас торрент-клиенты, мессенджеры, игровые консоли, медиасерверы и другие используют UPnP. Включите службу UPnP на устройстве домашней сети или в приложении. Чтобы Keenetic принимал настройки по UPnP, необходимо лишь убедиться, что установлен компонент системы «Служба UPnP», который позволит автоматически настраивать необходимые правила NAT и межсетевого экрана. Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

В некоторых случаях может требоваться открыть определенные порты вручную. Например, чтобы предоставить доступ из Интернета на сетевое хранилище (NAS) или сервер (WWW, FTP и др.) локальной сети; предоставить удаленный доступ из Интернета на компьютер домашней сети, используя специальные службы для удаленного подключения рабочих столов (Remote Desktop из состава ОС Windows, или через программы Radmin, VNC и др.); выполнить подмену номера порта назначения (маппинг порта) для обращения на другой порт.

NOTE: Важно! Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье «В чем отличие «белого» и «серого» IP-адреса?»

TIP: Совет: Перед настройкой переадресации портов, выясните, какой именно протокол и номер порта используется в приложении, на сетевом устройстве или сервере. Обычно, эту информацию можно найти в меню настроек или в документации. Если вы не знаете, какой номер порта используется, обратитесь за информацией на сайт http://www.portforward.com/cports.htm. Там вы найдете список наиболее популярных приложений, протоколов и их номера портов.

Рассмотрим пример настройки переадресации портов в интернет-центре Keenetic.
Предположим, нужно предоставить доступ для подключения из Интернета к домашнему компьютеру через приложение (сервер) ОС Windows «Подключение к удаленному рабочему столу» (Remote Desktop; RDP).
В настройках Keenetic нужно будет открыть определенный TCP/UDP-порт, который используется для входящих подключений. В нашем примере RDP по умолчанию использует номер порта TCP 3389.

Зарегистрируйте устройство в домашней сети, на которое будет осуществляться переадресация портов. При регистрации нужно включить опцию «Постоянный IP-адрес», чтобы компьютер в домашней сети всегда получал один и тот же IP. Дополнительную информацию вы найдете в статье «Регистрация устройств в домашней сети».

1. Переадресация портов.

Перейдите на страницу «Переадресация» и нажмите «Добавить правило».

В появившемся окне «Правило переадресации портов» выполните настройку правила.

Выберите интерфейс или задайте подсеть для входящего трафика, протокол и порт, который нужно пропускать в локальную сеть. Выберите устройство или интерфейс, которому будет переадресован подходящий трафик.

Нужно правильно указать значение поля «Вход». В этом поле нужно выбрать подключение или интерфейс, через которое Keenetic получает доступ в Интернет. В большинстве случаев следует выбирать интерфейс «Провайдер». Если у вас подключение к Интернету осуществляется через PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение. При подключении к Интернету через USB-модем 3G/4G следует указать именно это подключение, а при подключении через WISP, выберите подключение с названием сети, к которой подключается Keenetic.

В поле «Выход» выберите устройство, подключение или интерфейс, которому будет переадресован подходящий трафик (в нашем примере это зарегистрированный в домашней сети компьютер PC). В поле «Выход» можно выбрать значение «Другое устройство» и указать IP-адрес. При выборе значения «Этот интернет-центр» адресом назначения будет являться сам Keenetic.

В поле «Протокол» можно указать протокол из списка предустановленных, который будет использован при переадресации порта. Если же выбрать значение «TCP» или «UDP», можно вручную указать номер порта или диапазон портов (в нашем примере используется протокол «TCP» и в поле «Открыть порт» указан порт приложения 3389).

В поле «Расписание работы» можно добавить расписание, по которому будет работать данное правило.

NOTE: Важно! Для проверки работоспособности переадресации портов вы можете обратиться к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. в Кинетике по умолчанию в сегменте «Домашняя сеть» включен механизм обратной трансляции адресов NAT loopback.

Теперь для подключения к рабочему столу из Интернета, нужно будет использовать адрес вида WAN_IP-адрес_Keenetic:номер_порта
Например: 109.210.53.211:3389

NOTE: Важно! Дополнительную настройку межсетевого экрана производить не нужно, т.к. при использовании правила переадресации интернет-центр самостоятельно открывает доступ по указанному порту.

TIP: Совет: Если нужно открыть диапазон портов, при создании правила переадресации в опции «Тип правила» выберите значение «Диапазон портов» и в полях «Открыть порты» впишите начальный и конечный номер диапазона. Например, для открытия диапазона TCP-портов 45000 — 65000 создано следующее правило:

2. Переадресация портов с подменой номера порта назначения (маппинг порта).

Иногда возникает ситуация, когда нужно выполнить подмену одного номера порта X на какой-то другой Y. Подмена порта может использоваться в случае блокировки распространенных номеров портов на стороне провайдера или когда нужные номера портов уже заняты.

2.1. Рассмотрим пример, когда сервер RDP работает по номеру порта TCP 3389, а обращение к нему из Интернета будет идти на порт с новым номером 4389. В этом случае входящее на внешний WAN IP-адрес подключение на порт 4389 будет перенаправлено на определенный локальный IP-адрес и порт 3389.

В поле «Открыть порт» укажите новый порт назначения (для обращений из Интернета), а в поле «Порт назначения» впишите настоящий номер порта, который используется на сервере в локальной сети.

NOTE: Важно! При создании правила переадресации портов подмена порта будет работать только в направлении из WAN в LAN (из Интернета в локальную сеть).

