Svenska

Hur man portforwardar på din router

Feb 6, 2023

För att vidarebefordra en port på din router loggar du in på din router, letar reda på avsnittet “Port Forwarding” och skapar sedan en regel som gäller den enhet du använder som värd för. Du bör också tilldela en statisk IP-adress till värddatorn.

Även om moderna Wi-Fi-routrar hanterar de flesta funktioner automatiskt, kräver vissa appar att du manuellt vidarebefordrar en port i din routers inställningar. Lyckligtvis är det väldigt enkelt att vidarebefordra portar på en router om du vet var du ska leta

Innehållsförteckning

Vad är portvidarebefordran?
Hur din router hanterar förfrågningar och använder portar
Varför måste du vidarebefordra portar
Överväganden innan du konfigurerar din router
Ange statisk IP-adress för din router Enheter
Lär dig din IP-adress (och ställ in en dynamisk DNS-adress)
Var uppmärksam på lokala brandväggar
Hur du ställer in portvidarebefordran på din router
Steg ett: Leta reda på reglerna för portvidarebefordran på din router
Steg Två: Skapa en regel för portvidarebefordran
Steg tre: Testa din regel för portvidarebefordran
Xfinity-portvidarebefordran med en xFi-gateway
Vanliga applikationer för vidarebefordran av port
Säkerhetsåtgärder för portvidarebefordran
Gör det inte Kör servrar som administratör eller rot
Inaktivera rotinloggning över SSH
Du kan ändra dina portar, men lita inte på det
Installera Fail2Ban på Linux-servrar
Använd säkerhetsnycklar för SSH när det är möjligt
Tillåt endast anslutningar från vitlistade adresser
Överväg att separera ditt lokala nätverk med a VLAN

Vad är Port Forwarding?

Port Forwarding (eller portmappning) tillåter extern trafik från internet för att ansluta till en enhet, som en dator, i ett privat nätverk.

Säg att du vill ha en Minecraft-server för dina vänner på din dator. När de försöker ansluta måste deras trafik skickas till rätt dator i ditt nätverk och deras anslutning måste tillåtas av din router. Din router använder regler för vidarebefordran av portar för att sortera ut vilken dator som ska skickas trafiken som är relaterad till Minecraft-servern. Naturligtvis är det inte bara spelservrar — om det involverar internettrafik är portar inblandade.

Låt oss titta på detaljerna om hur det händer.

Hur din router hanterar förfrågningar och använder portar

Här är en karta över ett enkelt hemnätverk. Molnikonen representerar det större internet och din offentliga, eller framåtriktade, IP-adress (Internet Protocol). Denna IP-adress representerar hela ditt hushåll från omvärlden — som en gatuadress, på ett sätt.

Den röda adressen 192.1.168.1 är routeradressen inom ditt nätverk. De ytterligare adresserna tillhör alla datorerna som visas längst ner på bilden. Om din offentliga IP-adress är som en gatuadress, tänk på de interna IP-adresserna som lägenhetsnummer för den gatuadressen.

Diagrammet väcker en intressant fråga som du kanske inte har tänkt på tidigare. Hur kommer all information från internet till rätt enhet i nätverket? Om du besöker howtogeek.com på din bärbara dator, hur hamnar det på din bärbara dator och inte din sons skrivbord om den offentliga IP-adressen är densamma för alla enheter?

Detta tack vare en underbar bit av routingmagi som kallas Network Address Translation (NAT). Den här funktionen sker på routernivå där NAT fungerar som en trafikpolis och styr flödet av nätverkstrafik genom routern så att en enda offentlig IP-adress kan delas mellan alla enheter bakom routern. På grund av NAT kan alla i ditt hushåll begära webbplatser och annat internetinnehåll samtidigt och allt kommer att levereras till rätt enhet.

Så var hamnar kommer in i denna process? Portar är ett gammalt men användbart minne från de tidiga dagarna av nätverksdatorer. Förr i tiden, när datorer bara kunde köra en applikation åt gången, var allt du behövde göra att rikta en dator mot en annan dator i nätverket för att ansluta dem eftersom de skulle köra samma applikation. När datorer blev sofistikerade för att köra flera applikationer, var tidiga datavetare tvungna att brottas med frågan om att säkerställa applikationer kopplade till rätt applikationer. Därmed föddes hamnar.

