端口转发 101 —— 你想了解的一切
什么是端口转发?简单来说,就是将互联网数据从一个端口转发到另一个端口。那么,什么时候需要端口转发呢?当你需要允许来自广域网(互联网)的连接进入局域网(一个私有网络)上的特定设备/端口时。
让我们进一步解释一下……
- 当你连接到互联网时,你会使用一个由ISP提供给路由器的公共IP地址。
- 连接到路由器的你的电脑有一个私有IP地址,这个地址不能用来直接连接互联网。
- 你的电脑在连接互联网时需要通过路由器进行通信。路由器从互联网获取数据,然后将这些数据转发给本地设备。
- 你的电脑接收这些数据以执行某些进程或功能。每一个都有一个称为端口的识别号,大约有65,000个端口。(一个常见的端口是443,用于HTTPS通信。)
- 设备的IP地址末尾会加上端口号来发送和接收数据。当你的电脑从互联网接收数据时,也会考虑这个端口。这就是为什么这个过程被称为端口转发。
- VPN端口转发与上述过程类似。VPN将作为你的电脑与互联网之间的接口,但不允许你直接连接到互联网。
- 一个常见的VPN端口转发用途是绕过NAT防火墙。一些VPN服务使用NAT防火墙来保护客户免受恶意互联网连接的侵害。虽然它确保了你的安全,但NAT防火墙也可能阻止你希望接收的来电连接。
- 如果一个VPN提供端口转发功能,它可以被用来重新路由来电连接,以便它们绕过其NAT防火墙。如果你在使用种子下载时启用端口转发,你可以访问那些否则会被VPN服务器阻挡的资源。
查看我们关于VPN共享网络的更多相关信息。
它进一步详述了在Wi-Fi路由器和通过VPN上实施端口转发的全面指南,强调了与PureVPN集成端口转发的优势,并评估了使用端口转发的优缺点,无论是否借助VPN。
此外,它还详细说明了端口转发的各个类别,即本地、远程和动态,并以探讨端口转发相关的潜在危险和缓解策略作为结尾。
端口转发的现实世界用途
在许多现实生活场景中,端口转发对日常活动极其有用。以下是一些例子:
- 通过家里的婴儿监视器,在办公室里查看宝宝的情况
- 当你不在家时,观看安全摄像头的录像
- 允许用户连接到你托管的公共网络服务器
- 通过远程桌面软件访问家中的电脑
- 与游戏服务器形成直接连接
- 连接到在家网络中控制的物联网设备
- 保持与VoIP呼叫服务器的直接连续访问
- 访问Synology NAS或Plex上的服务
- 恢复丢失的路由器密码
- 访问受限制的网站
- 加强对任何DDoS攻击的安全防护
- 在家里设置服务器,如TeamViewer
使用Wi-Fi路由器设置端口转发的分步指南
一般来说,端口转发需要使用Wi-Fi路由器。这个过程可能因你使用的路由器品牌而异,但基本步骤应该是相似的。
第一步
首先,连接到路由器并导航到管理面板。通常,你可以通过在浏览器的地址栏输入192.168.0.1或192.168.1.1来做到这一点。
登录后,你会看到一个类似于这样的界面:
第二步
打开端口转发设置面板。根据你使用的路由器型号和固件,其位置可能有所不同。对于ZTE路由器,你可以在应用程序标签下找到“端口转发”。
第三步
输入连接到WAN的设备的私有IP地址。
第四步
从1,000到65,000之间选择一个端口,并输入它的内部和外部端口号。两个端口不必完全匹配;设备需要识别每个端口,并在发起连接时使用相关端口。
第五步
输入你需要转发(从互联网收到的)消息的设备的私有IP地址。
第六步
选择你需要转发流量到的、连接到LAN的设备的端口号。
第七步
添加配置后,你的界面将如下所示:
第八步
最后,你可以随意编辑已添加的配置。
第九步
太好了!现在你可以访问你家中的网络设备了。只需使用路由器的公共IP地址结合相关端口即可。在Google搜索栏输入“我的IP是什么”来找到你的公共IP地址。
以下是一个请求的例子,以便更好地理解。假设你的路由器IP地址是987.654.321,你想通过端口号4444连接到你的笔记本电脑。你的路由器通过端口转发协议的请求将会是这样的:987.654.321:4444。这就是你的路由器IP地址加上末尾的端口号。
通过VPN进行端口转发
第二种端口转发的方法是通过优秀的VPN服务和应用程序。这可能帮助你通过互联网访问你的VPN服务器。一些VPN提供商有功能允许你实现端口转发,并选择你想使用的端口,同时配置其使用。
