Cách chuyển tiếp cổng trên bộ định tuyến của bạn

Tác giả sysadmin, T.Hai 05, 2023, 12:13:44 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Cách chuyển tiếp cổng trên bộ định tuyến của bạn


Để chuyển tiếp một cổng trên bộ định tuyến của bạn, hãy đăng nhập vào bộ định tuyến của bạn, tìm phần "Chuyển tiếp cổng", sau đó tạo quy tắc áp dụng cho thiết bị bạn đang sử dụng để lưu trữ. Bạn cũng nên gán một địa chỉ IP tĩnh cho máy chủ.


Mặc dù các bộ định tuyến Wi-Fi hiện đại tự động xử lý hầu hết các chức năng, nhưng một số ứng dụng sẽ yêu cầu bạn chuyển tiếp một cổng theo cách thủ công trong cài đặt của bộ định tuyến. May mắn thay, việc chuyển tiếp các cổng trên bộ định tuyến rất đơn giản nếu bạn biết tìm ở đâu

1. Chuyển tiếp cổng là gì?

Chuyển tiếp cổng (hoặc ánh xạ cổng) cho phép lưu lượng truy cập bên ngoài từ internet kết nối với một thiết bị, chẳng hạn như máy tính, trên một mạng riêng.

Giả sử bạn muốn lưu trữ máy chủ Minecraft cho bạn bè trên máy tính của mình. Khi họ cố gắng kết nối, lưu lượng truy cập của họ phải được gửi đến đúng máy tính trên mạng của bạn và kết nối của họ phải được bộ định tuyến của bạn cho phép. Bộ định tuyến của bạn sử dụng các quy tắc chuyển tiếp cổng để phân loại máy tính nào sẽ được gửi lưu lượng truy cập liên quan đến máy chủ Minecraft. Tất nhiên, đó không chỉ là máy chủ trò chơi — nếu liên quan đến lưu lượng truy cập internet, thì các cổng cũng liên quan.

Hãy xem chi tiết nó xảy ra như thế nào.

2. Cách bộ định tuyến của bạn xử lý các yêu cầu và sử dụng cổng

Đây là bản đồ của một mạng gia đình đơn giản. Biểu tượng đám mây đại diện cho internet lớn hơn và địa chỉ Giao thức Internet (IP) công khai hoặc chuyển tiếp của bạn. Địa chỉ IP này đại diện cho toàn bộ hộ gia đình của bạn từ thế giới bên ngoài — theo một cách nào đó giống như địa chỉ đường phố.

Địa chỉ màu đỏ 192.1.168.1 là địa chỉ bộ định tuyến trong mạng của bạn. Tất cả các địa chỉ bổ sung đều thuộc về các máy tính nhìn thấy ở cuối hình ảnh. Nếu địa chỉ IP công cộng của bạn giống như địa chỉ đường phố, hãy coi địa chỉ IP nội bộ giống như số căn hộ cho địa chỉ đường phố đó.


Sơ đồ đưa ra một câu hỏi thú vị mà trước đây bạn có thể chưa từng nghĩ tới. Làm thế nào để tất cả thông tin từ internet đến đúng thiết bị bên trong mạng? Nếu bạn truy cập   Đăng nhập để xem liên kết trên máy tính xách tay của mình thì làm thế nào nó kết thúc trên máy tính xách tay của bạn chứ không phải máy tính để bàn của con trai bạn nếu địa chỉ IP công khai giống nhau cho tất cả các thiết bị?

Điều này là nhờ một chút ma thuật định tuyến tuyệt vời được gọi là Dịch địa chỉ mạng (NAT). Chức năng này xảy ra ở cấp bộ định tuyến nơi NAT hoạt động giống như một cảnh sát lưu lượng, hướng luồng lưu lượng mạng qua bộ định tuyến để có thể chia sẻ một địa chỉ IP công cộng duy nhất giữa tất cả các thiết bị phía sau bộ định tuyến. Nhờ có NAT, mọi người trong gia đình bạn có thể đồng thời yêu cầu các trang web và nội dung internet khác và tất cả sẽ được gửi đến đúng thiết bị.

Vậy các cổng đi vào quá trình này ở đâu? Các cổng là một phần còn lại cũ nhưng hữu ích từ những ngày đầu của điện toán mạng. Trước đây, khi các máy tính chỉ có thể chạy một ứng dụng tại một thời điểm, tất cả những gì bạn phải làm là trỏ một máy tính này vào một máy tính khác trên mạng để kết nối chúng vì chúng sẽ chạy cùng một ứng dụng. Khi máy tính trở nên tinh vi để chạy nhiều ứng dụng, các nhà khoa học máy tính ban đầu phải vật lộn với vấn đề đảm bảo các ứng dụng được kết nối với đúng ứng dụng. Do đó, các cổng đã ra đời.