Vissa portar har specifika applikationer som är standarder inom datorbranschen. När du hämtar en webbsida, till exempel, använder den port 80. Den mottagande datorns programvara vet att port 80 används för att servera http-dokument, så den lyssnar där och svarar därefter. Om du skickar en http-förfrågan över en annan port — säg, 143 — webbservern kommer inte att känna igen den eftersom den inte lyssnar där (även om något annat kan vara, som en IMAP-e-postserver som traditionellt använder den porten).

Andra portar har inte fördefinierade användningsområden, och du kan använda dem till vad du vill. För att undvika att störa andra standardtillämpningar är det bäst att använda större antal för dessa alternativa konfigurationer. Plex Media Server använder port 32400, till exempel, och Minecraft-servrar använder 25565 — båda siffrorna som faller in i detta “rättvisa spel” territorium.

Varje port kan användas via antingen TCP eller UDP. TCP, eller Transmission Control Protocol, är det som används mest. UDP, eller User Datagram Protocol, används mindre i hemapplikationer med ett stort undantag: BitTorrent. Beroende på vad som lyssnar, kommer den att förvänta sig att förfrågningar görs i antingen det ena eller det andra av dessa protokoll.

Varför du behöver Vidarebefordra portar

Så varför skulle du behöva vidarebefordra portar? Medan vissa applikationer drar fördel av NAT för att ställa in sina egna portar och hantera all konfiguration åt dig, finns det fortfarande många applikationer som inte gör det, och du måste ge din router en hjälpande hand när det gäller att ansluta tjänster och applikationer.

I diagrammet nedan börjar vi med en enkel premiss. Du sitter på din bärbara dator någonstans i världen (med en IP-adress på 987.76.54.123) och du vill ansluta till ditt hemnätverk för att komma åt några filer. Om du helt enkelt ansluter din hem-IP-adress (123.45.67.891) till vilket verktyg du än använder (till exempel en FTP-klient eller fjärrskrivbordsapplikation), och det verktyget inte drar fördel av de avancerade routerfunktionerna vi just nämnde, du har inte tur. Den vet inte vart den ska skicka din förfrågan, och ingenting kommer att hända.

Detta är förresten en bra säkerhetsfunktion. Om någon ansluter till ditt hemnätverk och de inte är ansluten till en giltig port vill du att anslutningen ska avvisas. Det är brandväggselementet i din router som gör sitt jobb: att avvisa ovälkomna förfrågningar. Om personen som knackar på din virtuella dörr däremot är du, är avslaget inte så välkommet och vi måste göra lite justeringar.

För att lösa det problemet vill du säga till din router “hej: när jag kommer åt dig med det här programmet måste du skicka det till den här enheten på den här porten”. Med dessa instruktioner på plats ser din router till att du kan komma åt rätt dator och applikation i ditt hemnätverk.

Så i det här exemplet, när du är ute och använder din bärbara dator, använder du olika portar för att göra dina önskemål. När du kommer åt ditt hemnätverks IP-adress med port 22, vet din router hemma att denna ska gå till 192.168.1.100 i nätverket. Sedan kommer SSH-demonen på din Linux-installation att svara. Samtidigt kan du göra en begäran över port 80, som din router skickar till webbservern du kör på 192.168.1.150. Eller så kan du försöka fjärrstyra din systers bärbara dator med VNC, och din router ansluter dig till din bärbara dator på 192.168.1.200. På så sätt kan du enkelt ansluta till alla enheter du har ställt in en port forward-regel för.

RELATERAT:Hur du låser din SSH-server

Användbarheten med portvidarebefordran slutar dock inte där! Du kan till och med använda portvidarebefordran för att ändra befintliga tjänster’ portnummer för tydlighet och bekvämlighet. Låt oss till exempel säga att du har två webbservrar som körs på ditt hemnätverk och du vill att en ska vara lätt och uppenbart tillgänglig (t.ex. är det en väderserver som du vill att folk enkelt ska kunna hitta) och annan webbserver är för ett personligt projekt.

