Was ist Port Forwarding und wofür wird es verwendet?

Die Grundlagen

Um die Portweiterleitung wirklich zu erklären, müssen Sie zunächst etwas mehr darüber verstehen, was Ihr Router tut. Ihr Internet Service Provider weist eine IP-Adresse Ihrer Internetverbindung zu. Alle Computer im Internet benötigen eine eindeutige IP-Adresse, aber Sie haben mehrere Computer in Ihrem Haus und nur eine Adresse. Wie funktioniert das also?

_{Wenn Sie wissen, was es ist und nur wissen wollen, wie es geht: http://portforward.com/ hat eine Anleitung mit screenshots für buchstäblich Hunderte von verschiedenen Routern. Die Dokumentation ist dort hinter einer Anzeigenseite für das automatische Portconfig-Tool versteckt. (Klicken Sie einfach ein wenig herum und Sie werden es finden.)}

NAT - Was ist das? Warum benutzen wir es?

Ihr Heimrouter hat eine Funktion namens Network Address Translation (NAT) eingebaut. In Ihrem Netzwerk haben Computer Adressen wie 192.168.1.100. Alle Adressen in der 192.168.* bereich (oder in der 10.* ) bereich sind "privat" oder "reserviert" adressen. Diese Adressen werden von IANA offiziell für die Verwendung in privaten Netzwerken zugewiesen. Ihr Router weist eine solche Adresse automatisch jedem Computer zu, der über DHCP verbunden ist. Diese Adressen sind, wie Computer in Ihrem Netzwerk mit dem Router und miteinander kommunizieren.

Ihr Router verfügt über eine separate Netzwerkschnittstelle, die ihn mit dem Internet verbindet. Diese Schnittstelle hat eine ganz andere Adresse, die von Ihrem ISP zugewiesen wird. Dies ist die eine Adresse, die ich zuvor erwähnt habe, und Ihr Router verwendet sie, um mit anderen Computern im Internet zu kommunizieren. Computer in Ihrem Netzwerk haben nicht routierbare private IP-Adressen, was bedeutet, dass Pakete, die direkt an das Internet gesendet werden, automatisch gelöscht werden (Pakete mit privaten Adressen dürfen aus Stabilitätsgründen nicht durchquert werden). Aber dein router hat eine routable Adresse. Network Address Translation, as its name suggests, übersetzt zwischen diesen beiden Arten von Adressen, wodurch die mehrere Computer innerhalb Ihres Netzwerks zu erscheinen, um das internet als ein computer mit einer Adresse.

Die Details

Obwohl dies kompliziert klingen mag, ist es eigentlich ziemlich einfach, wie Ihr Router es tut. Jedes Mal, wenn ein Computer in Ihrem Netzwerk eine Verbindung zu einem Computer im Internet herstellen möchte, es sendet die Verbindungsanforderung an den Router (es weiß, es an den Router zu senden, weil seine Standard-Gateway Parameter auf die Adresse des Routers gesetzt ist). Der Router nimmt dann diese Verbindungsanforderung (eine "SYN-Anforderung" in TCP/IP) und ändert die Quelladresse (die "Reply-to" - oder Rücksendeadresse) und ändert sie von der privaten IP des Computers in die öffentliche IP des Routers, so dass die Antwort an den Router gesendet wird. Es nimmt dann Notiz in einer Datenbank (genannt ) table), dass die Verbindung initiiert wurde, sodass sie sich später daran erinnert.

Wenn die Antwort vom entfernten Computer zurückkommt (ein" SYN-ACK"), sucht der Router in seiner NAT-Tabelle und sieht, dass eine Verbindung zu diesem Host an diesem Port zuvor von einem privaten Computer in Ihrem Netzwerk initiiert wurde, ändert die Zieladresse an die private Adresse des Computers und leitet sie in Ihrem Netzwerk weiter. Auf diese Weise können Pakete weiterhin zwischen Netzwerken hin-und hertransportiert werden, mit dem Router transparent die Adressen ändern, so dass es funktioniert. Wenn die Verbindung beendet wird, entfernt der Router sie einfach aus der NAT-Tabelle.

