سؤال ما هو إعادة توجيه المنفذ وما الذي يتم استخدامه؟


هناك الكثير من الأسئلة 'ميناء الشحن' ولكن لا يبدو أن هناك واحدة توضح بوضوح ما هي وما هي المستخدمة. وبالتالي:

  1. ما هو ميناء الشحن؟

  2. ما الذي تستخدمه ولماذا أحتاجه؟


195


الأصل


أعتقد أن هذا جيد بما فيه الكفاية: portforward.com/help/portforwarding.htm - Koray Tugay


الأجوبة:


أساسيات

لشرح حقا ميناء الشحن ، تحتاج أولا إلى فهم أكثر قليلا حول ما لديك جهاز التوجيه هل. يقوم مزود خدمة الإنترنت الخاص بك بتعيين واحد عنوان IP لاتصال الإنترنت الخاص بك. تحتاج جميع أجهزة الكمبيوتر على الإنترنت إلى عنوان IP فريد ، ولكن لديك أجهزة كمبيوتر متعددة في منزلك وعنوان واحد فقط. فكيف يعمل هذا؟

إذا كنت تعرف ما هو عليه وتريد فقط معرفة كيفية القيام بذلك: http://portforward.com/ لديه كيفية مع لقطات من أجل مئات من أجهزة التوجيه المختلفة حرفيا. توجد الوثائق مخفية خلف صفحة إعلانات لأداة portconfig التلقائية الخاصة بهم. (ما عليك سوى النقر على بعض الشيء وستجده.)

NAT - ما هو؟ لماذا نستخدمه؟

يحتوي جهاز التوجيه المنزلي الخاص بك على وظيفة تسمى "ترجمة عنوان الشبكة" أو "NAT" المضمنة. داخل الشبكة ، تحتوي أجهزة الكمبيوتر على عناوين مثل 192.168.1.100. جميع العناوين في النطاق 192.168. * النطاق (أو في النطاق 10. *) هي "نشر" أو "محجوز" عناوين. يتم تعيين هذه العناوين رسميًا من قبل IANA لاستخدامها داخل الشبكات الخاصة. يقوم الموجه تلقائيًا بتعيين مثل هذا العنوان لكل كمبيوتر متصل عبر DHCP. هذه العناوين هي كيفية اتصال أجهزة الكمبيوتر في الشبكة الخاصة بك مع جهاز التوجيه ومع بعضها البعض.

يحتوي الموجه الخاص بك على واجهة شبكة منفصلة تربطه بالإنترنت. تحتوي هذه الواجهة على عنوان مختلف تمامًا يتم تعيينه بواسطة موفر خدمة الإنترنت. هذا هو العنوان الوحيد الذي ذكرته من قبل ، ويستخدمه جهاز التوجيه الخاص بك للتواصل مع أجهزة الكمبيوتر الأخرى على الإنترنت. أجهزة الكمبيوتر الموجودة داخل الشبكة لديك غير قابل للتوجيه عناوين IP الخاصة ، بمعنى أنه في حالة إرسال الحزم مباشرة إلى الإنترنت ، سيتم إسقاط الحزم تلقائيًا (لا يُسمح للحزم ذات العناوين الخاصة بعبور الإنترنت لأسباب تتعلق بالاستقرار). لكن جهاز التوجيه الخاص بك لديه قابل للتوجيه عنوان. ترجمة عنوان الشبكة ، كما يوحي اسمها ، يترجم بين هذين النوعين من العناوين ، مما يسمح لأجهزة الكمبيوتر المتعددة الموجودة داخل الشبكة الخاصة بك بالظهور إلى الإنترنت كجهاز كمبيوتر واحد بعنوان واحد.

التفاصيل

على الرغم من أن هذا قد يبدو معقدًا ، إلا أنه في الواقع بسيط جدًا كيف يفعله جهاز التوجيه. في كل مرة يرغب جهاز كمبيوتر داخل الشبكة الخاصة بك في الاتصال بجهاز كمبيوتر على الإنترنت ، فإنه يرسل طلب الاتصال إلى جهاز التوجيه (يعرف أنه يرسله إلى جهاز التوجيه نظرًا لأنه البوابة الافتراضية يتم تعيين المعلمة على عنوان جهاز التوجيه). ثم يأخذ جهاز التوجيه طلب الاتصال هذا ("طلب SYN" في TCP / IP) ويغير عنوان المصدر ("الرد" أو عنوان المرسل) ويغيره من عنوان IP الخاص للكمبيوتر إلى عنوان IP العام لـ جهاز التوجيه ، بحيث يتم إرسال الاستجابة إلى جهاز التوجيه. ثم يأخذ علما في قاعدة بيانات (تسمى جدول NAT) أنه تم بدء الاتصال ، بحيث يتذكره لاحقًا.