När du ansluter till ditt hemnätverk från den offentliga porten 80 kan du be din router att skicka den till port 80 på väderservern på 192.168.1.150, där den kommer att lyssna på port 80. Men du kan tala om för din router att när du kommer åt den via port 10 000, att den ska gå till port 80 på din personliga server, 192.168.1.250. På så sätt behöver den andra datorn inte konfigureras om för att använda en annan port, men du kan fortfarande hantera trafik effektivt — och samtidigt genom att lämna den första webbservern länkad till port 80 gör du det lättare för människor att komma åt ditt ovannämnda väderserverprojekt.

Nu när vi vet vad portvidarebefordran är och varför vi kanske vill använda det, låt oss’ ta en titt på några små överväganden angående portvidarebefordran innan du går in i att faktiskt konfigurera den.

Att tänka på innan du konfigurerar din router

Det finns några saker att tänka på innan du sätter dig ner för att konfigurera din router och kör igenom dem i förväg kommer garanterat att minska frustration.

Ställ in. Statisk IP-adress för dina enheter

Först och främst kommer alla dina portvidarebefordransregler att falla isär om du tilldelar dem till enheter med dynamiska IP-adresser tilldelade av din routers DHCP-tjänst. Vi gräver i detaljer om vad DHCP är i den här artikeln om DHCP kontra statiska IP-adresstilldelningar, men vi ger dig en snabb sammanfattning här.

RELATERAT: Så här ställer du in statiska IP-adresser på din router

Din router har en pool av adresser som den reserverar bara för att dela ut till enheter när de går med och lämnar nätverket. Tänk på det som att få ett nummer på ett matställe när du anländer — din bärbara dator ansluter, boom, den får IP-adress 192.168.1.98. Din iPhone ansluter, boom, den får adressen 192.168.1.99. Om du tar dessa enheter offline under en tid eller om routern startas om, så händer hela IP-adresslotteriet om igen.

Under normala omständigheter är detta mer än bra. Din iPhone bryr sig inte om vilken intern IP-adress den har. Men om du har skapat en portvidarebefordranregel som säger att din spelserver har en viss IP-adress och sedan routern ger den en ny, kommer den regeln inte att fungera, och ingen kommer att kunna ansluta till din spelserver. För att undvika det måste du tilldela en statisk IP-adress till varje nätverksenhet som du tilldelar en regel för portvidarebefordran till. Det bästa sättet att göra det är genom din router.

Känn din IP-adress (och ange en dynamisk DNS-adress)

Förutom att använda statiska IP-tilldelningar för relevanta enheter i ditt nätverk, vill du också vara medveten om din externa IP-adress — du kan hitta den genom att besöka whatismyip.com när du är på ditt hemnätverk. Även om det är möjligt att du kan ha samma offentliga IP-adress i månader eller till och med över ett år, kan din offentliga IP-adress ändras (såvida inte din internetleverantör uttryckligen har gett dig en statisk offentlig IP-adress). Med andra ord, du kan inte lita på att du skriver in din numeriska IP-adress i vilket fjärrverktyg du än använder (och du kan inte lita på att ge den IP-adressen till en vän).

RELATERAT: Vad är dynamisk DNS (DDNS) och hur ställer du in det?

Nu, medan du kan gå igenom besväret med att manuellt kontrollera den IP-adressen varje gång du lämnar huset och tänker arbeta hemifrån (eller varje gång din vän ska ansluta till din Minecraft-server eller liknande), är det&#8217 ;är en stor huvudvärk. Istället rekommenderar vi starkt att du konfigurerar en dynamisk DNS-tjänst som gör att du kan länka din (föränderliga) hem-IP-adress till en minnesvärd adress som mysuperawesomeshomeserver.dynu.net.

Var uppmärksam på lokala brandväggar

h3>

När du väl har ställt in portvidarebefordran på routernivå finns det en möjlighet att du kan behöva justera brandväggsreglerna på din dator också. Till exempel har vi fått många e-postmeddelanden genom åren från frustrerade föräldrar som ställt in portvidarebefordran så att deras barn kan spela Minecraft med sina vänner. I nästan alla fall är problemet att trots att portvidarebefordransreglerna ställts in på routern korrekt, ignorerade någon Windows-brandväggsförfrågan och frågade om det var OK om Java-plattformen (som kör Minecraft) kunde komma åt det större internet.

