Как перенаправить интернет на одно приложение

Обновлено: 05.01.2025

Вероятно, у вас уже возникало желание каким-то образом ограничить трафик определенному приложению, чтобы оно не мешало работе другого. Нужный инструмент для выполнения этой задачи есть - утилита NetLimiter, предназначенная не только для ограничения трафика на download/upload, но и обладающая возможностями по мониторингу и сбору статистики использования интернет-соединений.

реклама

Программа умеет устанавливать ограничения скорости для приложений или отдельных подключений, графически демонстрировать использование канала, отображать подробную статистику по трафику (в том числе и для каждого приложения), имеет встроенный планировщик, способный ограничивать трафик приложений по расписанию.

В новую версию NetLimiter 1.30 внесены такие изменения:

• Увеличено быстродействие.
• Устранена внутренняя ошибка, приводившая к сбою программы.
• Исправлены мелкие ошибки.

MSI RTX 3070 сливают дешевле любой другой, это за копейки Дешевая 3070 Gigabyte - цена падает из-за снижения крипты

• NetLimiter 1.30 (0,5 МБ, Windows 9x/ME/NT/2000/XP/2003).

Комментарии

Популярные статьи

Сейчас обсуждают

Для регистрации перейдите по ссылке, указанной ниже. Если у вас уже есть аккаунт в конференции, то для доступа ко всем функциям сайта вам достаточно войти в конференции под своим аккаунтом.

Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!

Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам , удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.

Даже если у вас очень быстрый игровой компьютер с видеокартой вроде RTX 3080 и другими мощными компонентами, это не гарантирует быстрого доступа в интернет. Без такого доступа ваши возможности добиваться успеха в сетевых играх будут ограниченными.

Соперники с более слабыми компьютерами, но с более быстрым доступом в интернет, покажут более быструю реакцию и будут побеждать вас. Это же относится к игровым консолям. Если у вашего противника такая же модель, но лучше доступ в интернет, у него будет преимущество.

Самым очевидным советом является подключение к лучшему доступному вам провайдеру интернета. Однако, мы предположим, что вы уже подключились к лучшему провайдеру и тарифу, который можете себе позволить. После этого есть ещё несколько вещей, которые можно использовать для улучшения вашего подключения.

Пинг и пропускная способность: насколько быстр ваш интернет?

Прежде чем что-то менять, нужно оценить то, что есть. Для интернета это означает, на какой пинг вы можете рассчитывать в играх. Пинг представляет собой простое измерение, которое показывает скорость отправки данных на определённый IP-адрес и скорость получения ответа с этого адреса.

Этот показатель прямо влияет на игры в интернете. Пинг может считаться задержкой. Например, если пинг равен 350 мс, вы видите события в игре через 350 мс после того, как они произошли. Чтобы с комфортом играть в сетевые игры, нужен минимальный пинг. Многое зависит от конкретной игры.

В некоторые игры невозможно играть с пингом больше 200 мс, а в некоторые даже больше чем 50 мс. Если говорить об игровом процессе, каждые лишние 50 мс заметны и ухудшают удовольствие от игры. Кроме того, пинг не является неизменным.

Проверять пинг нужно между определёнными местоположениями. Вы измеряете пинг до каждого конкретного сервера. Для подробного тестирования можно использовать GameServerPing. Быстрый пинг означает более отзывчивое подключение, что особенно важно для видеоигр.

Как показано на изображении, в данном случае подключение к интернету имеет низкую задержку для европейских серверов и можно даже попробовать сыграть на американских серверах. Пинг с японскими и австралийскими серверами слишком высокий.

Именно по этой причине популярные онлайн-игры обладают множеством игровых серверов по всему миру, чтобы вы могли подключиться к ближайшему и получить максимальную скорость.

Существующие и рекомендуемые диапазоны пинга:

• Меньше 20 мс. Отличное значение. Оптимальное для игр. Во время игр не будет никаких подтормаживаний. Если что-то работает медленно, то виновато не подключение к интернету.
• 20-50 мс. Хорошее значение. Встречается довольно часто. Скорость достаточно хорошая, хотя требовательные игроки предпочтут не больше 20 мс.
• 50-100 мс. Удовлетворительное значение. Его можно рассматривать как среднее. Могут быть подтормаживания, в некоторых играх противники будут иметь преимущество над вами.
• 100-300 мс. Плохое значение. Играть всё равно можно, но будут подтормаживания. Это может раздражать и приводить к поражениям.
• Больше 300 мс. Неиграбельно. Такое подключение не подходит для онлайн-игр.

