1. ספרייה
  2. כתובות IP
  3. תרגום כתובות

כיצד עובדת העברת פורטים

עודכן לפני חודש

הנתב שלך הוא מראה חד-כיוונית. מכשירים פנימיים יכולים לראות החוצה. העולם החיצוני אינו יכול לראות פנימה.

העברת פורטים הופכת את המראה לשקופה במקומות מסוימים. אתה בוחר היכן. תעבורה חיצונית יכולה כעת להגיע למכשירים נבחרים ברשת הפרטית שלך. זה מאפשר לארח שרת משחקים מחדר השינה שלך, לגשת למצלמות אבטחה מיבשת אחרת, או להתחבר מרחוק למחשב הביתי בזמן נסיעה.

אבל שקוף פירושו שקוף לכולם — לאורחים הרצויים ולבלתי רצויים כאחד.

מה העברת פורטים עושה בפועל

תרגום כתובות רשת (NAT) מאפשר לעשרות מכשירים לשתף כתובת IP ציבורית אחת. הנתב שלך זוכר איזה מכשיר פנימי יזם כל חיבור יוצא, כך שהתשובות מוצאות את דרכן חזרה.

זה עובד מצוין לגלישה, סטרימינג והורדות — פעילויות שבהן המכשירים שלך יוזמים את החיבור. אבל NAT הוא חד-כיווני. כאשר תעבורה לא מבוקשת מגיעה מהאינטרנט — בקשת חיבור שאף מכשיר פנימי לא ביקש — לנתב אין לאן לשלוח אותה. אף מכשיר לא ביקש זאת. הפקט מת.

העברת פורטים יוצרת הנחיות קבועות שעוקפות את ברירת המחדל הזו:

  1. מכשיר חיצוני שולח בקשה לכתובת ה-IP הציבורית שלך על פורט מסוים (נניח, 8080)
  2. הנתב בודק את חוקי העברת הפורטים לאיתור התאמה
  3. אם קיים חוק, הנתב מעביר את הפקט למכשיר הפנימי המוגדר
  4. כאשר המכשיר הפנימי מגיב, הנתב מתרגם בכיוון הפוך

ללא העברת פורטים, שלב 2 לא מוצא התאמה, והפקט נמחק. עם העברת פורטים, אמרת לנתב: "תעבורה לפורט 8080 תמיד הולכת ל-192.168.1.50."

האנטומיה של העברת פורט

לכל חוק העברת פורטים יש שלושה מרכיבים:

פורט חיצוני — הפורט בממשק הציבורי של הנתב שלך שמקבל חיבורים נכנסים

כתובת IP פנימית — כתובת ה-IP הפרטית של המכשיר שאמור לקבל את התעבורה

פורט פנימי — הפורט באותו מכשיר שבו השירות מאזין

דוגמה:

External Port: 8080 → Internal IP: 192.168.1.50, Internal Port: 80

הפורטים החיצוני והפנימי לא חייבים להיות זהים. זה מאפשר לך להפעיל מספר שרתים מאחורי כתובת IP ציבורית אחת:

External 8080 → 192.168.1.50:80 (development server)
External 8081 → 192.168.1.51:80 (staging server)
External 8082 → 192.168.1.52:80 (production server)

חשוב: המכשיר הפנימי זקוק לכתובת IP קבועה. אם DHCP משנה את כתובתו, חוק ההעברה שלך מצביע למקום הלא נכון — או לשום מקום. רוב הנתבים מאפשרים לך לשמור כתובות IP לפי כתובות MAC.

מתי אתה זקוק להעברת פורטים

שרתי משחקים — אירוח משחקים מרובי שחקנים מצריך קבלת חיבורים נכנסים משחקנים אחרים.

מצלמות אבטחה — צפייה מרחוק מצריכה שתעבורה חיצונית תגיע למכשיר המצלמה.

שרתים ביתיים — שרתי אינטרנט, שרתי קבצים, Plex, וכל שירות המאוחסן עצמאית שזקוק לגישה חיצונית.