Var medveten om att på datorer som kör lokal brandvägg och/eller antivirusprogram som inkluderar brandväggsskydd, kommer du sannolikt att behöva bekräfta att anslutningen du har konfigurerat är okej.

Hur du ställer in portvidarebefordran på din router

Du kan konfigurera portvidarebefordran på din router. Nu när du kan grunderna är det ganska enkelt.

Så mycket som vi gärna vill ge exakta instruktioner för den exakta modellen av router du äger, är verkligheten att varje routertillverkare har sin egen programvara, och hur den programvaran ser ut kan till och med variera mellan routermodellerna.

I allmänhet kommer du att leta efter något som heter — du gissade rätt —“Port Forwarding”. Du kanske måste titta igenom de olika kategorierna för att hitta den, men om din router är bra bör den finnas där. De flesta routrar erbjuder även appar, förutom eventuell datorprogramvara eller gränssnitt de har.

Steg ett: Leta reda på reglerna för vidarebefordran av portar på din router

Istället för att försöka fånga alla varianter kommer vi att lyfta fram några för att ge dig en uppfattning om hur menyn ser ut och uppmuntra dig för att leta upp manualen eller onlinehjälpfilerna för just din router för att hitta detaljerna.

Så här ser portvidarebefordringsmenyn ut för xFi Gateway i Xfinity-appen:< /p>

Och så här ser portvidarebefordran-menyn ut på en D-Link DIR-890L som kör den populära tredjepartsfirmwaren DD-WRT:

Som du kan se varierar komplexiteten mellan de två vyerna mycket. Dessutom är platsen en helt annan inom menyerna. Som sådan är det mest användbart om du slår upp de exakta instruktionerna för din enhet med hjälp av manualen eller en sökfråga.

När du har hittat menyn är det dags att ställa in den faktiska regeln.

Steg två: Skapa en regel för portvidarebefordran

Efter att ha lärt sig allt om portvidarebefordran, konfigurering av en dynamisk DNS för din hem-IP-adress och allt annat arbete som gick in i detta, är det viktiga steget — skapa den faktiska regeln — är ganska mycket en promenad i parken. I menyn för vidarebefordran av port på vår router kommer vi att skapa två nya regler för vidarebefordran av portar: en för Subsonic-musikservern och en för en ny Minecraft-server som vi just konfigurerat.

Trots skillnaderna i plats på olika routerprogram, är den allmänna ingången densamma. Nästan allmänt kommer du att namnge regeln för vidarebefordran av portar. Det är bäst att helt enkelt namnge den vad servern eller tjänsten är och sedan lägga till den om det behövs för tydlighetens skull (t.ex. “Webserver” eller “Webserver-Väder” om det finns mer än en). Kommer du ihåg TCP/UDP-protokollet vi pratade om i början? Du måste också ange TCP, UDP eller båda. Vissa människor är mycket militanta när det gäller att ta reda på exakt vilket protokoll varje applikation och tjänst använder och matcha saker perfekt för säkerhetsändamål. Vi kommer att vara de första att erkänna att vi är lata i detta avseende och vi väljer nästan alltid bara “Båda” för att spara tid.

Viss routerfirmware, inklusive den mer avancerade DD-WRT som vi använder i skärmdumpen ovan, låter dig ange en “Källa” värde som är en lista över IP-adresser som du begränsar porten vidare till av säkerhetsskäl. Du kan använda den här funktionen om du vill, men tänk på att den introducerar en helt ny mängd huvudvärk eftersom den förutsätter att fjärranvändare (inklusive dig när du är borta från hemmet och vänner som ansluter) har statiska IP-adresser.

Därefter måste du sätta i den externa porten. Detta är porten som kommer att vara öppen på routern och vänd mot internet. Du kan använda vilket nummer du vill här mellan 1 och 65353, men praktiskt taget de flesta av de lägre siffrorna tas upp av standardtjänster (som e-post och webbservrar) och många av de högre numren är tilldelade ganska vanliga applikationer. Med det i åtanke rekommenderar vi att du väljer ett nummer över 5 000 och för att vara extra säker använder du Ctrl+F för att söka i den här långa listan med TCP/UDP-portnummer för att säkerställa att du inte väljer en port som är i konflikt med en befintlig tjänst som du redan använder.