Một số cổng có các ứng dụng cụ thể là tiêu chuẩn trong toàn ngành điện toán. Ví dụ: khi bạn tìm nạp một trang web, nó sẽ sử dụng cổng 80. Phần mềm của máy tính nhận biết rằng cổng 80 được sử dụng để cung cấp các tài liệu http, do đó, nó sẽ lắng nghe ở đó và phản hồi tương ứng. Nếu bạn gửi yêu cầu http qua một cổng khác — chẳng hạn như 143 — thì máy chủ web sẽ không nhận ra yêu cầu đó vì nó không nghe ở đó (mặc dù có thể có thứ gì đó khác, chẳng hạn như máy chủ email IMAP thường sử dụng cổng đó).

Các cổng khác không có mục đích sử dụng được chỉ định trước và bạn có thể sử dụng chúng cho bất kỳ mục đích nào mình muốn. Để tránh ảnh hưởng đến các ứng dụng tuân theo tiêu chuẩn khác, tốt nhất bạn nên sử dụng các số lớn hơn cho các cấu hình thay thế này. Ví dụ: Máy chủ Plex Media sử dụng cổng 32400 và máy chủ Minecraft sử dụng 25565 — cả hai số đều thuộc lãnh thổ "trò chơi công bằng" này.

Mỗi cổng có thể được sử dụng thông qua TCP hoặc UDP. TCP, hoặc Giao thức điều khiển truyền tải, là thứ được sử dụng phổ biến nhất. UDP, hoặc Giao thức gói dữ liệu người dùng, ít được sử dụng rộng rãi hơn trong các ứng dụng gia đình với một ngoại lệ chính: BitTorrent. Tùy thuộc vào những gì đang lắng nghe, nó sẽ mong đợi các yêu cầu được thực hiện theo giao thức này hoặc giao thức kia.

3. Tại sao bạn cần chuyển tiếp cổng

Vậy chính xác tại sao bạn cần chuyển tiếp cổng? Mặc dù một số ứng dụng tận dụng NAT để đặt cổng riêng và xử lý tất cả cấu hình cho bạn, nhưng vẫn có nhiều ứng dụng không làm như vậy và bạn sẽ cần trợ giúp bộ định tuyến của mình khi kết nối các dịch vụ và ứng dụng.

Trong sơ đồ bên dưới, chúng ta đang bắt đầu với một tiền đề đơn giản. Bạn đang sử dụng máy tính xách tay của mình ở một nơi nào đó trên thế giới (có địa chỉ IP là 987.76.54.123) và bạn muốn kết nối với mạng gia đình của mình để truy cập một số tệp. Nếu bạn chỉ cần cắm địa chỉ IP nhà của mình (123.45.67.891) vào bất kỳ công cụ nào bạn đang sử dụng (ví dụ: ứng dụng khách FTP hoặc ứng dụng máy tính từ xa) và công cụ đó không tận dụng được các tính năng bộ định tuyến nâng cao mà chúng tôi vừa đề cập, bạn đã hết may mắn. Nó sẽ không biết nơi gửi yêu cầu của bạn và sẽ không có gì xảy ra.


Nhân tiện, đây là một  tính năng bảo mật tuyệt vời. Nếu ai đó kết nối với mạng gia đình của bạn và họ không được kết nối với một cổng hợp lệ, bạn  muốn kết nối bị từ chối. Đó là phần tử tường lửa của bộ định tuyến đang thực hiện công việc của nó: từ chối các yêu cầu không mong muốn. Tuy nhiên, nếu người gõ cửa ảo của bạn là bạn, thì việc từ chối không được hoan nghênh và chúng tôi cần thực hiện một số điều chỉnh nhỏ.

Để giải quyết vấn đề đó, bạn muốn nói với bộ định tuyến của mình "này: khi tôi truy cập bạn bằng chương trình này, bạn sẽ cần gửi nó đến thiết bị này tại cổng này". Với những hướng dẫn đó, bộ định tuyến của bạn sẽ đảm bảo bạn có thể truy cập đúng máy tính và ứng dụng trên mạng gia đình của mình.


Vì vậy, trong ví dụ này, khi bạn ra ngoài và sử dụng máy tính xách tay của mình, bạn sử dụng các cổng khác nhau để thực hiện các yêu cầu của mình. Khi bạn truy cập địa chỉ IP của mạng gia đình bằng cổng 22, bộ định tuyến của bạn ở nhà sẽ biết rằng địa chỉ này sẽ chuyển đến 192.168.1.100 bên trong mạng. Sau đó, trình nền SSH trên bản cài đặt Linux của bạn sẽ phản hồi. Đồng thời, bạn có thể đưa ra yêu cầu qua cổng 80 mà bộ định tuyến của bạn sẽ gửi đến máy chủ web mà bạn đang chạy ở 192.168.1.150. Hoặc, bạn có thể thử điều khiển từ xa máy tính xách tay của chị gái mình bằng VNC và bộ định tuyến của bạn sẽ kết nối bạn với máy tính xách tay của bạn tại 192.168.1.200. Bằng cách này, bạn có thể dễ dàng kết nối với tất cả các thiết bị mà bạn đã thiết lập quy tắc chuyển tiếp cổng.