Oder denke so darüber nach

Dies könnte mit einer Metapher etwas einfacher zu visualisieren sein-nehmen wir an, Sie sind ein Spediteur in den USA, der mit chinesischen Kunden zusammenarbeitet. Sie müssen Pakete an viele Kunden in den USA senden, aber aus Zoll - /Papierkramgründen ist es einfacher, Pakete nur an einen Ort zu senden. Also, einen paket kommt zu Ihnen von einem Ihrer Kunden in China (das private Netzwerk, in diesem Beispiel) mit einem tatsächlichen Ziel irgendwo in den USA (das Internet). Sie ändern das Adressetikett auf dem Feld in die US-amerikanische (öffentliche) Adresse und ändern die Rücksendeadresse in Ihre eigene öffentliche Adresse (da sie nicht direkt nach China zurückgesandt werden kann, ohne den Kunden zu belästigen) und geben sie an die Post. Wenn der Kunde das Produkt zurückgibt, kommt es zu Ihnen. Sie schauen es in Ihren Aufzeichnungen nach und sehen von welchem Unternehmen in China es kam, und ändern Sie das Ziel zu diesem Unternehmen (seine private Adresse) und die Rücksendeadresse an Ihre private Adresse, so dass sie einen Ersatz durch Sie zurücksenden können.

Dies funktioniert gut, aber es ist ein bisschen ein problem. Was ist, wenn ein Kunde etwas an das Unternehmen senden muss, sagen wir eine Zahlungsanweisung für etwas? Oder nehmen wir an, ein Computer im Internet initiiert eine Verbindung mit dem Router( eine SYN-Anforderung), z. B. mit einem Webserver, der ist im Netzwerk. Der Brief / das Paket enthält nur die öffentliche Adresse des Routers, sodass der Router nicht weiß, wohin er ihn senden soll! es könnte für einen der Computer im privaten Netzwerk oder für keinen von ihnen bestimmt sein. Sie könnten dieses Problem erlebt haben, wenn Sie jemandes Telefon zu Hause anrufen - wenn sie Sie anrufen, ist es kein Problem, aber wenn Sie sie anrufen, gibt es keine Möglichkeit für sie zu wissen, wer der Anruf ist, so dass die falsche Person antworten könnte.

, Während es ist einfach genug für die Menschen, sortiere das aus, es ist viel schwieriger für Computer, weil nicht jeder Computer in Ihrem Netzwerk alle anderen Computer kennt.

Und schließlich kommen wir zur Portweiterleitung

Portweiterleitung ist, wie wir dieses Problem beheben: es ist eine Möglichkeit, Ihren Router zu sagen, welche Computer im Netzwerk eingehende Verbindungen gerichtet werden sollen. Wir haben drei verschiedene Möglichkeiten, dies zu tun:

• Faux-DMZ - : viele Router haben eine Funktion namens DMZ. Dies steht für Entmilitarisierte Zone, eine Art Netzwerksicherheitskonfiguration. Die DMZ auf Heimroutern wird oft als faux-DMZ bezeichnet, weil es die Funktionen einer tatsächlichen DMZ fehlt. Was es tut, ist die einfachste Art der Behandlung eingehender Verbindungen: Alle eingehenden Verbindungsanforderungen werden an eine in Ihrem Netzwerk angegebene gesendet. Es ist ganz einfach-Sie geben eine IP-Adresse in die Konfiguration Ihres Routers ein und alle eingehenden Verbindungen gehen dorthin. Dies funktioniert jedoch nicht immer, da Sie möglicherweise haben Sie mehrere Computer, die eingehende Verbindungen akzeptieren müssen. Dafür haben wir...
• Portweiterleitung: Alle Netzwerkverbindungsanforderungen enthalten einen "Port". Der Port ist nur eine Zahl, und es ist ein Teil davon, wie ein Computer weiß, was das Paket ist. IANA hat angegeben, dass Port 80 für HTTP verwendet wird. Dies bedeutet, dass ein eingehendes Paket mit der Portnummer 80 eine Anforderung für einen Webserver sein muss. Portweiterleitung auf Ihrem Router können Sie eine Portnummer eingeben (oder möglicherweise eine bereich oder Kombination von Zahlen, je nach Router) und eine IP-Adresse. Alle eingehenden Verbindungen mit einer passenden Portnummer werden an den internen Computer mit dieser Adresse weitergeleitet.
• UPnP Port Forwards: Die UPnP-Weiterleitung funktioniert genauso wie die Portweiterleitung, aber anstatt sie einzurichten, setzt die Software auf einem Computer im Netzwerk den Router automatisch so, dass der Datenverkehr auf einem bestimmten Port weitergeleitet wird.