عندما تأتي الاستجابة مرة أخرى من الكمبيوتر البعيد ("SYN-ACK") ، يقوم الموجه بالبحث في جدول NAT الخاص به ويرى أن اتصالاً بهذا المضيف على هذا المنفذ قد تم تشغيله مسبقًا بواسطة كمبيوتر خاص على الشبكة ، يغير الوجهة عنوان خاص بالعنوان الخاص بالكمبيوتر ، ويعيد توجيهه داخل شبكتك. وبهذه الطريقة ، يمكن أن تستمر الحزم في التنقل ذهابًا وإيابًا بين الشبكات ، حيث يقوم جهاز التوجيه بتغيير العناوين بشكل شفاف حتى يعمل. عندما يتم إنهاء الاتصال ، يقوم الموجه بإزالته من جدول NAT.

أو التفكير في الأمر بهذه الطريقة

قد يكون من الأسهل تصور ذلك باستخدام استعارة - لنفترض أنك وكيل شحن في الولايات المتحدة تعمل مع العملاء الصينيين. وهم بحاجة إلى إرسال حزم إلى العديد من العملاء في الولايات المتحدة ، ولكن من الأسهل لأسباب الجمارك / الأوراق إرسال الحزم إلى مكان واحد فقط. لذا ، تأتيك حزمة من أحد عملائك في الصين (الشبكة الخاصة ، في هذا المثال) مع وجهة فعلية في مكان ما في الولايات المتحدة (الإنترنت). تقوم بتغيير تسمية العنوان على المربع إلى عنوان الولايات المتحدة (عام) ، ويمكنك تغيير عنوان المرسل إلى عنوانك العام (حيث أنه لا يمكن إرجاعه مباشرة إلى الصين دون إزعاج العميل) وتسليمه إلى الخدمة البريدية . إذا أعاد العميل المنتج ، فإنه يأتي إليك. يمكنك البحث عنه في سجلاتك والاطلاع على الشركة في الصين التي جاءت منها ، وتغيير الوجهة إلى تلك الشركة (عنوانها الخاص) وعنوان المرسل إلى عنوانك الخاص ، حتى يتمكنوا من إرسال بديل من خلالك.

هذا يعمل بشكل رائع ، ولكن هناك بعض المشاكل. ماذا لو كان العميل بحاجة إلى إرسال شيء إلى الشركة ، دعنا نقول حوالة مالية في الدفع مقابل شيء ما؟ أو ، لنفترض أن جهاز كمبيوتر على الإنترنت يبدأ الاتصال مع جهاز التوجيه (طلب SYN) ، قل لملقم الويب الموجود في الشبكة. لا تحتوي الرسالة / الحزمة إلا على عنوان جهاز التوجيه العام عليها ، لذلك لا يعرف جهاز التوجيه في الواقع مكان إرساله! يمكن أن تكون موجهة لأي من أجهزة الكمبيوتر على الشبكة الخاصة ، أو لأي منها. ربما تكون قد واجهت هذه المشكلة عند الاتصال بهاتف شخص ما - عندما يتصل بك لا مشكلة له ، ولكن عندما تتصل بهم لا توجد طريقة لمعرفة من هم المكلفون ، لذلك قد يجيب الشخص الخطأ.

في حين أنه من السهل أن يقوم البشر بفرز ذلك ، إلا أنه أمر أكثر تعقيدا بالنسبة لأجهزة الكمبيوتر ، لأنه لا يعرف كل كمبيوتر على الشبكة الخاصة بك جميع أجهزة الكمبيوتر الأخرى.