שולחן עבודה מרחוק — RDP (פורט 3389), VNC (פורט 5900), או SSH (פורט 22) לגישה מרחוק.

יישומי עמית-לעמית — BitTorrent וועידות וידאו מתפקדות טוב יותר עם חיבורים ישירים במקום שרתי ממסר.

הדפוס: בכל פעם שתעבורה חיצונית צריכה ליזום חיבור למשהו מאחורי הנתב שלך, אתה זקוק להעברת פורטים.

הפשרה הביטחונית

פעולת NAT רגילה חוסמת את כל החיבורים הנכנסים הלא מבוקשים. משטח התקיפה של הרשת שלך הוא מינימלי — אפסי בעצם לשירותים שאינך חושף בכוונה.

העברת פורטים משנה את המשוואה הזו. אתה מאפשר במפורש חיבורים לא מבוקשים לפורטים מסוימים. אם לשירות המאזין על אותו פורט יש פגיעויות, תוקפים יכולים לנצלן ישירות מהאינטרנט.

העבר רק את מה שאתה צריך. כל פורט פתוח הוא חשיפה. סגור אותם כשאינם נדרשים עוד.

שמור על עדכניות השירותים. תוכנה מיושנת עם פגיעויות ידועות הופכת לנטל ברגע שהיא חשופה לאינטרנט.

השתמש באימות חזק. מצלמות רבות ומכשירי IoT מגיעים עם פרטי גישה בברירת מחדל שמתועדים בפומבי ומנוצלים באופן פעיל.

שקול VPN במקום זאת. לגישה מרחוק לקבצים, שולחנות עבודה או מצלמות, שרת VPN מספק אבטחה טובה יותר. אתה מעביר רק את פורט ה-VPN; כל השאר נשאר מוגן מאחורי המנהרה.

לעולם אל תשתמש במצב DMZ. DMZ מעביר את כל הפורטים למכשיר יחיד, ומסלק לחלוטין את מחסום ההגנה של NAT.

השינוי הוא מהותי: אתה כבר לא מסתתר מאחורי NAT. אתה מפעיל שירות הפונה לאינטרנט. התייחס לכך בהתאם.

UPnP: נוחות במחיר

Universal Plug and Play מאפשר ליישומים ליצור אוטומטית חוקי העברת פורטים. הפעל משחק, והוא מבקש מהנתב שלך לפתוח את הפורטים שהוא צריך. הנתב נעתר ללא התערבות המשתמש.

הנוחות היא אמיתית. גיימרים לא נוגעים בהגדרות הנתב. ועידות וידאו פשוט עובדות.

עלות האבטחה גם היא אמיתית. ל-UPnP אין אימות. הוא סומך על כל מכשיר ברשת שלך לבקש העברת פורטים. אם תוכנה זדונית מדביקה מכשיר ברשת שלך, היא יכולה להשתמש ב-UPnP כדי לפתוח פורטים ולקבוע גישה חיצונית ללא ידיעתך — הנתב שלך יציית לכל מכשיר שמבקש בנימוס.

משרד הביטחון הפנים של ארה"ב ממליץ לנטרל את UPnP1.

השיטה הטובה ביותר: נטרל UPnP. השתמש בהעברת פורטים ידנית. זה נותן לך שליטה מפורשת על מה בדיוק חשוף.

בעיות נפוצות

Double NAT — שני נתבים המבצעים NAT ברצף (בדרך כלל נתב/מודם של הספק בנוסף לנתב האישי שלך). העברת הפורטים נשברת מפני שתצטרך להגדיר את שניהם. פתרון: הפעל מצב bridge בנתב הספק כך שיפעל כמודם בלבד.

CGNAT — ספקי אינטרנט מסוימים משתפים כתובת IP ציבורית אחת בין מספר לקוחות באמצעות NAT בדרגת ספק. כתובת ה-IP "הציבורית" שלך אינה ציבורית באמת, והעברת פורטים אינה יכולה לפעול2. פתרון: בקש כתובת IP ציבורית ייעודית מספק האינטרנט שלך, או השתמש בשירות מנהרה הפוכה.