Кроме пинга, важным параметром является скорость подключения к интернету. Играм не требуется очень быстрое подключение, но нужна входящая скорость как минимум 30 Мбит/с. Имейте в виду, что одновременно с вами в интернет могут выходить родственники и они также занимают полосу пропускания. В таком случае нужно выбирать скорость подключения с запасом. Например, 100 Мбит/с или даже больше.

SpeedTest позволяет автоматически подключиться к ближайшему серверу и вы узнаете минимальный пинг. Что делать, если вы играете с кем-то с другого континента? В таком случае пинг будет значительно выше. Пинг из Польши до некоторых стран показан в таблице ниже.

Можно настроить используемые по умолчанию серверы DNS на уровне маршрутизатора. Это означает, что к нему будут подключаться все устройства вашей сети Wi-Fi. Хотя каждый производитель маршрутизаторов использует разный пользовательский интерфейс для настройки серверов DNS, найти их нетрудно. Там вы должны ввести указанные выше адреса.

Если ничего не помогло, пора обновляться

В наши дни в каждой семье полно смартфонов, планшетов, умных телевизоров, компьютеров, умных часов и тому подобных компьютерных устройств. Все они просят доступ в интернет. Необходимость в качественном маршрутизаторе сейчас высока как никогда. Если у вас маршрутизатор, который вам предоставил ваш провайдер, велика вероятность, что для игр он подходит не лучшим образом.

В продаже есть игровые маршрутизаторы, которые обладают встроенными функциями для оптимизации подключения. Не нужно покупать игровой маршрутизатор только потому, что так он назван на коробке. Это сложная категория устройства и они годятся не для всех. Как уже сказано выше, игры зависят больше от задержек, чем от пропускной способности сети.

Почему VPN могут не шифровать весь трафик?

В определенных обстоятельствах служба VPN может не шифровать весь трафик, и в зависимости от того, как настроен клиент VPN, мы можем туннелировать определенный трафик через VPN, а другой трафик через нашего интернет-оператора или через Wi-Fi, последний в обход VPN-сервера. Из-за этих настроек возможна утечка конфиденциальных данных о нас при использовании VPN. Если мы подключаемся через VPN и он настроен неправильно, мы можем непреднамеренно предоставить конфиденциальные данные, которые мы не предоставили бы в других обстоятельствах (в общедоступной сети Wi-Fi).

Бывают случаи, когда часть трафика может ускользнуть из частного туннеля, который генерирует VPN, в зависимости от наших потребностей, это может быть серьезным недостатком безопасности или характеристикой VPN. Мы должны помнить о концепции « Сплит-VPN «, Split-VPN или разделенный туннель состоит в том, что определенный трафик будет проходить через VPN-сервер от клиента, но другой трафик не будет проходить через указанный сервер, а будет проходить напрямую через нашего оператора, без предоставления нам конфиденциальности данных и аутентификации. Если вы настроили VPN для перенаправления всего сетевого трафика через сервер и обнаружите, что у вас есть разделенный туннель, тогда действительно возникают проблемы, потому что это не та конфигурация, которую вы сделали.

Тесно связанный с VPN, когда мы туннелируем весь трафик, у нас есть еще одна особенность VPN - это « Аварийная кнопка «, Эта функция позволит нам блокировать трафик, уходящий с нашего компьютера, в случае отказа VPN, то есть, если VPN выйдет из строя, маршруты ПК, смартфона или устройства, которое мы используем, не будут изменены, мы будем просто прекратите подключение к Интернету, но никакие данные не будут отфильтрованы.

Как убедиться, что весь трафик проходит через VPN

Быстрый способ убедиться, что весь сетевой трафик проходит через VPN-сервер, - это использовать любую службу для проверки общедоступного IP-адреса нашего соединения. Если мы перенаправляем весь трафик, это означает, что мы должны видеть общедоступный IP-адрес VPN-сервера, к которому мы подключились, и мы не увидим общедоступный IP-адрес нашего фактического соединения.