Tính hữu ích của chuyển tiếp cổng không kết thúc ở đó! Bạn thậm chí có thể sử dụng tính năng chuyển tiếp cổng để thay đổi số cổng của các dịch vụ hiện có cho rõ ràng và thuận tiện. Ví dụ: giả sử bạn có hai máy chủ web chạy trên mạng gia đình của mình và bạn muốn một máy chủ có thể truy cập dễ dàng và rõ ràng (ví dụ: đó là máy chủ thời tiết mà bạn muốn mọi người có thể dễ dàng tìm thấy) và máy chủ web kia dành cho dự án cá nhân.


Khi bạn truy cập mạng gia đình của mình từ cổng công cộng 80, bạn có thể yêu cầu bộ định tuyến của mình gửi nó đến cổng 80 trên máy chủ thời tiết tại 192.168.1.150, nơi nó sẽ lắng nghe ở cổng 80. Tuy nhiên, bạn có thể yêu cầu bộ định tuyến của mình rằng khi bạn truy cập nó qua cổng 10.000, nó sẽ chuyển đến cổng 80 trên máy chủ cá nhân của bạn, 192.168.1.250. Bằng cách này, máy tính thứ hai không cần phải cấu hình lại để sử dụng một cổng khác nhưng bạn vẫn có thể quản lý lưu lượng một cách hiệu quả — đồng thời bằng cách để máy chủ web đầu tiên được liên kết với cổng 80, bạn giúp mọi người truy cập vào máy tính của bạn dễ dàng hơn. dự án máy chủ thời tiết nói trên.

Bây giờ chúng ta đã biết chuyển tiếp cổng là gì và tại sao chúng ta có thể muốn sử dụng nó, chúng ta hãy xem xét một số cân nhắc nhỏ liên quan đến chuyển tiếp cổng trước khi đi sâu vào thực sự cấu hình nó.

4. Cân nhắc trước khi định cấu hình bộ định tuyến của bạn

Có một số điều cần lưu ý trước khi ngồi xuống để định cấu hình bộ định tuyến của bạn và chạy qua chúng trước để đảm bảo giảm bớt sự thất vọng.

4.1. Đặt địa chỉ IP tĩnh cho thiết bị của bạn

Trước hết, tất cả các quy tắc chuyển tiếp cổng của bạn sẽ bị phá vỡ nếu bạn chỉ định chúng cho các thiết bị có địa chỉ IP động được chỉ định bởi dịch vụ DHCP của bộ định tuyến. Chúng tôi tìm hiểu chi tiết về DHCP là gì trong bài viết này về DHCP so với gán địa chỉ IP tĩnh, nhưng chúng tôi sẽ cung cấp cho bạn bản tóm tắt nhanh tại đây.

Bộ định tuyến của bạn có một nhóm địa chỉ dự trữ chỉ để phân phát cho các thiết bị khi chúng tham gia và rời khỏi mạng. Hãy nghĩ về nó giống như lấy một số tại một quán ăn khi bạn đến - máy tính xách tay của bạn tham gia, bùm, nó nhận được địa chỉ IP 192.168.1.98. IPhone của bạn tham gia, bùng nổ, nó có địa chỉ 192.168.1.99. Nếu bạn đặt các thiết bị đó ngoại tuyến trong một khoảng thời gian hoặc bộ định tuyến được khởi động lại, thì toàn bộ quá trình rút thăm địa chỉ IP sẽ diễn ra lại.

Trong những trường hợp bình thường, điều này là hơn cả tốt. IPhone của bạn không quan tâm nó có địa chỉ IP nội bộ nào. Nhưng nếu bạn đã tạo quy tắc chuyển tiếp cổng cho biết máy chủ trò chơi của bạn ở một địa chỉ IP nhất định và sau đó bộ định tuyến cấp cho nó một địa chỉ IP mới, thì quy tắc đó sẽ không hoạt động và không ai có thể kết nối với máy chủ trò chơi của bạn. Để tránh điều đó, bạn cần chỉ định một địa chỉ IP tĩnh cho từng thiết bị mạng mà bạn đang chỉ định quy tắc chuyển tiếp cổng. Cách tốt nhất để làm điều đó là thông qua bộ định tuyến của bạn.

4.2. Biết địa chỉ IP của bạn và đặt địa chỉ DNS động

Ngoài việc sử dụng gán IP tĩnh cho các thiết bị có liên quan bên trong mạng của mình, bạn cũng muốn biết địa chỉ IP bên ngoài của mình — bạn có thể tìm thấy địa chỉ này bằng cách truy cập whatismyip.com  khi đang ở trên mạng gia đình của mình. Mặc dù có thể bạn có cùng một địa chỉ IP công cộng trong nhiều tháng hoặc thậm chí hơn một năm, nhưng địa chỉ IP công cộng của bạn có thể thay đổi (trừ khi nhà cung cấp dịch vụ internet của bạn cung cấp cho bạn một địa chỉ IP tĩnh công khai). Nói cách khác, bạn không thể dựa vào việc nhập địa chỉ IP dạng số của mình vào bất kỳ công cụ từ xa nào mà bạn đang sử dụng (và bạn không thể dựa vào việc cung cấp địa chỉ IP đó cho bạn bè).