وأخيرا نصل إلى ميناء الشحن

إعادة توجيه المنفذ هي كيفية إصلاح هذه المشكلة: إنها طريقة لإعلام جهاز التوجيه الخاص بك عن الكمبيوتر الموجود داخل الشبكة والذي يجب توجيه الاتصالات الواردة إليه. لدينا ثلاث طرق مختلفة يمكننا القيام بها:

  • Faux-DMZ: يحتوي الكثير من أجهزة التوجيه على ميزة تسمى DMZ. هذا يرمز إلى Demilitarized Zone ، وهو نوع من تكوين أمان الشبكة. غالبًا ما يشار إلى المنطقة المجردة من السلاح على أجهزة التوجيه المنزلية باسم faux-DMZ لأنها تفتقر إلى ميزات منطقة DMZ فعلية. ما يفعله هو أبسط نوع من التعامل مع الاتصالات الواردة: سيتم إرسال جميع طلبات الاتصال الواردة إلى واحد محدد داخل شبكتك. إنه أمر بسيط للغاية - تقوم بكتابة عنوان IP في تكوين الموجّه الخاص بك ، وستصل جميع الاتصالات الواردة إلى هناك. لكن هذا لا يعمل دائمًا ، لأنك قد يكون لديك أجهزة كمبيوتر متعددة تحتاج إلى قبول الاتصالات الواردة. لذلك ، لدينا ...
  • إعادة توجيه المنفذ: تتضمن كافة طلبات اتصال الشبكة "منفذًا". يعتبر المنفذ مجرد رقم ، وهو جزء من كيفية معرفة الكمبيوتر لما هي الحزمة. حددت IANA استخدام المنفذ 80 لـ HTTP. وهذا يعني أن الحزم الواردة التي تقول أن المنفذ رقم 80 يجب أن يكون طلبًا مخصصًا لخادم ويب. تسمح لك إعادة توجيه المنفذ على جهاز التوجيه بإدخال رقم منفذ (أو ربما نطاق أو مجموعة من الأرقام ، حسب جهاز التوجيه) ، وعنوان IP. ستتم إعادة توجيه جميع الاتصالات الواردة برقم منفذ مطابق إلى الكمبيوتر الداخلي الذي يحمل هذا العنوان.
  • توجيه واجهة UPnP: يعمل إعادة توجيه UPnP بنفس طريقة إعادة توجيه المنفذ ، ولكن بدلاً من إعداده ، يقوم برنامج على كمبيوتر داخل الشبكة تلقائيًا بتعيين الموجه لإعادة توجيه حركة المرور على منفذ معين إليه.


مثال

دعونا ننظر في مثال الاستخدام. تتيح لك العديد من ألعاب الفيديو متعددة اللاعبين (على سبيل المثال ، Counter Strike) تشغيل خادم ألعاب على جهاز الكمبيوتر الخاص بك يمكن للأشخاص الآخرين الاتصال به للعب معك. لا يعرف الكمبيوتر الخاص بك كل الأشخاص الذين يرغبون في اللعب ، لذلك لا يمكنهم الاتصال بهم - بدلاً من ذلك ، يجب عليهم إرسال طلبات اتصال جديدة إلى جهاز الكمبيوتر الخاص بك من الإنترنت.

إذا لم يكن لديك أي شيء تم إعداده على جهاز التوجيه ، فستتلقى طلبات الاتصال هذه ولكنها لن تعرف أي جهاز كمبيوتر داخل الشبكة يحتوي على خادم اللعبة ، لذا فإنه سيتجاهلها فقط (أو ، بشكل أكثر تحديدًا ، قد يرسل العودة إلى حزمة تشير إلى أنه لا يمكن الاتصال). لحسن الحظ ، أنت تعرف رقم المنفذ الذي سيكون على طلبات الاتصال لخادم اللعبة. لذلك ، على جهاز التوجيه ، يمكنك تعيين منفذ للأمام برقم المنفذ الذي تتوقعه ملقم اللعبة (على سبيل المثال ، 27015) وعنوان IP للكمبيوتر مع خادم اللعبة (على سبيل المثال ، 192.168.1.105).
سيعرف جهاز التوجيه إعادة توجيه طلبات الاتصال الواردة إلى 192.168.1.105 داخل الشبكة ، وستتمكن أجهزة الكمبيوتر الموجودة بالخارج من الاتصال.