Еще один способ проверить, проходит ли весь трафик через VPN, - это проверить маршруты нашего ПК, сервера или устройства. На Windows На компьютерах необходимо открыть командную строку и ввести следующее:

В таблице маршрутизации для сетей IPv4 или IPv6, когда мы подключены к нашему домашнему маршрутизатору, должен появиться шлюз по умолчанию с соответствующим маршрутом ко всей локальной сети и различным подсетям различных сетевых интерфейсов, которые у нас есть. Как видите, первый маршрут перенаправляет весь трафик на шлюз по умолчанию: сетевое назначение 0.0.0.0 (любое), маска 0.0.0.0 (любое), а шлюз - 10.11. 1.1, который является нашим маршрутизатором, а интерфейс 10.11.1.2 - нашим IP.

В таблице маршрутизации для сетей IPv4 или IPv6, когда мы подключаемся к VPN-серверу с перенаправлением трафика, должен отображаться шлюз по умолчанию с соответствующим маршрутом ко всей локальной сети и различным подсетям различных сетевых интерфейсов, которые у нас есть. Как видите, первый маршрут перенаправляет весь трафик на шлюз по умолчанию: сетевое назначение 0.0.0.0 (любое), маска 0.0.0.0 (любое), а шлюз - 10.11. 1.1, который является нашим маршрутизатором, а интерфейс 10.11.1.2 - нашим IP.

И во втором маршруте мы увидим, что с любым адресатом и маской 128.0.0.0 он пересылается через IP 10.8.0.5, который является IP-адресом VPN-туннеля, нам понадобятся оба маршрута для правильного доступа к Интернету с любой службой.

В других операционных системах вы также можете проверить таблицу маршрутизации и убедиться в правильности маршрутов, например, в Linux системы можно поставить:

В зависимости от программного обеспечения, которое вы используете в различных существующих стандартах VPN, мы будем перенаправлять трафик полностью или только в определенные подсети. Первое, что нужно иметь в виду, это то, что такие сервисы, как Surfshark VPN, NordVPN, PureVPN и другие, всегда перенаправляют трафик, независимо от того, используют ли они IPsec, OpenVPN или WireGuard.

VPN-соединение, созданное в Windows 10

1. Вам нужно перейти в Панель управления / Центр сетей и ресурсов.
2. Вы находите VPN-соединение, щелкаете правой кнопкой мыши на «Свойства», на вкладке «Сети» выбираете Интернет-протокол версии 4 (TCP / IPv4), мы снова нажимаем кнопку «Свойства».
3. В открывшемся окне мы нажимаем на кнопку Advanced, здесь мы убеждаемся, что опция «Использовать шлюз по умолчанию в удаленной сети» отмечена. Нажимаем принять и перезапускаем VPN-соединение.

VPN-соединение с OpenVPN в любой операционной системе

Если вы используете протокол OpenVPN, мы должны убедиться, что у нас есть следующее предложение на сервере VPN, чтобы клиенты VPN правильно принимали конфигурацию и перенаправляли весь сетевой трафик.

push "redirect-gateway def1"

Таким образом, «push» сообщит VPN-клиенту, что он должен отправлять абсолютно весь трафик через VPN-сервер. В случае, если у нас есть VPN-клиент, с помощью которого выполняется «split-vpn», когда он получает этот push, он автоматически перенаправляет весь сетевой трафик, но мы можем этого избежать и иметь доступ только к локальной домашней сети следующим образом:

route-nopull
route 192.168.1.0 255.255.255.0 10.8.0.1

Сеть 192.168.1.0/24 будет локальной сетью, а IP 10.8.0.1 будет там, где сервер OpenVPN будет прослушивать.

VPN-соединение с WireGuard в любой операционной системе

Если вы хотите получить доступ только к определенным подсетям и использовать split-vpn, вам следует сделать:

VPN-соединение - любой IPsec

Если вы используете программу для подключения к VPN-серверам с IPsec, способ перенаправления всего трафика через VPN - указать «0.0.0.0/0», это что-то универсальное и действует как для WireGuard, так и для остальных протоколов VPN. что мы можем использовать.

Закрытые порты – это распространённая проблема, особенно для компьютерных игр. Бывает так, что любимая игра не работает из-за невозможности подключиться, например, к серверу. Или ваше лобби (хост/сервер) в игре никто не может найти. Тогда люди начинают заниматься поисками причины этого недоразумения там, где их нет. Часто проблема заключается не в интернет-соединении и даже не в несовместимости с программным обеспечением.