Bây giờ, trong khi bạn có thể gặp rắc rối khi kiểm tra địa chỉ IP đó theo cách thủ công mỗi khi bạn rời khỏi nhà và có ý định đi làm xa (hoặc mỗi khi bạn của bạn kết nối với máy chủ Minecraft của bạn hoặc tương tự), thì đó là một vấn đề lớn. đau đầu. Thay vào đó, chúng tôi thực sự khuyên bạn nên thiết lập dịch vụ Dynamic DNS sẽ cho phép bạn liên kết địa chỉ IP nhà (đang thay đổi) của mình với một địa chỉ dễ nhớ như   Đăng nhập để xem liên kết.

4.3. Chú ý đến tường lửa cục bộ

Khi bạn đã thiết lập chuyển tiếp cổng ở cấp độ bộ định tuyến, có khả năng bạn cũng cần phải điều chỉnh các quy tắc tường lửa trên máy tính của mình. Ví dụ: trong nhiều năm qua, chúng tôi đã nhận được rất nhiều email từ các bậc cha mẹ thất vọng về việc thiết lập chuyển tiếp cổng để con họ có thể chơi Minecraft với bạn bè của chúng. Trong hầu hết mọi trường hợp, vấn đề là mặc dù đã thiết lập chính xác các quy tắc chuyển tiếp cổng trên bộ định tuyến, nhưng ai đó đã bỏ qua yêu cầu tường lửa của Windows hỏi liệu có ổn không nếu nền tảng Java (chạy Minecraft) có thể truy cập internet lớn hơn.

Xin lưu ý rằng trên các máy tính chạy tường lửa cục bộ và/hoặc phần mềm chống vi-rút bao gồm bảo vệ tường lửa, bạn có thể cần xác nhận rằng kết nối mà bạn đã thiết lập là ổn.

5. Cách thiết lập chuyển tiếp cổng trên bộ định tuyến của bạn

Bạn có thể định cấu hình chuyển tiếp cổng trên bộ định tuyến của mình. Bây giờ bạn đã biết những điều cơ bản, nó khá đơn giản.

Mặc dù chúng tôi rất muốn cung cấp hướng dẫn chính xác cho kiểu bộ định tuyến chính xác mà bạn sở hữu, nhưng thực tế là mọi nhà sản xuất bộ định tuyến đều có phần mềm của riêng họ và hình thức của phần mềm đó thậm chí có thể khác nhau giữa các kiểu bộ định tuyến.

Nói chung, bạn sẽ tìm kiếm thứ gọi là — bạn đoán nó — "Chuyển tiếp cổng". Bạn có thể phải xem qua các danh mục khác nhau để tìm thấy nó, nhưng nếu bộ định tuyến của bạn tốt thì nó sẽ ở đó. Hầu hết các bộ định tuyến cũng cung cấp các ứng dụng, ngoài bất kỳ phần mềm hoặc giao diện máy tính để bàn nào mà chúng có.

5.1. Bước một: Xác định quy tắc chuyển tiếp cổng trên bộ định tuyến của bạn

Thay vì cố gắng nắm bắt mọi biến thể, chúng tôi sẽ đánh dấu một vài biến thể để cung cấp cho bạn ý tưởng về menu trông như thế nào và khuyến khích bạn tra cứu các tệp trợ giúp thủ công hoặc trực tuyến cho bộ định tuyến cụ thể của bạn để tìm thông tin cụ thể.

Để so sánh, đây là giao diện của menu chuyển tiếp cổng cho Cổng xFi trong ứng dụng Xfinity:


Và đây là menu chuyển tiếp cổng trông như thế nào trên D-Link DIR-890L chạy chương trình cơ sở DD-WRT phổ biến của bên thứ ba :


Như bạn có thể thấy, độ phức tạp giữa hai chế độ xem khác nhau rất nhiều. Ngoài ra, vị trí hoàn toàn khác trong các menu. Vì vậy, sẽ hữu ích nhất nếu bạn tra cứu hướng dẫn chính xác cho thiết bị của mình bằng hướng dẫn sử dụng hoặc truy vấn tìm kiếm.

Khi bạn đã tìm thấy menu, đã đến lúc thiết lập quy tắc thực tế.

5.2. Bước hai: Tạo quy tắc chuyển tiếp cổng

Sau khi tìm hiểu tất cả về chuyển tiếp cổng, thiết lập DNS động cho địa chỉ IP nhà riêng của bạn và tất cả các công việc khác liên quan đến việc này, bước quan trọng — tạo quy tắc thực tế — gần như là một bước đi trong công viên. Trong menu chuyển tiếp cổng trên bộ định tuyến của chúng tôi, chúng tôi sẽ tạo hai quy tắc chuyển tiếp cổng mới: một cho máy chủ âm nhạc Subsonic và một cho máy chủ Minecraft mới mà chúng tôi vừa thiết lập.