Sätt slutligen in enhetens interna IP-adress, porten du har på enheten och (om tillämpligt) slå på regeln. Glöm inte att spara inställningarna.

Steg tre: Testa din regel för portvidarebefordran

Det mest uppenbara sättet att kontrollera om din port forward fungerade är att ansluta med den rutin som är avsedd för porten (t.ex. be din vän att ansluta sin Minecraft-klient till din hemmaserver), men det är inte alltid en omedelbart tillgänglig lösning om du& #8217;är inte hemifrån.

Tack och lov finns det en praktisk liten portcheckare tillgänglig online på YouGetSignal.com. Vi kan testa för att se om vår Minecraft-serverport framåt tog helt enkelt genom att låta porttestaren försöka ansluta till den. Anslut din IP-adress och portnumret och klicka på “Kontrollera”.

Du bör få ett meddelande, som ses ovan, som “Port X är öppen på [din IP]”. Om porten rapporteras som stängd, dubbelkolla både inställningarna i portvidarebefordran-menyn på din router och din IP- och portdata i testaren.

Xfinity Port Forwarding Med en xFi Gateway

Tyvärr kan du inte göra allt på ett ställe längre om du har en xFi Gateway. Xfinity har flyttat regler för portvidarebefordran till Xfinity-appen, men du måste använda webbgränssnittet för att tilldela en statisk IP-adress.
Logga in på din xFi-gateway genom att ange Gateway’s adress i din webbläsare. Vanligtvis är adressen 10.0.0.1 eller 192.168.0.1, men det är inte garanterat. Du kan alltid hitta ditt modem eller routers IP-adress manuellt om en av dessa två adresser inte fungerar.

När du har loggat in, gå till Anslutna enheter, leta efter din server på listan och klicka sedan på “Redigera.”

Markera “Reserverad IP,” klicka sedan på “Spara.”

Tips: Om du tycker att det är lättare att komma ihåg kan du ställa in en anpassad IP-adress, men du är begränsad till att ändra de tre sista siffrorna till ett tal mellan 2 och 255.

Vi har nu sett till att regeln förblir tillämpad på rätt enhet. Ladda sedan ner Xfinity-appen från Google Play Store eller Apple Store. Det är det enda sättet att vidarekoppla med hjälp av en Xfinity xFi Gateway.
Öppna appen, logga in om du uppmanas att göra det och navigera sedan till Anslut > (Ditt Wi-Fi-nätverksnamn) > Avancerade inställningar > Port Forwarding och tryck på “Add Port Forward.”

Välj den enhet eller lokala IP du vill skapa en regel för, välj sedan en port och välj mellan TCP, UDP eller TCP/UDP. Tryck sedan på “Nästa” för att slutföra regeln för vidarebefordran av portar.

Det är det & #8217; #8212; du är klar. Din tjänst bör finnas på internet. Se bara till att brandväggen på själva servern tillåter anslutningar på den porten.

Vanliga applikationer för portvidarebefordran

Det finns lika många applikationer för portvidarebefordran som det finns portar, men för det mesta kommer du att använda det för att ställa in fjärråtkomst, en spelserver eller en mediaserver. Många människor behöver vidarebefordra portar för en Minecraft-server, eller för att ställa in SSH-portvidarebefordran. Här är en snabbreferenstabell för några av de mest populära programmen i dessa kategorier.

Applikation Portar ProtokollMinecraft (Java) 25565 TCP/UDP Minecraft (Bedrock) 19132-19133 TCP/UDP Project Zomboid (PZ) 16261-16262 TCP/UDP VNC 5900 TCP SSH 22 TCP Plex Media Server 32400 TCP

Det är viktigt att notera att SSH använder port 22, och att porten är specifikt reserverad för den användningen. Andra applikationer (som Minecraft) har gjort ett så starkt påstående att de funktionellt har reserverat sina portar, även om det inte finns något officiellt som kräver det. Du kan ibland upptäcka att du har flera saker som försöker använda samma port. Kom ihåg att det bokstavligen finns tiotusentals olika portar fritt tillgängliga att använda, så välj bara en annan och använd den istället.