Как правило, проблема заключается в закрытых каналах для передачи данных, но, чтобы решить эту проблему, необходимо открыть порты. И начать, пожалуй, следует с IP-адреса ПК, поскольку он вам ещё пригодится, когда дело дойдёт до настройки портов в роутере.

Что значит «открыть порт», почему они вообще могут быть закрыты?

Канал передачи данных из внешней сети до вашего компьютера может быть заблокирован по трем причинам:

1) Брандмауэр / Антивирус
Может банально заблокировать приложению доступ в интернет по всем портам. Или в режиме сверхбезопасности по умолчанию блокировать любые данные из сети.

2) Маршрутизатор / Роутер
Дополнительный передатчик усложняет маршрут до компьютера, порой делая его сложным для игры / приложения.

3) Вирус / Кривая сборка Windows
Это спонтанные ошибки, наглухо заблокированные адреса, недостаток прав, некорректная работа встроенных в ОС сетевых служб и все такое.

Как бороться с каждой из трех возможных причин, читайте далее в статье, пользуясь пошаговыми инструкциями.

Где и как можно узнать свой IP-адрес?

Если роутер новый, а вы с ним ничего не делали, как его настроили, тогда IP-адрес можно посмотреть на устройстве (на дне или сзади), где заодно будет указан пароль вместе с логином для входа в настройки роутера.

Как узнать IP-адрес на Windows 10?

В случае с Win 10 нужно сделать следующее:

• Нажимаете ЛКМ по значку трея «Параметры сети и Интернет»;

Существует и другой способ узнать IP-адрес на «десятке». Для этого нужно воспользоваться инструментом под названием «PowerShell»:

• Нажимаете на значок «Пуск» и в меню находите «Windows PowerShell». Либо просто вбейте «cmd» в поиск и нажмите «Enter» для запуска старой доброй командной строки.

Несмотря на тот факт, что операционную систему Windows 7 больше не поддерживают, она всё ещё популярна среди уверенных пользователей PC. Поэтому инструкция определённо поможет, если вы тот самый консервативный человек:

• В трее отыщите (если вы не убрали панель) иконку своего интернет-подключения, после чего перейдите к центру управления подключениями;

Прелесть вышеописанного способа очевидна – не нужно ничего уметь. Достаточно знать, как кликать мышкой. Однако существует и другой способ, благодаря которому IP-адрес можно узнать быстрее, но он не подойдёт для рядовых пользователей ПК:

• Необходимо запустить окошко с меню «Выполнить» с помощью «горячих» клавиш «Win+R» прописать команду «npca.cpl»;

• Снова открывайте командную строку с помощью сочетания клавиш «Win+R», где на этот раз прописываете команду «cmd»;

Как проверить статус своих портов?

Перед тем как начнёте разбираться с портами, рекомендуем для начала ознакомиться с их статусом, иначе не узнаёте, какой порт – работает, а какой – нет. И, соответственно, не сможете включить или настроить их.

• Выбираете «Пуск» находите «Программы» далее выбираете «Стандартные» нажимаете на «Командную строку». Или в поисковой строке просто введите «cmd», чтобы запустилась командная строка;

Как открыть порт через «Брандмауэр Windows»?

Брандмауэр защищает компьютер не только от вирусов, но и ещё от шпионских вредоносных программ, которые запросто могут попасть к вам через интернет-соединение. Кроме того, встроенный защитник умеет отслеживать не только исполняемые процессы, но и трафик, именно поэтому с его помощью можно в некоторых случаях разблокировать определённые порты для конкретных задач.

И обычно при первом запуске приложения/программы «Брандмауэр Windows» спрашивает можно ли запустить тот или иной процесс, где нужно выбрать вариант «Разрешить доступ», благодаря чему он не блокирует приложение, но если по каким-то причинам пропустили этот момент, придётся прибегнуть к нижеописанному способу:

• Откройте «Панель управления» перейдите в раздел «Система и безопасность» (на Win 10 сразу «Брандмауэр») найдите и перейдите в «Брандмауэр Windows» «Дополнительные параметры»;

По итогу вы создадите новое правило, которое открывает порт для выбранной игры. Кроме того, описанный выше способ стандартный, то есть он абсолютно идентичный для всех версий ОС Windows, начиная с Win 7 и заканчивая последней на данный момент Win 10.

