МЕНЮ

Катехизис Сисадмина 2. Как открыть порты? Что такое DDNS?Zip File, мамкины хацкеры. Во втором выпуске катехизиса сисадмина мы поговорим о портах. Разберёмся что это такое, как они работают, по какому принципу их можно открыть и как сделать это в том случае, если ваш провайдер ограничил вас в этой функции. В прошлом видео я уже рассказывал вам, что из себя представляет внешний IP и проводил аналогию с домашним адресом. Говоря простым языком, если у вас динамический адрес, то номер квартиры в доме провайдера постоянно меняется.

А в случае с белым IP, номер хаты закрепляется за вами на постоянной основе и этим адресом уже смело можно делиться с друзьями, которые хотят зайти в гости на ваш сайт, игровой сервер или же просто зачекать общую папку. Так вот, если провайдер – это большой дом, IPшник – это квартира, то порты – это окна в комнатах нашей квартире в которые можно подглядывать за происходящей движухой.

К примеру, браузер, работающий по протоколу HTTP, заглядывает в окошко с 80 портом и попадает прямиком на поднятый в вашей сети web-сайт. Служб и портов, функционирующих внутри компьютера, существует огромное множество. Если точнее, то 65535. Это связано с 16 битным ограничением. Из них первые 1024 зарезервированы для встроенных служб и внутренних приложений. Остальные же можно использовать для собственных нужд,

Матёрые сисадмины, как правило знают наиболее часто используемые порты наизусть. Случается, что некоторые службы используют несколько портов для корректного функционирования своих сервисов. Если какой-то процесс постоянно использует один и тот же номер порта, по которому можно подключиться и взаимодействовать с приложением извне, то такой порт называют «открытым»

Ранее, я уже приводил пример с вэб-сервером, развёрнутым в пределах вашей сети, который использует 80 порт для приема-передачи данных извне. Соответственно, в этом случае, 80 порт, как раз и считается открытым.

Шаг 1. Теперь давайте поговорим непосредственно о настройке. В случае, если провод провайдера приходит в ваш ПК напрямую, вся настройка сводится либо к внесению соответствующих изменений во встроенный фаервол. Либо к тончайшей конфигурации того стороннего софта, который отвечает за контроль портов на вашем устройстве. Это могут быть решения от лаборатории касперсого, нода, веба и других, не менее известных компаний. Для примера, давайте настроим стандартный виндосовский брэндмауэр. Открыв панель управления, выбираем соответствующий пункт.

kak otkrit porty 1

Шаг 2. Убедившись, что защитник включен идём в дополнительные настройки.

kak otkrit porty 2

Шаг 3. Создаём новое правило для входящих соединений.

kak otkrit porty 3

Шаг 4. Порт можно открыть либо полностью. Либо указать какой именно сервис (к примеру, тот же веб. сервер), может использовать данный порт. Так делать правильнее всего. Особенно если вы заморачиваетесь по безопасности и от ваших настроек зависит степень защиты огромного предприятия. Но, если вы пока что понятия не имеете какой именно проге в будущем понадобится тот или иной порт, можно временно создать правило именно для порта. Ставим галочку.

kak otkrit porty 4

Шаг 5. Указываем протокол, используемый приложением, для которого планируем открывать доступ. Пишем сам порт. Если оставить галочку напротив параметра все порты, то все порты типа TCPбудут открыты. А это очень небезопасно. Поэтому указываем только нужный порт и жмём далее.

kak otkrit porty 5

Шаг 6. Выбираем «Разрешить подключение».

kak otkrit porty 6

Шаг 7. Указываем профиль, к которому будет применяться данное правило. Актуально, если вы адепт BYOC и постоянно таскаете ноут на работу и по кафешкам. 

kak otkrit porty 7

Шаг 8. Окей. Даём вновь созданному правилу понятное имя. Обычно пишут название приложения, ради которого открывается порт. И жмём готово. Если требуется, чтоб сервис мог получать не только входящий трафик, но и отправлять свой во внешнюю сеть, аналогичным образом создаём правило для исходящих соединений.

kak otkrit porty 8

Шаг 9. Думаю суть уловили. С настройкой системного фаервола разобрались, однако вероятность того, что у вас дома или в офисе есть лишь один компьютер, до которого напрямую идёт провод провайдера крайне мала.

Поэтому давайте рассмотрим вариант с роутером. Ибо в сутации, когда провод приходит в роутер, нужно сначала переадресовать трафик с портов на маршрутизаторе. Заходим в админку.

kak otkrit porty 9

Шаг 10. Ищем в дебрях меню пункт перенаправление портов, или, как в случае с D-Link’ами «Виртуальные серверы». Указываем имя для правила. Затем, как и в случае с настройкой виндового фаервола выбираем из выпадающего списка нужный нам протокол.