Men innan du öppnar alla typer av portar och är värd för varje enskild tjänst du kan tänk dig, ta dig tid att se över dina säkerhetsrutiner. De flesta är ganska enkla att komma igång med, och de kan spara dig en enorm huvudvärk senare.

Säkerhetsåtgärder för portvidarebefordran

Om du vidarebefordrar portar har du uppenbarligen för avsikt att något ska vara tillgängligt från Internet. Varje gång du öppnar en port ökar du din “attackyta.” Det är alltid bäst att vidta några förebyggande åtgärder för att minska din risk. Det här är inte en uttömmande lista över saker du kan göra för att skydda dig själv — för det skulle vi behöva skriva flera romaner — men det är en plats att börja.

Kör inte servrar som administratör eller rot

Det spelar ingen roll om du är värd för en server på Windows, Linux eller något annat operativsystem. Använd inte administratören eller root-kontot för att vara värd för saker som är utsatta för Internet. De administrativa kontona eller root-kontona har få (om några) begränsningar för dem. De kan utföra alla åtgärder på ditt system.

Om det finns något problem med tjänsten du kör — som en felaktig konfiguration, bugg eller en exploatering — administrativ eller root-åtkomst ökar dramatiskt mängden skada som kan göras av en illvillig angripare. Det kan till och med tillåta någon att äventyra andra enheter som är anslutna till ditt nätverk.

Om du använder ett vanligt konto är du mycket mindre sårbar — alla angripare som får tillgång till ditt system kommer förmodligen också att behöva någon form av privilegieupptrappning för att verkligen orsaka skada.

Inaktivera rotinloggning över SSH

Om du är värd på Linux, bör du helt inaktivera rotinloggning över SSH. Rotanvändaren har obegränsad tillgång till allt på systemet, vilket gör det till ett frestande mål för tänkbara illgärare.

Dessutom finns det egentligen ingenting att vinna på att använda det, eftersom sudo tillåter användare att utföra kommandon som om de vore root-användaren. Sudo-behörigheter kan till och med ändras på en användare för användare, så om du ville skapa ett mer begränsat sudo-konto för att utföra grundläggande serveradministration så kunde du det.

Du kan ändra dina portar, men inte 8217;t lita på det

Du kommer ibland att stöta på förslaget att du inte ska använda standardportarna för något du är värd för. Tanken bakom detta är enkel: Om någon skannar IP-block efter specifika öppna portar de vill rikta in sig på, kan en ändring av porten minska risken för att någon försöker komma åt din server.

Du kan till exempel ändra SSH-porten från 22 till något i stil med 7281.

Är det effektivt? Bara sorta — det kommer säkerligen att minska antalet automatiska träffar du tar från skriptbarn (amatörhackare som använder förbyggd programvara eller skript), och det kommer därefter att finnas färre saker i dina loggar att granska. Det kommer dock inte att göra något för att avskräcka en allvarlig riktad attack av någon kunnig.

Säkerhet genom mörker är ingen garanti, och du bör aldrig förlita dig på det för att hålla ditt system säkert.

Installera Fail2Ban på Linux-servrar

Fail2Ban är en mjukvara utformad för att hjälpa till att säkra din server mot brute-force-attacker. Fail2Ban kan konfigureras för att automatiskt avvisa anslutningsförsök från vilken IP-adress som helst som har försökt och misslyckats med att logga in på din server ett visst antal gånger. Angripare kan inte försöka gissa lösenord mer än ett par gånger utan att bli förbjudna.

Fail2Ban kan också ställas in med mer komplexa beteenden, så det är väl värt att lära sig om du planerar att vara värd på Linux .

Använd säkerhetsnycklar för SSH när det är möjligt

Du bör alltid välja ett starkt lösenord för ditt administratörs- eller root-konto och alla andra konton som du kommer att logga in på på distans. Fail2Ban och alla andra säkerhetsåtgärder du kan vidta kommer att försöka stoppa brute-force-attacker, men de kan misslyckas. Använd det starkaste lösenordet som möjligt.

Om du använder SSH, överväg att använda SSH-nycklar istället för ett lösenord. SSH-nycklar är ett exempel på offentlig nyckelkryptering — nycklar genereras i par, en offentlig och en privat. Den offentliga nyckeln placeras på datorn som du fjärransluter till. Du behåller den andra medlemmen i paret, den privata nyckeln, på din dator. När du försöker ansluta kontrolleras din privata nyckel mot nyckeln på servern för att ge auktorisering.