Важно: дополнительный брандмауэр / сетевой экран / фаерволл может быть встроен в антивирус (ESET Node Smart Security Family / Kaspersky и т.д.). В таком случае следует зайти в его настройки и проверить, не блокирует ли данная навороченная защита конкретное приложение или порт.

Как открыть порт в настройках роутера?

Большинство современных игр и роутеров поддерживают опцию Universal Plug and Play (UPnP), которая создана для избавления от всех проблем с портами. Так что для автоматического «пробрасывания» портов обычно достаточно просто включить ее, поставив галочку в настройках маршрутизатора.

Если включение UPnP не помогает, значит нужно связать IP компьютера в локальной сети и нужные порты вручную. Этот процесс не занимает больше десяти минут, при этом часто помогает решить проблему закрытых портов. Рекомендуем воспользоваться нашими инструкциями:

Примечание: настройка производилась на оборудовании ASUS RT-N12 C1 с микропрограммой 3.0.0.4.260 (черный интерфейс).

1. Подключаемся к своему роутеру через браузер (вводим в адресной строке 192.168.1.1), вводим логин и пароль (обычно это admin / admin). Узнать об этом можно на обратной стороне роутера или в инструкции к нему.
   
2. В левом меню выбираем «Интернет» (или WAN) «Переадресация портов» (или Virtual Server/Port Forwarding)
   
3. Включаем данную опцию, поставив галочку напротив «Включить переадресацию портов: Да».
   
4. Выбираем из готовых шаблонов заданные порты или вписываем свои:

• Имя службы можно быть любое.
  
• Диапазон портов можно ввести как один порт (например, 80), так и диапазон (27000:27099).
  
• Локальный IP.
  
• Конечный порт Так же, как и в «Диапазон», нужно вводить в зависимости от того, что сначала ввели один или диапазон
  
• Протокол TCP/UDP/BOTH/OTHER выбрать один (обычно выбирают TCP/UDP порты).

Примечание: настройка производится на роутере D-link DIR 615 с белым интерфейсом новейшей микропрограммы 2.5.20.

1. Подключаемся к своему роутеру через браузер (вводим в адресную строку 192.168.0.1. или в некоторых случаях 192.168.1.1) с логином и паролем (admin / admin). Узнать данные для входа, если они другие, можно на обратной стороне роутера или в инструкции к нему.
   
2. В левом меню выбираем «Межсетевой экран»«Виртуальные серверы».
   
3. Выбираем из готовых шаблонов , или вписываем свои (выбрав пункт «Costom»):

• Имя службы можно быть любое
  
• Протокол выбираем нужный протокол.
  
• Внешний порт (начальный).
  
• Внутренний порт (начальный).
  
• Внутренний IP.

Примечание: настройка производится на роутере TP-LINK TL-WR940N / TL-WR941ND с микропрограммой 3.13.31.

1. Подключаемся к своему роутеру через браузер (вводим в адресную строку 192.168.0.1 или 192.168.1.1) с логином и паролем (admin / admin по дефолту). Узнать другие данные для входа в админку роутера можно на обратной стороне роутера или в инструкции к нему.
   
2. В левом меню выбираем «Переадресация» (Forwarding) «Виртуальные серверы» (Virtual Server).
   
3. После открытия раздела «Виртуальные серверы» перед вами должна появиться страница со списком открытых портов. Для того чтобы открыть нужный вам порт, здесь нужно нажать на кнопку «Добавить новый» и заполнить форму:

• Порт сервиса внешний порт. Здесь нужно ввести порт (или диапазон портов через знак дефиз, например, 10100-10200)
  
• Внутренний порт внутренний порт, который будет использоваться программами на вашем компьютере.
  
• IP адрес.
  
• Протокол.
  
• Состояние (Status) статус порта.

Примечание: настройка в примере производилась на роутере ZyXEL Keenetic с микропрограммой 2.0.

1. Подключаемся к своему роутеру через браузер (вводим путь 192.168.0.1 или 192.168.1.1) с логином и паролем (по стандарту это admin / admin или admin / 1234). Узнать данные для входа ,если они отличаются, можно на обратной стороне роутера или в инструкции к нему.
   
2. В левом меню выбираем «Безопасность» (в виде щита) «Трансляция сетевых адресов (NAT)».
   
3. После открытия раздела «Трансляция сетевых адресов (NAT)» нажимаем на кнопку «Добавить» и добавляем по шаблону:

Что делать, если ничего не помогло?

