Открытие или перенаправление порта необходимо в тех случаях, когда нужно получить доступ к локальным устройства или службам находящимися за роутером в локальной сети.
Возможные задачи могут выглядеть следующим образом:
1. Необходимо получить доступ к WEB интерфейсу самого роутера.
2. Необходимо перенаправить порт 8080 на WEB сервер расположенный на локальном ПК с IP 192.168.88.100
Все операции с открытием и перенаправлением портов производятся в Межсетевом экране
1. Открытие порта
1.1. Через WEB
Открываются порты для получения доступа к различным службам на самом роутере или контроллере.
Например откроем порт 80 для получения доступа к WEB-интерфейсу роутера.
Переходим в пункт Правила для трафика
Добавляем новое правило
Так выглядит новое созданное правило
Сохраняем добавленные правила
1.2. Через консоль
Необходимо отредактировать файл /etc/config/firewall
nano /etc/config/firewall
Добавляем правило и сохраняем файл:
config rule
option enabled '1'
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '80'
option name 'HTTP'
Перезапускаем межсетевой экран
/etc/init.d/firewall restart
или service firewall restart
2. Перенаправление порта
2.1. Через WEB
Перенаправление используется, чтобы перенаправить запросы с внешнего порта к другому или тому же порту в локальную сеть.
Например, перенаправим запросы с внешнего порта 8080 к локальному ПК с IP 192.168.88.100 и его порту 80
Переходим в пункт Перенаправления портов
Добавляем новое правило:
Так выглядит новое правило
Сохраняем и применяем изменения
2.1. Через консоль
Необходимо отредактировать файл /etc/config/firewall
nano /etc/config/firewall
Добавляем правило и сохраняем файл:
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '8080'
option dest_ip '192.168.88.100'
option dest_port '80'
option name '8080 to 192.168.88.100:80'
Перезапускаем межсетевой экран
/etc/init.d/firewall restart
или service firewall restart
3. IPTABLES. Перенаправление порта из локальной сети к статическому IP и порту в интернете или VPN.
Бывают и такие ситуации, при которых Ваше оборудование имеет только Локальный IP адрес и маску подсети.
И не имеет настроек шлюза и DNS.
Также данному устройству можно задать цель, т.е. куда оно будет отправлять данные. Обычно это целевой IP адрес и порт (TCP или UDP).
Проблема заключается в том, что при подключении такого устройства к роутеру, данные, которые оно генерирует, не попадут дальше самого роутера. Т.е. они ограничены рамками локальной сети.
Без шлюза устройство не "видит" сеть Интернет.
В данной ситуации нам поможет пользовательское перенаправление портов с использованием IPTABLES
Необходимо перейти в Межсетевой экран:
Перейти на вкладку Пользовательские правила:
И добавить правило перенаправления:
iptables -t nat -A PREROUTING -d 192.168.88.1 -p TCP --dport 9001 -j DNAT --to-destination 31.58.45.6:9001
Итоговый вид:
# This file is interpreted as shell script. # Put your custom iptables rules here, they will # be executed with each firewall (re-)start. # Internal uci firewall chains are flushed and recreated on reload, so # put custom rules into the root chains e.g. INPUT or FORWARD or into the # special user chains, e.g. input_wan_rule or postrouting_lan_rule. iptables -t nat -A PREROUTING -d 192.168.88.1 -p TCP --dport 9001 -j DNAT --to-destination 31.58.45.6:9001
После, нажимаем Применить:
Перезапустим межсетевой экран. Делаем это через консоль:
/etc/init.d/firewall restart
или service firewall restart
Сопутствующие статьи:
Как подключиться к роутеру RTU?
Дополнительная информация: