В интернет-центрах Keenetic по умолчанию работают встроенный Межсетевой экран (Firewall) и механизм Трансляция сетевых адресов (NAT), что позволяет скрыть и защитить устройства домашней сети от пользователей Интернета и угроз извне. Обе функции являются важным элементом безопасности локальной сети.
Но при этом, следует помнить, что Трансляция сетевых адресов и Межсетевой экран — функции, предназначенные для решения принципиально разных задач.
Чтобы разобраться в каких случаях следует использовать правила переадресации портов в NAT, а в каких правила Firewall, рассмотрим сначала назначение каждой из указанных функций.
Трансляция сетевых адресов (NAT, Network Address Translation) — этот механизм позволяет использовать всем устройствам локальной сети (компьютерам, планшетам, смартфонам) единственный IP-адрес внешнего интерфейса, через который происходит подключение к Интернету или внешней сети. Самый распространенный случай: на роутер выделяется один публичный белый IP-адрес (через который и осуществляется выход во внешнюю сеть), за которым работают и получают доступ устройства домашней сети с локальными/внутренними IP-адресами (по умолчанию из подсети 192.168.1.x).
В простейшем случае при работе NAT происходит подмена в сетевых пакетах IP-адреса источника и назначения. У пакетов, приходящих из внешней сети, меняется адрес получателя, у пакетов из внутренней — отправителя. В частности, NAT изменяет IP-адрес источника (внутренний локальный/частный адрес) в сетевом пакете, принятом от устройства локальной сети, на глобальный/внешний адрес перед передачей пакета во внешнюю сеть. При получении ответа NAT преобразовывает адрес получателя (внешний адрес) обратно в локальный/внутренний адрес перед передачей его исходному внутреннему хосту сети.
По умолчанию механизм NAT настроен таким образом, чтобы предотвращать или ограничивать обращение извне (со стороны внешней сети) к устройствам локальной сети, оставляя возможность обращения из локальной сети во внешнюю. NAT позволяет скрыть внутренние сервисы компьютеров/серверов локальной сети от обращений из Интернета.
С помощью пользовательских правил переадресации портов можно определенные внутренние сервисы (например, Веб- или FTP-сервер), расположенные в локальной сети за NAT, сделать видимыми (доступными) для внешних пользователей из Интернета. Для этого нужно создать правила NAT для трансляции (иногда говорят — для "перенаправления", "проброса", "открытия") определенных портов через роутер на компьютер/сервер локальной сети (этот механизм также называют Port Forwarding). По сути, такие правила определяют трансляцию трафика из внешней сети во внутреннюю (такой тип правил NAT называют Destination NAT).
NOTE: Важно! Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье "В чем отличие "белого" и "серого" IP-адреса?"
Приведем примеры, в каких случаях следует использовать переадресацию портов:
- Предоставить доступ из Интернета на сетевое хранилище (NAS), к IP-камере или серверу (WWW, FTP и др.) локальной сети;
- Предоставить доступ из Интернета на компьютер домашней сети, используя специальные службы для удаленного подключения рабочих столов. Например, с помощью Remote Desktop (из состава ОС Windows) или через программы Radmin, VNC и др;
- Выполнить подмену номера порта ("маппинг") для обращения на другой порт. Например, перевести удаленное управление роутером из Интернета на другой порт (в случае, если ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080);
- Открытие портов для торрента, игровых консолей, и других приложений, которые используют входящий трафик из внешней сети для работы каких-то функций.
Дополнительная информация:
NOTE: Важно! В интернет-центрах Keenetic настраивать дополнительно к правилу переадресации портов разрешающее правило в настройках межсетевого экрана НЕ НУЖНО. Достаточно создать только правило переадресации портов в NAT.
При использовании некоторых служб интернет-центра (например, VPN-сервер PPTP, VPN-сервер L2TP/IPsec, FTP-сервер, служба UPnP) автоматически включаются правила переадресации портов для трансляции адресов из внутренней сети во внешнюю. Данные правила не отображаются в веб-конфигураторе роутера.
Межсетевой экран (Firewall, сетевой экран) — предназначен для защиты устройств локальной сети от атак извне. В общем случае, сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов. Прежде всего межсетевой экран предназначен для обеспечения безопасности и разграничения доступа. По умолчанию встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов (LAN) сети в публичные (WAN), и запрещает в обратную сторону. Пользовательскими настройками (правилами) можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети (путем блокирования портов или протоколов). Фактически правила Firewall осуществляют проверку — пропустить (разрешить) сетевой пакет или отбросить (запретить).
Приведем примеры, в каких случаях следует использовать правила межсетевого экрана:
- Разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ, и наоборот — заблокировать доступ в Интернет только для определенных компьютеров локальной сети, а всем остальным разрешить доступ;
- Заблокировать доступ к определенным веб-сайтам из локальной сети;
- Разрешить определенным компьютерам локальной сети доступ только к какому-то одному указанному веб-сайту (или нескольким сайтам);
- Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам);
- Блокировать (запретить) передачу трафика по определенным портам или протоколам;
- Заблокировать доступ с определенных IP-адресов к интернет-центру со стороны Интернета или внешней сети;
- Разрешить удаленное управление интернет-центром из Интернета только с определенных IP-адресов.
Дополнительная информация:
NOTE: Важно! В Keenetic сначала выполняются правила трансляции адресов (NAT), а затем правила межсетевого экрана (Firewall).
TIP: Примечание: Некоторые интернет-провайдеры не позволяют клиентам своей сети запускать и использовать серверные приложения (такие как веб-сервер WWW, FTP-сервер, VPN-сервер PPTP или почтовый сервер). Интернет-провайдер может блокировать пользовательский трафик по стандартным протоколам и портам (например, 21/FTP, 80/HTTP, 25/SMTP и другим портам) или периодически делать проверку сети на наличие в ней активных серверов (при обнаружении возможна последующая блокировка доступа или даже приостановление действия вашего договора). За дополнительной информацией по использованию серверных служб и блокировки определенного трафика, обращайтесь к своему интернет-провайдеру.