В таком случае проблема лежит либо на вашей стороне, либо на стороне «любимого» интернет-провайдера. Как определить? Если проблема на вашей стороне, тогда это может быть связано:

• В первую очередь с вирусами и антивирусами, потому что действия обоих могут запросто ограничивать работу бедного маршрутизатора;

Если в очередной раз ничего не помогло, тогда совершенно точно закрытые порты связаны либо с тарифом интернет-провайдера, либо со злыми вирусами:

• В первом случае проблема в том, что часто поставщики устанавливают дешёвые маршрутизаторы, а их недостаток заключается в том, что они блокируют входы, создают трудности при подключении, «режут» скорость и многое другое. Поэтому желательно купить собственный роутер и грамотно «перебросить порты» в его настройках, используя вышеупомянутые инструкции для конкретных фирм;

Порты позволяют сетевым и подключенным к интернету устройствам взаимодействовать через указанные каналы. Хотя серверы с назначенными IP адресами могут подключаться к интернету напрямую и делать порты публично доступными, система, находящаяся за роутером в локальной сети, может оказаться недоступной из интернета. Технология проброса портов (port forwarding) позволяет преодолеть это ограничение и сделать устройства доступными публично.

Сетевые сервисы и приложения, запущенные на различных устройствах, используют порты с определенными номерами с целью инициации соединений и организации коммуникаций. Разные порты могут использоваться одновременно для разделения типов трафика и запросов. Обычно порты ассоциируются с определенными службами, чтобы клиент мог подключиться к серверу по определенному порту, а сервер принять соединение и ответить соответствующим образом.

Ниже представлены наиболее распространенные порты:

Хотя порты упрощают задачу идентификации и обработки определенных запросов, соглашение о нумерации портов является стандартом, но не правилом. Порты могут использовать для любых задач при условии, что соединение между клиентом и сервером на указанном порту использует соответствующий протокол.

Хотя любой открытый порт должен позволять попытки соединения, чтобы эти попытки совершились, у клиента должен быть сетевой доступ к целевому устройству. В случае с сервером, подключенным к интернету напрямую, или при соединении через локальную сеть, сложностей обычно не возникает. Проблема появляется в тот момент, когда мы пытаемся подключиться к порту у устройства, находящегося за роутером или фаерволом.

Шаг 1. Выяснение IP адреса роутера

В Линуксе та же самая задача решается при помощи утилиты netstat. Откройте терминал и введите следующую команду для выяснения IP адреса подключенного роутера.

В macOS используется та же самая команда:

Шаг 2. Доступ к конфигурационной панели роутера

После выяснения локального IP адреса роутера вы можете получить доступ к конфигурационной панели, если введете адрес в браузере, как и в случае с обычным URL (у некоторых роутеров, например, предусмотрено мобильное приложение, и задача упрощается).

Рисунок 2: Форма авторизации конфигурационной панели роутера

После загрузки панели управления необходимо выполнить авторизацию. Имя пользователя и пароль могут быть установлены производителем или интернет-провайдером или вами. Эту информацию можно найти в документации на роутер или на корпусе.

Хотя у разных роутеров панель управления может отличаться, в целом процедура настройки примерно одинаковая. После авторизации зайдите в раздел «Advanced» или найдите, где находится раздел «Port Forwarding». В нашем случае соответствующий раздел называется «Advanced Port Forwarding Rules».

Рисунок 3: Раздел с настройкой проброса портов

Шаг 3. Настройка правил проброса портов

Для демонстрации правил проброса портов рассмотрим простейший случай, когда у пользователя есть устройство Raspberry Pi, подключенное домашнему сетевому роутеру. На Pi запущена служба SSH, позволяющая залогиниться на устройстве при наличии корректного имени пользователя и пароля. Текущий IP адрес устройства Raspberry Pi - 192.168.0.105.

Правило было названо как «RBPi SSH» с целью упрощения идентификации в будущем. В целом имя правила полностью зависит от ваших личных предпочтений и не влияет на используемые порты.

Диапазон параметра Public Port (иногда именуемого как Source Port) установлен от 22 до 22 (стандартный порт протокола SSH). Этот порт роутер сделает доступным через интернет. Через этот же порт пользователь будет подключаться к Raspberry Pi.