Теперь для подключения к рабочему столу из Интернета, нужно будет использовать адрес вида WAN_IP-адрес_Keenetic:новый_номер_порта
Например: 109.210.53.211:4389

2.2. Рассмотрим пример, когда две одинаковые IP-камеры (с IP-адресами 192.168.1.101 и 192.168.1.102) находятся в локальной сети интернет-центра Keenetic и их веб-интерфейсы доступны по 80-му порту. Нужно настроить удаленный доступ из Интернета к IP-камерам.
В этом случае используем маппинг портов, чтобы веб-интерфейс первой камеры был доступен при обращении из Интернета по порту 10101, а вторая камера по порту 10102.

Теперь для подключения к IP-камерам из Интернета, нужно будет использовать адрес вида WAN_IP-адрес_Keenetic:новый_номер_порта
Например: 109.210.53.211:10101 для доступа к первой камере и 109.210.53.211:10102 для доступа ко второй камере.

TIP: Советы:

Если переадресация портов по какой-то причине не заработала, обратитесь к статье «Что делать, если не работает переадресация портов?».

Иногда возникает задача в локальной сети интернет-центра Keenetic организовать DMZ-хост (это может быть веб-сервер, сетевой видеорегистратор, IP-камера или другое устройство), у которого открыты все порты и таким образом предоставить полный доступ к нему из Интернета: «Переадресация всех портов на хост локальной сети (организация DMZ-хоста)».

Дополнительная информация для подключения игровых приставок: «Использование Xbox и PS4 при подключении через Keenetic».

При наличии публичного белого IP-адреса для доступа в Интернет с помощью настройки переадресации портов можно организовать удаленный доступ к устройству локальной сети: «Доступ из Интернета к IP-камере, подключенной к интернет-центру».

Пользователи, считающие этот материал полезным: 22 из 26

Переадресация портов: что это такое и как ее настроить?

Как настроить переадресацию портов?

Конкретные инструкции по переадресации портов могут отличаться для каждого отдельного роутера, поэтому будет приведен общий обзор того, как может выглядеть этот процесс:

1. 1. 1. Войдите в свой маршрутизатор. Это можно сделать, введя его IP-адрес (или, другими словами, шлюз по умолчанию) в адресную строку.
   2. 2. Откройте панель настроек переадресации портов. Там вы увидите список пустых конфигураций портов.
   3. 3. Выберите одну конфигурацию и введите внутренние и внешние номера портов (лучше всего выбрать более 1000 и менее 65 000). В большинстве случаев внешние и внутренние порты не должны совпадать друг с другом.
   4. 4. После установки портов введите локальный IP-адрес устройства, к которому вы хотите подключиться в сети (локальный адрес будет отличаться от IP-адреса вашего маршрутизатора).
   5. 5. Теперь маршрутизатор может перенаправлять любой запрос, отправленный на этот порт, прямо на устройство, не раскрывая его IP-адрес. Но как это происходит?

Допустим, ваш маршрутизатор имеет IP-адрес 193.24.171.247. Если порт, который вы настроили для подключения к вашей домашней камере видеонаблюдения 8028, то запрос на ваш маршрутизатор для подключения непосредственно к камере через переадресацию портов будет отправлен по этому адресу: 93.24.171.247:8028. Это все равно, что набрать номер телефона с добавочным номером.

Является ли переадресация портов безопасной?

Представьте себе, что порты вашего маршрутизатора – это двери, и большинство из них заперты. Информация из интернета все еще может попасть внутрь – она должна быть проверена и допущена маршрутизатором. Но если одна из этих дверей открыта, то любой, кто попытается войти внутрь, сможет это сделать.

В каком – то смысле это не так плохо, как кажется – открытый порт (или незапертая дверь) ведет только к тому устройству, на которое он был направлен. Но если, например, ваша камера видеонаблюдения имеет слабый пароль (или не имеет его вообще), злоумышленник может видеть то же, что видит ваша камера и даже контролировать ее. Порт, открытый непосредственно на вашем компьютере, может использоваться для заражения компьютера или для взлома вашей сети. Поэтому очень важно защищать свои устройства надежными паролями.

Другая проблема заключается в том, что порты, настроенные вручную, остаются открытыми до тех пор, пока вы не закроете их вручную. Их можно легко взломать. Обычно невозможно использовать уже занятый порт, но хакеру ничего не стоит подключиться к открытому и неиспользуемому порту.

Что такое UPnP?

Возможно, ранее вы уже использовали переадресацию портов без ручной настройки и даже не знали об этом. Как? В любом современном устройстве используется технология Universal Plug and Play (UPnP), которая позволяет приложениям открывать порты на маршрутизаторе при необходимости и закрывать их по окончании работы.

UPnP может быть удобен, но здесь также существуют потенциальные проблемы с безопасностью. Предполагается, что каждому устройству в своей локальной сети можно доверять. Поэтому если одно из них случайно заразилось вредоносным ПО, которое хочет получить прямое соединение с удаленным хакером, ваш UPnP-маршрутизатор разрешит это без вопросов. Такое подключение было бы невозможным, если бы UPnP был отключен.
Устаревшие маршрутизаторы с плохой UPnP уязвимы для ряда эксплойтов. Некоторые из них могут вообще открыть все порты на вашем маршрутизаторе или использовать UPnP для изменения DNS-сервера.

Работает ли переадресация портов с VPN?

Переадресация портов в целом может работать с протоколом VPN. Но многие из них блокируют практически все соединения порта внутри устройства, за исключением тех, которые наиболее часто используются популярными приложениями.

Серфинг интернета с открытыми портами открывает ряд рисков в области безопасности. Блокировка доступа ко всем портам, за исключением тех, которые необходимы для работы VPN и доступа в интернет, является частью того, как некоторые VPN обеспечивают вашу безопасность.