不是所有用户都会发现通过VPN进行端口转发有用,但在某些情况下,它肯定会派上用场:
- 远程访问家庭网络。
- 提升服务器和家庭网络的安全性。 高级用户可以使用此功能设置安全服务器和家庭网络。例如,如果你是一位企业主,你可以使用此功能允许员工连接到不同的服务器。他们通过VPN设置端口转发,防止任何人在没有VPN的情况下访问这些服务器。现在,你可以对侵入者说再见了。
- 种子分享。 允许其他用户连接到你的种子客户端并下载文件被称为种子分享。使用VPN和端口转发,你可以加速这一过程。
使用VPN设置端口转发的分步指南
按照这些简单的说明使用PureVPN设置端口转发。请注意,这些步骤可能因你的VPN软件而异。
第一步
登录PureVPN。
第二步
进入PureVPN应用程序设置,并导航至“端口转发”标签页。
第三步
点击配置。
第四步
从设置中选择任意你希望的选项:
- 打开所有端口。 此选项将打开所有端口,你可以将任何数据传输到任意想要的端口。
- 封锁所有端口。 此选项将封锁所有端口,防止所有通过VPN连接的互联网流量通过。
- 封锁所有端口但启用特定端口。 使用此选项在封锁所有其他端口的同时,打开特定的端口。
第五步
应用设置。
如果你使用的是其他VPN,请完成前两步,然后根据你拥有的VPN协议类型输入以下信息:
PPTP
PPP
本地端口 – 1723
协议 – TCP
GRE通道
端口 – 47
协议 – 其他
IPSec VPN
本地端口 – 500
协议 – UDP
IPSec隧道
端口 – 4500
协议 – UDP
OpenVPN
本地端口 – 1194
协议 – UDP
IKEv2
端口 – 500
协议 – UDP
你可以使用VPN服务器的公共IP,在远程计算机上设置VPN连接。
并非所有VPN提供商都乐于提供端口转发功能,因为打开一个端口可能会在安全上形成一个漏洞。
像SurfShark和NordVPN这样的特定提供商认为增加的安全性值得这个权衡,但一些用户可能会发现,当端口转发被禁止时,这很不便。
你可以使用PureVPN的附加服务来使用端口转发。这样可以消除大部分打开端口至数字前沿所带来的安全风险。
端口转发与PureVPN同步的好处
隐私和安全
- 高级用户可以使用端口转发来更好地保护他们的公共IP地址,加强隐私保护,而不允许未授权人员进入网络。
专用IP地址
- 许多组织更喜欢在进行在线业务时使用相同的IP地址。
- 一些组织可能希望为他们的不同服务器拥有几个专用IP。例如,他们可能想要一个用于开发,另一个用于QA目的。
端口转发的利弊
不使用VPN
优点
- Wi-Fi路由器端口转发配置相当容易,唯一的要求是设备的IP地址和一个监听端口。
- 几乎每个路由器都允许你为同一设备创建多条规则。
- 用户可以不需要密码就被直接引导到他们的家庭网络。
- 这与DNS协作得很好。
缺点
- 黑客和其他侵入者很容易进入打开的端口并闯入你的私人网络。
- 必须为每个设备设置规则。
- 要添加或修改规则,需要完成多次网站访问。
使用VPN
优点
- 端口配置相当简单,只需要一些用户信息。
- 有三个安全级别可供选择:
- 第一级别。 只有单一端口可用,带有用户名和密码保护。
- 第二级别。 加密可以保护来自私人网络的所有进出流量。
- 第三级别。 内部设备的安全性可以通过密码保护来增强。
- 你可以授权访问所有设备,无论是否创建了规则。
- 这也与DNS协作得很好。
- 许多操作系统支持大多数流行的VPN,无需额外的客户端软件。
- 你可以增加连接速度,因为VPN端口转发绕过了NAT防火墙。
缺点
- 连接到内部服务器需要更多步骤。首先,用户需要登录到VPN连接和服务器。
- 这需要复杂的用户名和密码,用户很容易忘记。
- 加密过程可能需要更多时间。
- 一些VPN连接需要单独的软件。
端口转发的类型
常见的端口转发类型包括本地、远程和动态端口转发。
本地端口转发
本地端口转发允许用户从他们的本地计算机连接到另一台服务器,或者从运行在同一台计算机上的客户端应用程序安全地转发数据和信息到一个安全外壳(SSH)客户端。
这种协议在SSH级别进行所有操作,允许任何从服务器端运行的应用程序访问SSH客户端侧的服务。隧道方案和程序使用这种端口转发方法来实现相同的目标。