Mặc dù có sự khác biệt về vị trí trên các phần mềm bộ định tuyến khác nhau, đầu vào chung là giống nhau. Hầu như trên toàn cầu, bạn sẽ đặt tên cho quy tắc chuyển tiếp cổng. Tốt nhất là chỉ cần đặt tên cho máy chủ hoặc dịch vụ là gì và sau đó thêm nó nếu cần cho rõ ràng (ví dụ: "Máy chủ web" hoặc "Máy chủ web-Thời tiết" nếu có nhiều hơn một). Bạn có nhớ giao thức TCP/UDP mà chúng ta đã nói lúc đầu không? Bạn cũng cần chỉ định TCP, UDP hoặc Cả hai. Một số người rất hiếu chiến trong việc tìm ra chính xác giao thức mà mọi ứng dụng và dịch vụ sử dụng và kết hợp mọi thứ một cách hoàn hảo cho mục đích bảo mật. Chúng tôi sẽ là người đầu tiên thừa nhận rằng chúng tôi lười biếng trong vấn đề này và hầu như chúng tôi luôn chỉ chọn "Cả hai" để tiết kiệm thời gian.

Một số chương trình cơ sở của bộ định tuyến, bao gồm cả DD-WRT nâng cao hơn mà chúng tôi đang sử dụng trong ảnh chụp màn hình ở trên, sẽ cho phép bạn chỉ định giá trị "Nguồn" là danh sách các địa chỉ IP mà bạn đang hạn chế chuyển tiếp cổng vì mục đích bảo mật. Bạn có thể sử dụng tính năng này nếu muốn, nhưng được cảnh báo trước rằng nó sẽ gây ra một loạt vấn đề đau đầu mới vì nó cho rằng người dùng từ xa (bao gồm cả bạn khi bạn vắng nhà và bạn bè đang kết nối) có địa chỉ IP tĩnh.

Tiếp theo, bạn sẽ cần đặt cổng bên ngoài. Đây là cổng sẽ được mở trên bộ định tuyến và đối diện với internet. Bạn có thể sử dụng bất kỳ số nào bạn muốn ở đây trong khoảng từ 1 đến 65353, nhưng thực tế hầu hết các số thấp hơn được sử dụng bởi các dịch vụ tiêu chuẩn (như email và máy chủ web) và nhiều số cao hơn được gán cho các ứng dụng khá phổ biến. Với ý nghĩ đó, chúng tôi khuyên bạn nên chọn một số trên 5.000 và để an toàn hơn, hãy sử dụng Ctrl+F để tìm kiếm danh sách dài các số cổng TCP/UDP này nhằm đảm bảo bạn không chọn một cổng xung đột với một dịch vụ hiện có mà bạn đang sử dụng.

Cuối cùng, nhập địa chỉ IP nội bộ của thiết bị, cổng bạn sử dụng trên thiết bị đó và (nếu có) bật quy tắc. Đừng quên lưu cài đặt.

5.3. Bước ba: Kiểm tra quy tắc chuyển tiếp cổng của bạn

Cách rõ ràng nhất để kiểm tra xem cổng chuyển tiếp của bạn có hoạt động hay không là kết nối bằng quy trình dành cho cổng (ví dụ: nhờ bạn của bạn kết nối máy khách Minecraft của họ với máy chủ tại nhà của bạn), nhưng đó không phải lúc nào cũng là giải pháp khả dụng ngay lập tức nếu bạn không đi vắng từ nhà.

Rất may, có một công cụ kiểm tra cổng nhỏ tiện dụng có sẵn trực tuyến tại   Đăng nhập để xem liên kết. Chúng tôi có thể kiểm tra xem liệu chuyển tiếp cổng máy chủ Minecraft của chúng tôi có diễn ra đơn giản hay không bằng cách yêu cầu trình kiểm tra cổng thử kết nối với nó. Cắm địa chỉ IP của bạn và số cổng và nhấp vào "Kiểm tra".


Bạn sẽ nhận được một thông báo, như đã thấy ở trên, như "Cổng X đang mở trên [IP của bạn]". Nếu cổng được báo cáo là đã đóng, hãy kiểm tra kỹ cả cài đặt trong menu chuyển tiếp cổng trên bộ định tuyến cũng như IP và dữ liệu cổng của bạn trong trình kiểm tra.

6. Chuyển tiếp cổng Xfinity với cổng xFi

Thật không may, bạn không thể làm mọi thứ ở một nơi nữa nếu bạn có Cổng xFi. Xfinity đã chuyển các quy tắc chuyển tiếp cổng sang ứng dụng Xfinity, nhưng bạn phải sử dụng giao diện web để gán địa chỉ IP tĩnh.
Đăng nhập vào cổng xFi của bạn bằng cách nhập địa chỉ của Cổng vào trình duyệt web của bạn. Thông thường, địa chỉ sẽ là 10.0.0.1 hoặc 192.168.0.1, nhưng điều đó không được đảm bảo. Bạn luôn có thể tìm địa chỉ IP của modem hoặc bộ định tuyến theo cách thủ công nếu một trong hai địa chỉ đó không hoạt động.

