В процессе обслуживания ЛВС приходится открывать доступ клиентских приложений к серверу через конкретно заданные порты. Эти порты, как правило, закрыты, по соображениям безопасности. Блокировка может осуществляться в нескольких местах, чаще в межсетевом экране, в роутере, модеме и в брандмауэре ОС Windows. Рассмотрим открытие порта в четырех этих местах на примере нашей ЛВС.

Открытие порта в брандмауэре Windows.

Начнем с порта в брандмауэре Windows. Открываем брандмауэр: Пуск>> Панель управления>> Система и безопасность>> Брандмауэр Windows.

Или через командную строку: Win+R >> firewall.cpl

В брандмауэре выбираем пункт – Дополнительные параметры.

В открывшейся оснастке нас интересуют пункты:

Правила для входящих подключений.

Правила для исходящих подключений.

Составим правило для входящих подключений. Нажимаем на указанную строчку. В правой части окна выбираем пункт «Создать правило».

Откроется «Мастер создания правила для нового входящего подключения». В первом шаге – Тип правила, отмечаем пункт – Для порта. Нажимаем >>Далее.

Протоколы и порты. В большинстве случаем используется протокол TCP, отмечаем его. Указываем один определенный локальный порт, который нам нужен: 90. >>Далее.

Действия – разрешить подключение. >>Далее.

В профиле отмечены все три пункта, оставляем их без изменения. Пусть наш порт будет доступен во всех типах сетей. >>Далее.

На последнем шаге задаем понятное имя для открываемого порта. Можно добавить описание. Нажимаем кнопку «Готово».

Порт 90 для входящих соединений становится в брандмауэре открытым. Он появился в списке «Правил для входящих подключений».

Выполняем все те же действия в пункте «Правила для исходящего подключения».

Когда два правила созданы, порт становится доступным для работы в локальной сети. Например, у нас в сети есть клиентские места, которые связываются с сервером только по определенному заданному порту. Пока порт закрыт, естественно клиент и сервер «не видят» друг друга.

Открытие порта в Kerio Control Firewall.

Очень часто так бывает, что клиент расположен в одной локальной сети, а сервер, где-то далеко, в совершенно другой локальной сети. В такой ситуации для организации работы нужно разрешить доступ к порту из интернета. Организуем открытие внешнего порта 90. Назовем его внешним т.к. он для внешней сети. В качестве оборудования для проверки открытия порта используем IP-видеокамеру. В случае отсутствия оборудования порт может отображаться закрытым при проверке. У сети статический внешний IP адрес.

Керио подключен и настроен, есть доступ в интернет. В боковом меню переходим в пункт «Правила трафика». Пока в списке только правила, которые созданы по умолчанию при установке Керио. Создадим два правила, разрешающих входящий и исходящий трафик для внешнего порта 90. Расположим их выше других правил. Нажимаем кнопку «Добавить».

В первом пункте открывшегося мастера настроек пишем имя, тип правила оставляем по умолчанию: Общее – разрешать или запрещать конкретный трафик. Нажимаем кнопку >>Далее.

На следующем шаге выбираем источник. Можно выбрать какой-то конкретный внешний интерфейс, но лучшим вариантом будет выбрать Интернет-интерфейсы.

В назначении выбираем Брандмауэр.

В пункте Службы указываем нужный нам TCP порт 90. Нажимаем >>Готово. Правило входящего трафика создано.

Сразу же создадим второе правило, для исходящего трафика. Пишем любое понятное имя, например PORT_90_OUT. Тип правила – Общее. Действие – Разрешить. >>Далее.

Источник — Брандмауэр. >>Далее.

Назначение – Интернет-интерфейсы. >>Далее.

Службы – TCP порт 90. >>Готово.

В итоге получилось два правила как на скроншоте ниже.

Нужно зайти в раздел «Трансляция» каждого правила и выполнить настройки как скриншоте ниже. Инспектор – по умолчанию.

Не обязательно активировать источник NAT.

В разделе «Адрес назначения NAT» указываем

Включить адрес назначения NAT: 192.168.0.120 – локальный IP-адрес нашего оборудования (сервер или др., в данном случае IP-видеокамера).

Транслировать порт в: 80 (необходимый локальный порт оборудования, для IP-камеры порт обычно 80).

Проверяем, открылся ли порт 90 на каком-нибудь сервисном сайте в интернете.

Проверяем работу оборудования, в данном случае IP-камеры. Для проверки камеры переходим в браузере другой, внешней сети с доступом к интернету по статическому адресу с указанием порта.

Порт открыт и камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

 

Открытие порта в роутере MikroTik hEX RB750Gr3 .

Подключаемся к роутеру, переходим в IP >> Firewall >> NAT.

Добавляем новое правило на синий крестик.

На вкладке General отмечаем:

Chain: dstnat

Protocol: tcp

Dst.Port 81 (порт можно выбрать любой свободный)

На вкладке Action выбираем:

Action: dst-nat

To Addresses: 192.168.0.105 (адрес локальной камеры)

To Ports: 80 (локальный порт, у всех камер одинаковый)

Нажимаем Apply, OK и проверяем, открылся ли порт и заработала камера.

У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.

Открытый порт можно проверить на сервисе в интернете. Порт открыт и камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

Если нужны еще камеры, создаем новые правила с другими  внешними портами для других внутренних IP.

 

Открытие порта в модеме HUAWEI HG520u.

Модемы все разные, но общий принцип примерно одинаковый. В роли тестового оборудования IP-видеокамера.

Переходим в BASIC—>NAT и нажимаем кнопку Virtual Server. Virtual Circuit должна быть PVC0.

Выполняем настройки, как на скриншоте ниже.

Разберем по пунктам где и что нужно вводить.

1.Virtual Server for – Single IP Account. Это описание для чего виртуальный сервер.

2.Rule Index – 1 –  номер создаваемого правила.

3.Application – PORT80 – вводим понятное имя. У меня имя по номеру порта.

4.Protocol – TCP. Задействуемый протокол.

5.Start Port Number – 80. Внешний порт.

6.End Port Number – 80. Внешний порт.

*80 лучше не брать, т.к. на нем может работать другое оборудование.

7.Local IP Address – 192.168.0.104 Локальный IP-адрес, который присвоен камере видеонаблюдения.

8.Start Port (Local) – 80. Порт локальной камеры.

9.End Port (Local) – 80. Порт локальной камеры (всегда 80 для большинства камер).

После ввода данных нажимаем Submit.

Проверить, открыт ли порт, можно на он-лайн сервисе, например  portscan.ru.

Порт открыт и IP-камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

Во всех примерах выше нужно всегда помнить о безопасности, открывать порты во внешнюю сеть только при особой необходимости и для доверенных IP-адресов.