Параметр Private Port (иногда именуемый как Destination Port) установлен как 22, поскольку демон SSH на устройстве Pi работает на 22 порту.

Параметр Traffic Type установлен как TCP, поскольку по протоколу SSH передается TCP трафик.

Параметр IP Address соответствует IP адресу устройства Pi в локальной сети (192.168.0.105).

Наконец, слева от правила отмечен флажок, чтобы правило стало активным.

У вашего роутера интерфейс может отличаться, но в целом суть настроек остается неизменной.

Рисунок 4: Настройки правила проброса портов для авторизации через протокол SSH

Вышеуказанное правило означает, что пользователь может подключаться по IP адресу роутера по протоколу SSH через интернет и впоследствии будет перенаправлен на сервер устройства Raspberry Pi. Эту схему можно использовать для создания веб-сервера, работающего на 80 порту, или, например, для прикрепления сервера видеоигр к указанному порту. Учитывайте, что у некоторых провайдеров есть правила, касательно хостинга и другого контента, которые нужно учитывать перед тем, как сделать доступным сервер из локальной сети.

Шаг 4. Защита от сканирования портов и атак

Одна из проблем, возникающая во время открытия портов в интернете при помощи проброса – порты становятся доступными для сканирования. Злоумышленники в интернете могут использовать автоматизированные средства для сканирования диапазонов IP адресов или утилиты навроде Shodan для поиска потенциально уязвимых устройств с определенными активными портами. Порты протокола SSH являются основной целью, поскольку дают доступ к шеллу, при помощи которого можно украсть данные или установить вредоносное приложение.

В случае проброса портов для защиты от сканирования может оказаться полезным поменять публичный или исходный порт в настройках роутера. Вместо распространенного порта 22, на который настроены все сканеры, можно указать нестандартный порт (например, 9022).

Рисунок 5: Настройка SSH на нестандартный порт

После смены порта клиент при подключении к устройствам через SSH из интернета должен будет указать порт 9022. Попытка подключиться к порту 22 извне окажется неудачной, поскольку проброс будет идти от порта 9022, а не от порта 22.

Вы также можете использовать сервис типа Fail2ban (фреймворк для защиты от внешний вторжений), предназначенного для защиты сети от атак с использованием брутфорса, после того как злоумышленник найдет активный порт. Утилиты навроде Fail2ban ограничивают количество попыток авторизации, выполняемых из внешней сети.

Проброс портов в Линуксе на системном уровне

Проброс портов на уровне роутера может быть полезным для настройки сетей, доступных через интернет. В Линуксе ту же самую задачу можно решить на системном уровне.

Схожим образом, что и порт роутера связывается с указанным портом устройства внутри локальной сети, один порт можно связать с другим для упрощения использования. Например, при установке ханипота Cowrie демон SSH перемещается от порта 22 на порт 9022. Затем порт 2222, где работает ханипот, перенаправляется на порт 22, который будет доступен в интернете и, как следствие, с высокой степенью вероятности просканирован и атакован.

Для конфигурирования локального проброса портов в Линуксе вначале нужно выполнить следующую команду с целью установки в параметр ip_forward значения 1 (в этом случае проброс портов активируется на уровне операционной системы):

Как только IP форвардинг включен, убедитесь, что вы знаете текущий порт сервиса, который нужно пробросить. Во время конфигурирования ханипота Cowrie эта задача решается посредством настройки демона SSH на порт 9022.

Наконец, для включения локального проброса портов, можно воспользоваться iptables. Команда ниже перенаправляет запросы с порта 22 на порт 2222, где эти запросы обрабатывает ханипот.

Другие сферы, где используется проброс портов

Перенаправление портов может использоваться и в других задачах. Например, порт 8080 может быть перенаправлен на порт 80 с целью облегчения доступа к тестовому серверу, или могут быть добавлены новые порты для использования определенной службой. Проброс портов полезен для удаленного доступа, администрирования сервера, конфигурирования сети и даже во время пост-эксплуатации и пивотинга. Понимание этой технологии может быть ключом к бесчисленному множеству других проектов по безопасности.

Читайте также:

  
• Айфон не открываются приложения и не выключается
  
• Приложению outlook не удается подключиться к серверу
  
• Как установить приложение сбис на компьютер
  
• Что такое режим концентрации на телефоне android и приложение стало сервис и как его отключить
  
• Как удалить письма в яндекс почте от одного адресата все сразу на телефоне