Windows, Linux och MacOS stöder alla SSH-nycklar, så det finns inte så mycket anledning att inte göra det. Använd dem. SSH-nycklar är säkrare och — en gång installation & # 8212; lika bekvämt som ett lösenord.

Tillåt endast anslutningar från vitlistade adresser

Du kan också förbättra din säkerhet genom att begränsa de anslutningar som är tillåtna till din server. Det finns två grundläggande sätt att göra detta: en vitlista och en svartlista. En svartlista förbjuder anslutningar från specifika personer eller applikationer. Till exempel, om du vet att en hackare attackerade din Minecraft-server, kan du lägga till deras IP-adress på en svartlista så att den alltid avvisas. Alternativt kan du använda en vitlista, som fungerar på motsatt sätt. Vitlistor tillåter endast förgodkända anslutningar, och de kan ofta begränsas till att endast tillåta åtkomst till en specifik applikation eller en specifik port.

På Linux, använd Universal Firewall (UFW) eller FirewallD för att skapa en vitlista på OS-nivå. Du kan använda vilket du föredrar, även om Debian-distros (som Ubuntu) vanligtvis kommer med UFW, och RHEL-distros (som Fedora) vanligtvis kommer med FirewallD. I Windows öppnar du Windows-brandväggen och går till “Inkommande trafik” för att skapa en vitlista.

Individuella applikationer som du kan vara värd för kommer också ofta med inbyggd vitlista-funktionalitet. Du kan till exempel lägga till en IP till en Minecraft Servers vitlista genom att ändra whitelist.json i huvudserverkatalogen. Processen varierar dock avsevärt mellan applikationer, och du måste kontrollera din applikations dokumentation för detaljer.

RELATERAT: Den bästa Linux Distributioner för nybörjare

Överväg att separera ditt lokala nätverk med ett VLAN

Ditt lokala hemnätverk (LAN) är vanligtvis lite gratis för alla. Det finns mycket mindre säkerhet mellan enheter på ett LAN än mellan en enhet på Internet och en enhet på LAN. Det allmänna antagandet är att enheter som är anslutna till ditt LAN är betrodda enheter och att de inte utgör någon större säkerhetsrisk.

Om du är värd för en internettjänst är det dock inte ett säkert antagande. Om det finns ett fel i tjänsten du är värd för, eller dina andra säkerhetsrutiner, är det möjligt att en angripare kan äventyra din server och genom den få tillgång till andra enheter på ditt lokala nätverk. Det är potentiellt ett stort säkerhetsintrång.

En lösning är ett virtuellt LAN, eller VLAN. Ett VLAN är ett separat virtuellt lokalt nätverk som är isolerat — genom programvara — från den “riktiga” LAN som alla dina andra enheter är på. Du kan begränsa exakt vilken typ av trafik som tillåts passera mellan VLAN som innehåller din internetserver och VLAN som alla dina vanliga enheter är på. Detta skapar en ganska effektiv barriär mellan din server och dina andra enheter om en illvillig angripare äventyrar din server. Att sätta upp ett VLAN kan vara lite komplicerat, och detaljerna kommer att variera beroende på din hårdvara. Alla konsumentroutrar stöder inte heller VLAN, så om du inte ser det finns det förmodligen inte där.
Om din router inte stöder VLAN har du några alternativ. Du kan köpa en ny router som stöder dem, eller så kan du lägga till en hanteradNätverksomkopplare. Hanterade nätverksväxlar börjar på cirka $30, så de är förmodligen det billigaste sättet att konfigurera ett VLAN hemma om din nuvarande hårdvara inte stöder det.

Det är en lite krångligt att ställa in portvidarebefordran, men så länge du tilldelar en statisk IP-adress till målenheten och konfigurerar en dynamisk DNS-server för din hem-IP-adress, är det en uppgift du bara behöver besöka en gång för att få problemfri tillgång till ditt nätverk i framtiden.

The Best Wi-Fi Routers of 2023 Best Wi-Fi Router Overall Asus AX6000 (RT-AX88U) Amazon