חסימת פורטים על ידי הספק — ספקי אינטרנט רבים חוסמים פורטים 25, 80 ו-443 בחיבורים ביתיים. נסה פורטים לא-סטנדרטיים (8080, 8443) אם הסטנדרטיים לא עובדים.

התנגשויות עם חומת אש — חומות אש תוכנתיות במכשיר היעד יכולות לחסום חיבורים גם כאשר העברת הפורטים נכונה. צור חריגות לפורטים הספציפיים.

אי-התאמת פרוטוקול — שירותים מסוימים צריכים TCP, אחרים UDP, ויש הזקוקים לשניהם. שרתי משחקים לרוב דורשים שניהם. שרתי אינטרנט בדרך כלל צריכים רק TCP.

NAT Loopback — בדרך כלל לא ניתן לבדוק העברת פורטים על ידי התחברות לכתובת ה-IP הציבורית שלך מתוך הרשת שלך. נתבים רבים אינם תומכים בכך. בדוק מחיבור סלולרי או השתמש בכלי בדיקת פורטים מקוונים.

ההחלטה

העברת פורטים היא החלטה להפוך משהו לנגיש.

המראה החד-כיוונית של NAT קיימת מסיבה. כל נקודת שקיפות שאתה יוצר היא נתיב קבוע מהאינטרנט למכשיר במרחב הפרטי שלך. אותו מכשיר הופך לחלק ממשטח התקיפה הציבורי.

דע מה אתה חושף. שמור על עדכניות. השתמש באימות חזק. סגור פורטים כשאינם נדרשים עוד.

שאלות נפוצות על העברת פורטים

האם העברת פורטים בטוחה?

העברת פורטים היא כלי — הבטיחות תלויה במה שאתה חושף וכיצד אתה מאבטח אותו. שירות המוגדר כראוי, מעודכן באופן קבוע ועם אימות חזק, יכול להיחשף בבטחה. שירות מיושן עם פרטי גישה בברירת מחדל הוא הזמנה לתוקפים.

מה ההבדל בין העברת פורטים ל-VPN?

העברת פורטים חושפת שירות ספציפי ישירות לאינטרנט. VPN יוצר מנהרה מוצפנת שגורמת למכשיר המרוחק שלך לפעול כאילו הוא ברשת המקומית שלך. עבור רוב צרכי הגישה מרחוק, VPN מאובטח יותר מפני שאתה חושף רק את פורט ה-VPN במקום כל שירות בנפרד.

מדוע אינני יכול לבדוק את העברת הפורטים שלי מתוך הרשת שלי?

זה נקרא NAT loopback או hairpin NAT. כאשר אתה מתחבר לכתובת ה-IP הציבורית שלך מתוך הרשת שלך, רוב הנתבים אינם יודעים כיצד לנתב את התעבורה חזרה למכשיר הפנימי. בדוק מרשת חיצונית (סלולרי) או השתמש בכלי בדיקת פורטים מקוונים.

האם אני צריך להעביר פורטים למשחקים?

לשחק משחקים כלקוח, בדרך כלל לא — NAT מטפל בחיבורים יוצאים מצוין. לאירוח שרתי משחקים שאחרים מתחברים אליהם, כן. משחקים מסוימים משתמשים ב-UPnP לטיפול בכך אוטומטית, אם כי העברה ידנית אמינה ומאובטחת יותר.

מה קורה אם אני מעביר פורט ואין שום דבר שמאזין?

ניסיון החיבור נכשל. הנתב מעביר את הפקט לכתובת ה-IP הפנימית, אבל אם אין שירות שמאזין על אותו פורט, המכשיר דוחה את החיבור. זה לא מזיק אך מבזבז את חוק ההעברה.

מקורות

הקודם

מהו CGNAT (NAT ברמת הספק)?

הבא

מה זה Double NAT ואיך לתקן אותו

האם דף זה היה מועיל?

😔
🤨
😃