Khi bạn đăng nhập, hãy đi tới Thiết bị được kết nối, tìm máy chủ của bạn trong danh sách, sau đó nhấp vào "Chỉnh sửa".


Đánh dấu vào "IP dành riêng", sau đó nhấp vào "Lưu".

Mẹo: Nếu thấy dễ nhớ hơn, bạn có thể đặt địa chỉ IP tùy chỉnh, nhưng bạn bị hạn chế thay đổi ba chữ số cuối thành một số từ 2 đến 255.


Giờ đây, chúng tôi đã đảm bảo rằng quy tắc sẽ vẫn được áp dụng cho đúng thiết bị. Tiếp theo, tải xuống ứng dụng Xfinity từ Google Play Store hoặc Apple Store. Đó là cách duy nhất để chuyển tiếp bằng Cổng Xfinity xFi.

Mở ứng dụng, đăng nhập nếu được nhắc, sau đó điều hướng đến Kết nối > (Tên mạng Wi-Fi của bạn) > Cài đặt nâng cao > Chuyển tiếp cổng và nhấn, "Thêm chuyển tiếp cổng".


Chọn thiết bị hoặc IP cục bộ mà bạn muốn tạo quy tắc, sau đó chọn một cổng và chọn giữa TCP, UDP hoặc TCP/UDP. Sau đó nhấn "Tiếp theo" để hoàn tất quy tắc chuyển tiếp cổng.


Thế là xong - bạn đã hoàn tất. Dịch vụ của bạn nên có trên internet. Chỉ cần đảm bảo rằng tường lửa trên máy chủ cho phép kết nối trên cổng đó.

7. Các ứng dụng phổ biến cho chuyển tiếp cổng

Có nhiều ứng dụng để chuyển tiếp cổng cũng như có nhiều cổng, nhưng hầu hết thời gian bạn sẽ sử dụng nó để thiết lập quyền truy cập từ xa, máy chủ trò chơi hoặc máy chủ phương tiện. Nhiều người cần chuyển tiếp cổng cho máy chủ Minecraft hoặc thiết lập chuyển tiếp cổng SSH. Dưới đây là biểu đồ tham khảo nhanh cho một số ứng dụng phổ biến nhất trong các danh mục đó.


Điều quan trọng cần lưu ý là SSH sử dụng cổng 22 và cổng đó được dành riêng cho mục đích sử dụng đó. Các ứng dụng khác (như Minecraft) đã đưa ra một tuyên bố mạnh mẽ đến mức họ đã dành riêng các cổng của mình về mặt chức năng, mặc dù không có bất kỳ điều gì chính thức yêu cầu điều đó. Đôi khi bạn có thể thấy rằng bạn có nhiều thứ đang cố sử dụng cùng một cổng. Hãy nhớ rằng, thực sự có hàng chục nghìn cổng khác nhau có sẵn miễn phí để sử dụng, vì vậy chỉ cần chọn một cổng khác và sử dụng cổng đó thay thế.

Nhưng trước khi bạn mở tất cả các loại cổng, lưu trữ mọi dịch vụ đơn lẻ mà bạn có thể tưởng tượng, hãy dành chút thời gian để xem lại các biện pháp bảo mật của bạn. Hầu hết đều khá đơn giản để bắt đầu và chúng có thể giúp bạn đỡ phải đau đầu sau này.

8. Các biện pháp phòng ngừa an ninh cho chuyển tiếp cổng

Nếu bạn đang chuyển tiếp cổng, rõ ràng bạn có ý định truy cập thứ gì đó từ Internet. Bất cứ khi nào bạn mở một cổng, bạn sẽ tăng "bề mặt tấn công" của mình. Tốt nhất là bạn nên thực hiện một số biện pháp phòng ngừa để giảm thiểu rủi ro. Đây không phải là danh sách đầy đủ những điều bạn có thể làm để bảo vệ chính mình — để làm được điều đó, chúng tôi cần phải viết nhiều tiểu thuyết — nhưng đây là nơi để bắt đầu.

8.1. Không chạy máy chủ với tư cách quản trị viên hoặc root

Không thành vấn đề nếu bạn đang lưu trữ một máy chủ trên Windows, Linux hoặc bất kỳ hệ điều hành nào khác. Không sử dụng tài khoản quản trị viên hoặc tài khoản root để lưu trữ những thứ tiếp xúc với Internet. Tài khoản quản trị hoặc tài khoản root có một số hạn chế (nếu có) đối với chúng. Họ có thể thực hiện bất kỳ thao tác nào trên hệ thống của bạn.