ومن الأمثلة الأخرى على ذلك شبكة محلية مزودة بجهازي ، حيث تستضيف الشبكة الثانية مع عنوان IP 192.168.1.10 موقعًا على الويب يستخدم Apache. لذلك يجب على الموجه إعادة توجيه 80 منفذًا واردًا إلى هذا الجهاز. باستخدام إعادة توجيه المنفذ ، يمكن تشغيل كلا الجهازين في نفس الشبكة في نفس الوقت.

Port Forwarding Example

قد تكون ألعاب الفيديو هي المكان الأكثر شيوعًا حيث يواجه المستخدمون اليوميون ميزة إعادة توجيه المنفذ ، على الرغم من أن معظم الألعاب الحديثة تستخدم UPnP بحيث لا تضطر إلى القيام بذلك يدويًا (بدلاً من ذلك ، فإنها تلقائية تمامًا). ستحتاج إلى القيام بذلك عندما تريد أن تكون قادرًا على الاتصال مباشرةً بشيء ما في شبكتك (بدلاً من بعض الوسيط على الإنترنت). قد يتضمن ذلك تشغيل خادم الويب الخاص بك أو الاتصال عبر بروتوكول سطح المكتب البعيد بأحد أجهزة الكمبيوتر لديك.

ملاحظة على الأمن

أحد الأشياء الجيدة حول NAT هو أنه يوفر بعض الأمان المضمّن بدون جهد. كثير من الناس يتجولون على الإنترنت بحثًا عن آلات ضعيفة ... وهم يفعلون ذلك بمحاولة فتح اتصالات مع منافذ متنوعة. هذه هي الاتصالات الواردة ، لذلك ، كما نوقش أعلاه ، سوف يقوم جهاز التوجيه بإسقاطها. هذا يعني أنه في تكوين NAT ، يكون الموجه نفسه عرضة للهجمات التي تتضمن اتصالات واردة. هذا أمر جيد ، لأن جهاز التوجيه أكثر بساطة (وبالتالي أقل عرضة للضعف) من الكمبيوتر الذي يشغل نظام تشغيل كامل مع الكثير من البرامج. يجب عليك أن تضع في اعتبارك أنه من خلال تطبيق DMZing جهاز كمبيوتر داخل الشبكة الخاصة بك (قم بتعيينه كوجهة DMZ) ، فإنك تفقد طبقة الأمان لهذا الكمبيوتر: فهي الآن مفتوحة تمامًا للوصلات الواردة من الإنترنت ، لذا عليك تأمينها كما لو كانت متصلة مباشرة. بالطبع ، في أي وقت تقوم فيه بإعادة توجيه منفذ ، يصبح الكمبيوتر في الطرف المستقبل عرضة لذلك المنفذ المحدد. لذا تأكد من تشغيل برنامج محدّث ومهيأ بشكل جيد.


288



+1. شكرا جزيلا لمثل هذا دورة قصيرة كبيرة. مع تحياتي، - Xavierjazz
الآن دعونا نضيف بعض الرسومات! - slhck
رسومات جميلة. وظيفة جيدة ، slhck. - jcrawfordor
لقد ذكرت ذلك باختصار ، ولكن قد ترغب في توضيح أهمية استخدام أسلوب DMZ في إعادة توجيه المنفذ. لا أستطيع التفكير في مثيل واحد حيث ستكون فكرة جيدة ، في ظل بيئة الإنتاج ، لفضح شيء مثل خادم SQL (أو أيا كان) للعالم الخارجي. يمكن أن تجعل إعادة توجيه المنفذ من الممكن الحصول على الموارد المحمية دون المساس بالأمان بشكل خطير. - Brian Vandenberg
أحد التفاصيل التي لم يتم توسيعها في قسم NAT هي حقيقة أنه إذا كانت أجهزة الكمبيوتر على شبكتك تستخدم DHCP للحصول على عناوين IP الخاصة غير القابلة للتوجيه الداخلية الخاصة بها ، فمن الممكن أن تختلف تلك المخصصة لها ، وإذا حدث ذلك ، فستتم إعادة توجيه المنفذ اختلطت. من الأفضل تجنب ذلك عن طريق إعداد عنونة كل جهاز كمبيوتر يدويًا. يؤكد portforward.com على أهمية هذا ، ويحتوي على دليل يصف كيفية إعداد عنوان IP ثابت على نظام ، على الرغم من عدم ذكر الحاجة إلى تكوين DHCP الخاص بالموجه لتجنب عناوين NAT المحجوزة الآن هذه. - martineau