В пункте WANнужно указать либо IP на который будет поступать трафик, либо интерфейс от конкретного провайдера, если у вас их несколько. Далее пишем внешний и внутренний порт, и в последнюю очередь IP-адрес узла из внутренней сетки, на который и будет поступать трафик при запросе этого порта из внешней сети.

kak otkrit porty 10

Шаг 11. К слову, по тому же принципу работает и перенаправление в VPN. А то многие спрашивали, почему с использованием VPN сервисов порты открываются на ура. Вся фиха в том, что с использованием стороннего сервера, весь трафик сначала проходит через него, минуя злого провайдера с его занудными правилами и ограничениями. Поэтому и открыть порт с использованием VPN в некоторых случаях бывает значительно проще, нежели договариваться с кровососом.

kak otkrit porty 11

Шаг 12. Однако, что спрашивается делать, если денежек на приличный VPNу вас нет. Да и вообще, вы уже больше года сидите на соседской вафле и не особо хотите снова влезать в крысиные бега бесконечной оплаты счетов.

Провайдер у соседа стабильный, перебоев с сетью не наблюдается, даже порты все работают. Однако вот незадача, этот негодник никак не подключит себе внешний белый IP. Поэтому поднять собственный игровой сервер у вас не получится.

Или всё же есть варианты? В принципе, в такой ситуации можно попробовать использовать технологию DDNS. Из школьного курса по информатике вы наверняка помните, что DNS– это служба, которая предоставляет возможность отображения понятных доменных имен в IP-адреса и обратно.

Соответственно DynDNS занимается тем, что преобразует ваш динамический, постоянно меняющийся IP-адрес в статичное доменное имя третьего уровня. Некоторые провайдеры, даже предоставляют эту услугу бесплатно. Однако в РФ, я таких не встречал.

В основном этим бонусом могут похвастать счастливчики проживающие на территории Украины и Белоруссии. Для всех тех, кому повезло чуточку меньше, из бесплатных и наиболее адекватных вариантов насколько я знаю, остался только NO-IP.

Он есть, как и в виде отдельного приложения для ПК, ролик с подсказкой по его настройке непременно всплывёт в правом верхнем углу. Так и в формате встроенного сервиса внутри роутера.

В то время, когда я плотно работал в динкой, не все роутеры поддерживали из коробки такую возможность, однако сейчас даже ростелекомовская прошивка позволяет выбрать один из трёх наиболее известных сервисов ddns.

kak otkrit porty 12

Шаг 13. Для активации достаточно создать на сервисе новый хостнейм.

kak otkrit porty 13

Шаг 14. И ввести эти данные в админке роутера, вместе с учетной записью сервиса.

kak otkrit porty 14

Шаг 15. Всё. Теперь даже после смены IPшника, внешнее DNS-имя вашей сети останется прежним. Проверить это можно посредством ICMP-запроса запущенного в окне терминала.

kak otkrit porty 15

Однако, бывают в жизни ситуации, когда быстро попасть в админку роутера невозможно, к примеру, вы находитесь в кафе, аэропорту или другом общественном месте с бесплатным вайфаем. Но вам при этом, требуется в темпе вальса дать клиенту доступ к какой-либо службе на своём ноуте для отладки важного приложения, которому, как назло, нужен именно белый IP.

В такой ситуации меня не раз выручала замечательная утилита ngrok, работающая на всех популярных операционных системах. С её помощью можно за пару минут организовать удалённый доступ через безопасный туннель. При этом работает она даже за NATом, статичного ИПа не требует и вообще в некоторых ситуациях выручает не хуже классического DуnDNSa. Подсказка со ссылкой на ролик с подробной настройкой также всплывёт в уголочке.

Что ж, друзья, надеюсь я не сильно загрузил ваш мозг обилием терминов и практическими советами. Давайте немножечко резюмируем всё вышесказанное. Проводя понятную аналогию, запоминаем, что если провайдер – это большой дом, а IPшник – это квартира, то порты – это открытие и закрытые окна в квартире.

Порт называют открытым в ситуации, когда процесс постоянно использует один и тот же номер порта. Если процесс получил номер порта и держит его доступным для приёма и передачи данных, в таком случае говорят, что порт находится на прослушке. В принципе, на начальном этапе, это всё, что вам нужно знать о портах и способах взаимодействиях с ними. Если есть желание углубиться в тему сетей, что называется с головой, то я напоминаю, что в данный момент продолжается набор слушателей на курсы ITEssentialsи Cisco CCNA под мои руководством.

Курсы дистанционные. Сложные. CCNA так уж точно. Ориентированы на специалистов, стремящихся в будущем встать в один ряд с самыми топовыми сетевыми инженерами и сисадминами. Долго останавливаться на этой теме не буду. Те, кому интересно, можете загуглить запрос Cisco CCNA и почитать что это вообще за движуха такая. Если созреете – пишите на мою почту и я обязательно перешлю вам в течении дня подробную программу и стоимость всего обучения.

Ну а на этом сегодня всё. В заключении по традиции хочу пожелать вам удачи, успеха и самое главное закрытых от лишнего взора портов. Берегите себя и свои роутеры, правильно настраивайте фаервол. Не ленитесь. И тогда, никакие внешние угрозы кул хаЦкеров не смогут вам навредить. С вами, как обычно, был Денчик. До новых встреч многоуважаемые соратники. Непременно увидимся в комментариях. Всем пока.

делитесь с друзьями

Не можешь понять, куда делись видео по взломам и хакингу? Они переехали в наш уютный паблик в телеге

telegram chanel

Хочешь больше контента? Подписывайся на YouTube-канал!

Курс «Диплом за неделю»

Пособие «Библия вардрайвинга»

Курс Cisco «CCNA: Introduction to Networks»

© 2024. IT-спец. Денис Курец.