Nếu có một số vấn đề với dịch vụ bạn đang chạy — chẳng hạn như cấu hình sai, lỗi hoặc khai thác — quyền truy cập quản trị hoặc quyền truy cập root sẽ làm tăng đáng kể mức độ thiệt hại mà kẻ tấn công có ác ý có thể gây ra. Nó thậm chí có thể cho phép ai đó xâm phạm các thiết bị khác được kết nối với mạng của bạn.

Nếu bạn sử dụng tài khoản thông thường, bạn sẽ ít bị tổn thương hơn nhiều — bất kỳ kẻ tấn công nào giành được quyền truy cập vào hệ thống của bạn cũng có thể sẽ cần một số kiểu khai thác leo thang đặc quyền để thực sự gây hại.

8.2. Vô hiệu hóa đăng nhập root qua SSH

Nếu bạn đang lưu trữ trên Linux, bạn nên tắt hoàn toàn đăng nhập root qua SSH. Người dùng root có quyền truy cập không giới hạn vào mọi thứ trên hệ thống, điều này khiến nó trở thành mục tiêu hấp dẫn của những kẻ bất lương.

Ngoài ra, thực sự không thu được gì khi sử dụng nó, vì sudo cho phép người dùng thực thi các lệnh như thể họ là người dùng root. Quyền Sudo thậm chí có thể được sửa đổi trên cơ sở từng người dùng, vì vậy nếu bạn muốn tạo một tài khoản Sudo hạn chế hơn để thực hiện quản trị máy chủ cơ bản thì bạn có thể.

8.3. Bạn có thể thay đổi cổng của mình, nhưng đừng dựa vào nó

Đôi khi bạn sẽ gặp gợi ý rằng bạn không nên sử dụng các cổng mặc định cho bất kỳ thứ gì bạn đang lưu trữ. Ý tưởng đằng sau điều này rất đơn giản: Nếu ai đó đang quét các khối IP để tìm các cổng mở cụ thể mà họ muốn nhắm mục tiêu, thì việc thay đổi cổng có thể làm giảm khả năng ai đó sẽ cố gắng truy cập vào máy chủ của bạn.

Ví dụ: bạn có thể thay đổi cổng SSH từ 22 thành 7281.

Điều đó có hiệu quả không? Chỉ có điều - nó chắc chắn sẽ giảm số lần truy cập tự động mà bạn nhận được từ những đứa trẻ tập lệnh (những tin tặc nghiệp dư sẽ sử dụng phần mềm hoặc tập lệnh dựng sẵn) và sau đó sẽ có ít thứ hơn trong nhật ký của bạn để xem xét. Tuy nhiên, nó sẽ không làm được gì để ngăn chặn một cuộc tấn công có mục tiêu nghiêm trọng của một người có hiểu biết.

Bảo mật thông qua che khuất không phải là một sự đảm bảo và bạn  không bao giờ  nên dựa vào nó để giữ an toàn cho hệ thống của mình.

8.4. Cài đặt Fail2Ban trên máy chủ Linux

Fail2Ban là phần mềm được thiết kế để giúp bảo mật máy chủ của bạn trước các cuộc tấn công vũ phu. Fail2Ban có thể được định cấu hình để tự động từ chối các nỗ lực kết nối từ bất kỳ địa chỉ IP nào đã thử và không đăng nhập được vào máy chủ của bạn một số lần nhất định. Kẻ tấn công không thể đoán mật khẩu nhiều lần mà không bị cấm.

Fail2Ban cũng có thể được thiết lập với các hành vi phức tạp hơn, vì vậy rất đáng để tìm hiểu nếu bạn định lưu trữ trên Linux.

8.5. Sử dụng Khóa bảo mật cho SSH bất cứ khi nào có thể

Bạn phải luôn chọn một mật khẩu mạnh cho tài khoản quản trị hoặc tài khoản root của mình và bất kỳ tài khoản nào khác mà bạn sẽ đăng nhập từ xa. Fail2Ban và bất kỳ biện pháp bảo mật nào khác mà bạn có thể ban hành sẽ cố gắng ngăn chặn các cuộc tấn công vũ phu, nhưng chúng có thể thất bại. Sử dụng mật khẩu mạnh nhất có thể.

Nếu bạn đang sử dụng SSH, hãy cân nhắc sử dụng khóa SSH thay vì mật khẩu. Khóa SSH là một ví dụ về mật mã khóa công khai — các khóa được tạo theo cặp, một khóa công khai và một khóa riêng tư. Khóa chung được đặt trên máy tính mà bạn sẽ kết nối từ xa. Bạn giữ thành viên còn lại của cặp, khóa riêng, trên máy tính của mình. Khi bạn cố gắng kết nối, khóa riêng tư của bạn sẽ được đối chiếu với khóa trên máy chủ để cấp quyền.

Windows, Linux và MacOS đều hỗ trợ khóa SSH, vì vậy không có nhiều lý do để không sử dụng chúng. Các khóa SSH an toàn hơn và — sau khi thiết lập — mọi thứ đều thuận tiện như mật khẩu.