Ein Beispiel

Schauen wir uns Anwendungsbeispiele. In vielen Multiplayer-Videospielen (z. B. Counter Strike) können Sie einen Spieleserver auf Ihrem Computer ausführen, mit dem andere Personen eine Verbindung herstellen können, um mit Ihnen zu spielen. Ihr Computer kennt nicht alle Personen, die spielen möchten, und kann daher keine Verbindung zu ihnen herstellen - stattdessen müssen sie neue Verbindungsanfragen aus dem Internet an Ihren Computer senden.

Wenn Sie nichts auf dem Router eingerichtet hätten, würde es diese Verbindungsanforderungen empfangen, aber es würde nicht wissen, welche der Computer im Netzwerk hatte den Spieleserver, sodass er sie einfach ignorierte (oder genauer gesagt ein Paket zurücksendet, das anzeigt, dass keine Verbindung hergestellt werden kann). Glücklicherweise kennen Sie die Portnummer, die bei Verbindungsanfragen für den Spieleserver verwendet wird. Auf dem Router legen Sie also einen Port mit der vom Spieleserver erwarteten Portnummer (z. B. 27015) und der IP-Adresse des Computers mit dem Spieleserver (z. B. 192.168.1.105) fest.
Der router wird wissen, um die eingehende Verbindungsanforderungen an 192.168.1.105 innerhalb des Netzwerks und Computer außerhalb können eine Verbindung herstellen.

Ein weiteres Beispiel wäre ein lokales Netzwerk mit zwei Rechnern, wobei der zweite mit der IP 192.168.1.10 eine Website mit Apache hostet. Daher sollte der Router eingehende Port 80-Anforderungen an diesen Computer weiterleiten. Mithilfe der Portweiterleitung können beide Computer gleichzeitig im selben Netzwerk ausgeführt werden.

Videospiele sind vielleicht die alltägliche Benutzer werden auf Portweiterleitung stoßen, obwohl die meisten modernen Spiele UPnP verwenden, so dass Sie dies nicht manuell tun müssen (stattdessen ist es vollautomatisch). Sie müssen dies jedoch tun, wenn Sie eine direkte Verbindung zu etwas in Ihrem Netzwerk herstellen möchten (und nicht über einen Vermittler im Internet). Dies kann das Ausführen eines eigenen Webservers oder das Herstellen einer Verbindung über das Remotedesktopprotokoll zu einem Ihrer Computer umfassen.

Ein Hinweis zur Sicherheit

Einer das Schöne an NAT ist, dass es eine mühelose, integrierte Sicherheit bietet. Viele Menschen wandern im Internet auf der Suche nach Maschinen, die anfällig sind... und sie tun dies, indem sie versuchen, Verbindungen mit verschiedenen Ports zu öffnen. Dies sind eingehende Verbindungen, sodass der Router sie, wie oben besprochen, fallen lässt. Dies bedeutet, dass in einer NAT-Konfiguration nur der Router selbst anfällig für Angriffe mit eingehenden Verbindungen ist. Dies ist eine gute Sache, weil der Router viel einfacher ist (und daher ist es weniger wahrscheinlich, dass sie anfällig sind) als ein Computer, auf dem ein vollständiges Betriebssystem mit viel Software ausgeführt wird. Sie sollten also bedenken, dass Sie durch das DMZ eines Computers in Ihrem Netzwerk (Festlegen des DMZ-Ziels) diese Sicherheitsebene für diesen Computer verlieren: Er ist jetzt vollständig für eingehende Verbindungen aus dem Internet geöffnet, sodass Sie ihn sichern müssen, als wäre er direkt verbunden. Natürlich wird der Computer am empfangenden Ende jedes Mal anfällig, wenn Sie einen Port weiterleiten spezifischer Hafen. Stellen Sie also sicher, dass Sie aktuelle Software ausführen, die gut konfiguriert ist.