这可以用来绕过阻止特定网页的防火墙。
远程端口转发
远程端口转发允许SSH连接的服务器端的应用程序访问SSH客户端侧的服务。除了SSH,专有隧道方案也使用远程端口转发。
这种形式的端口转发允许用户从SSH或隧道的服务器端连接到位于隧道客户端的远程网络服务。
远程端口转发让其他设备能够访问远程服务器中的应用程序。
例如:
- 启动远程桌面会话是远程端口转发的一种通用用途。你可以通过SSH完成这一点,使用端口号5900和目的地设备的IP地址。
- 一个组织的远程工作者在他们的地方托管一个FTP服务器。为了给其他员工提供访问这个服务器的权限,他们可以通过SSH在组织的内部设备上启动远程端口转发。
动态端口转发
这种协议通过利用NAT防火墙的一个小洞,访问NAT防火墙另一侧的所有信息和服务。这种方法允许你的客户端安全地连接到一个作为中间人的安全服务器,向一个或多个目的服务器发送和接收数据。
静态与动态端口转发
正如名称所暗示的,静态端口不会改变,而动态端口每次建立新连接时都可能发生变化。
- 如果你在路由器上进行端口转发,静态端口比动态端口更方便,因为你不需要定期修改软件中的端口设置。
- 一些VPN允许开放不会改变的静态端口。
- 动态端口转发对用户来说更为常见,因为它更易于实施。这让提供商可以回收未使用的端口并重新分配它们。
- 最好不要在Torrent下载和远程访问中使用动态分配的端口。
端口转发与Torrent下载
Torrent共享,即文件共享的P2P协议,基于种子分享和对等网络。
- 来电连接允许所有其他Torrent用户连接到你的BitTorrent客户端,并从某个文件中下载数据片段。
- VPN路由器上的NAT防火墙阻止其他人发起未经请求的新连接。一旦防火墙建立,其他来电连接被允许,但这会减慢Torrent下载和种子分享的过程。
- 当一个BitTorrent用户想从你那里下载一个文件或其片段时,他们的客户端将请求与你建立连接的权限。系统会收到通知,因为NAT防火墙不允许这样做。
- 一旦你接受请求,客户端就可以绕过NAT防火墙并成功建立连接。
- 然而,如果两个用户都实施了NAT防火墙,这个过程就不可能实现。
- 在Torrent下载时使用VPN,你需要一种解决NAT防火墙的方法。
NAT防火墙可能会阻止来电连接,但你可以允许一些连接建立,并通过端口转发增加下载速度。
端口转发的风险
你可能会认为端口转发是远程工作的绝佳方式。但尽管它有其好处,它并非没有风险。
- 它可能允许未经请求的连接到达你的家庭网络。这可能包括潜在的黑客和其他未经授权的连接。
示例
让我们通过一个现实世界的情境客观地看这个问题。想象一下,你在你的私人机构展示一个展览。
其中一个展厅专门用于此次展览,许多机构外的学者被邀请参观。你已经向外人打开了你私人机构的大门。
这听起来可能还好,因为外来者假定只对你的展览厅感兴趣。但如果一个或多个恶意入侵者伪装成学者进入机构呢?
他们有什么理由不趁机尝试访问受保护的设施呢?
同样地,如果你已经设置了端口转发给你的摄像头而没有采取必要的保护措施——例如使用强密码,入侵者很容易访问你的网络。
他们甚至可能能够控制摄像头的录像,而不仅仅是观看它。
- 如果你允许远程访问你家里的电脑,确保一旦不再需要这种访问就关闭相关端口。否则,比必要时间更长地保持这些端口开放将是对渴望的黑客或怀有恶意意图者的欢迎邀请。他们会抓住机会控制你的设备。
- 因此,你必须使用强密码来保护你暴露给端口转发的设备。
- 风险水平可能会根据你使用端口转发的目的和你允许监听这些开放端口的应用程序而有所不同。这就是为什么许多VPN不提供端口转发服务的原因。
端口失败攻击
提供端口转发服务的VPN容易受到端口失败攻击。在这里,一个攻击者(启用了端口转发)可以暴露其他用户设备的实际IP地址,即使受害者没有启用端口转发。
尽管许多VPN提供商存在失败,但他们可以通过在其服务器上设置不同的进出IP地址来防止这些攻击。
结论
如果你正在考虑端口转发,你必须彻底了解它带来的好处和风险。通过端口转发,访问你的家庭网络比以前容易得多。
尽管一些VPN提供商因为安全问题的担忧而不支持端口转发,但已经提出了解决方案来实施安全补丁,以克服打开端口的固有弱点。