8.6. Chỉ cho phép kết nối từ các địa chỉ trong danh sách trắng

Bạn cũng có thể cải thiện khả năng bảo mật của mình bằng cách giới hạn các kết nối được phép đến máy chủ của mình. Có hai cách cơ bản để thực hiện việc này: danh sách trắng và danh sách đen. Danh sách đen cấm kết nối từ những người hoặc ứng dụng cụ thể. Ví dụ: nếu bạn biết tin tặc đang tấn công máy chủ Minecraft của mình, bạn có thể thêm IP của họ vào danh sách đen để nó luôn bị từ chối. Ngoài ra, bạn có thể sử dụng danh sách trắng, hoạt động theo cách ngược lại. Danh sách trắng chỉ cho phép các kết nối được phê duyệt trước và chúng thường có thể bị hạn chế chỉ cho phép truy cập vào một ứng dụng cụ thể hoặc một cổng cụ thể.

Trên Linux, hãy sử dụng Tường lửa chung (UFW) hoặc FirewallD để tạo danh sách trắng cấp hệ điều hành. Bạn có thể sử dụng bất cứ thứ gì bạn thích, mặc dù các bản phân phối Debian (như Ubuntu) thường đi kèm với UFW và các bản phân phối RHEL (như Fedora) thường đi kèm với FirewallD. Trên Windows, hãy mở Windows Firewall và chuyển đến tab "Inbound Traffic" để tạo danh sách trắng.

Các ứng dụng riêng lẻ mà bạn có thể lưu trữ cũng thường đi kèm với chức năng danh sách cho phép tích hợp sẵn. Ví dụ: bạn có thể thêm IP vào danh sách trắng của Máy chủ Minecraft bằng cách sửa đổi whitelist.json trong thư mục máy chủ chính. Tuy nhiên, quá trình này khác nhau đáng kể giữa các ứng dụng và bạn sẽ cần kiểm tra tài liệu của ứng dụng để biết chi tiết.

8.7. Cân nhắc việc tách mạng cục bộ của bạn bằng Vlan

Mạng cục bộ (LAN) tại nhà của bạn thường là mạng miễn phí cho tất cả. Bảo mật giữa các thiết bị trong mạng LAN kém hơn nhiều so với giữa thiết bị trên Internet và thiết bị trong mạng LAN. Giả định chung là các thiết bị được kết nối với mạng LAN của bạn là những thiết bị đáng tin cậy và chúng không gây ra nhiều rủi ro bảo mật.

Tuy nhiên, nếu bạn đang lưu trữ một dịch vụ truy cập internet, thì đó không phải là một giả định an toàn. Nếu có lỗi trong dịch vụ mà bạn đang lưu trữ hoặc các biện pháp bảo mật khác của bạn, thì có thể kẻ tấn công có thể xâm phạm máy chủ của bạn và thông qua máy chủ đó để giành quyền truy cập vào các thiết bị khác trên mạng cục bộ của bạn. Nó có khả năng là một vi phạm an ninh rất lớn.

Một giải pháp là Mạng LAN ảo hoặc VLAN. Vlan là một mạng cục bộ ảo riêng biệt được cách ly — thông qua phần mềm — khỏi mạng LAN "thực" mà tất cả các thiết bị khác của bạn đang bật. Bạn có thể giới hạn chính xác loại lưu lượng nào được phép đi qua giữa VLAN chứa máy chủ truy cập internet của bạn và VLAN mà tất cả các thiết bị thông thường của bạn đang bật. Điều này tạo ra một rào cản khá hiệu quả giữa máy chủ của bạn và các thiết bị khác của bạn nếu kẻ tấn công nguy hiểm xâm phạm máy chủ của bạn. Việc thiết lập VLAN có thể hơi phức tạp và các chi tiết sẽ khác nhau tùy thuộc vào phần cứng của bạn. Không phải tất cả các bộ định tuyến tiêu dùng đều hỗ trợ VLAN, vì vậy nếu bạn không thấy thì có thể nó không có ở đó.
Nếu bộ định tuyến của bạn không hỗ trợ VLAN, bạn có một số tùy chọn. Bạn có thể mua một bộ định tuyến mới hỗ trợ chúng hoặc bạn có thể thêm một bộ định tuyến được quản lýchuyển mạch mạng. Bộ chuyển mạch mạng được quản lý có giá khởi điểm khoảng 30 đô la, vì vậy chúng có thể là cách ít tốn kém nhất để thiết lập VLAN tại nhà nếu phần cứng hiện tại của bạn không hỗ trợ.

Có một chút rắc rối khi thiết lập chuyển tiếp cổng, nhưng miễn là bạn chỉ định địa chỉ IP tĩnh cho thiết bị đích và thiết lập máy chủ DNS động cho địa chỉ IP gia đình của mình, thì đó là nhiệm vụ bạn chỉ cần truy cập một lần để tận hưởng quyền truy cập miễn phí vào mạng của bạn trong tương lai.