Portforward op uw router

0
70

Om een ​​poort op uw router door te sturen, logt u in op uw router, zoekt u het gedeelte “Port Forwarding” en maakt u vervolgens een regel die van toepassing is op het apparaat dat u gebruikt om te hosten. U moet ook een statisch IP-adres toewijzen aan de hostcomputer.

Hoewel moderne wifi-routers de meeste functies automatisch afhandelen, moet u voor sommige toepassingen handmatig een poort doorsturen in de instellingen van uw router. Gelukkig is het heel eenvoudig om poorten op een router door te sturen als je weet waar je moet zoeken.

Inhoudsopgave

Wat is poort doorsturen?
Hoe uw router omgaat met verzoeken en poorten gebruikt
Waarom u poorten moet doorsturen
Overwegingen voordat u uw router configureert
Stel een statisch IP-adres in voor uw Apparaten
Ken uw IP-adres (en stel een dynamisch DNS-adres in)
Let op lokale firewalls
Hoe u Port Forwarding instelt op uw router
Stap één: zoek de regels voor Port Forwarding op uw router
Stap Twee: maak een poort doorsturen-regel
Stap drie: test uw poort doorsturen-regel
Xfinity poort doorsturen met een xFi-gateway
Algemene toepassingen voor poort doorsturen
Veiligheidsmaatregelen voor poort doorsturen
Niet doen Voer servers uit als beheerder of root
Schakel root-login via SSH uit
U kunt uw poorten wijzigen, maar vertrouw er niet op
Installeer Fail2Ban op Linux-servers
Gebruik waar mogelijk beveiligingssleutels voor SSH
Sta alleen verbindingen toe vanaf adressen op de witte lijst
Overweeg om uw LAN te scheiden met a VLAN's

Wat is Port Forwarding?

Port Forwarding (of poorttoewijzing) maakt extern verkeer mogelijk van internet om verbinding te maken met een apparaat, zoals een computer, op een privénetwerk.

Stel dat u een Minecraft-server voor uw vrienden op uw computer wilt hosten. Wanneer ze verbinding proberen te maken, moet hun verkeer naar de juiste computer in uw netwerk worden gestuurd en moet hun verbinding worden toegestaan ​​door uw router. Uw router gebruikt regels voor poort doorsturen om uit te zoeken naar welke computer het verkeer met betrekking tot de Minecraft-server moet worden verzonden. Natuurlijk zijn het niet alleen gameservers — als het om internetverkeer gaat, zijn er poorten bij betrokken.

Laten we eens kijken naar de details van hoe het gebeurt.

Hoe uw router omgaat met verzoeken en poorten gebruikt

Hier is een kaart van een eenvoudig thuisnetwerk. Het cloudpictogram vertegenwoordigt het grotere internet en uw openbare of naar voren gerichte IP-adres (Internet Protocol). Dit IP-adres vertegenwoordigt uw hele huishouden van de buitenwereld — zoals een adres, in zekere zin.

Het rode adres 192.1.168.1 is het routeradres binnen je netwerk. De extra adressen behoren allemaal tot de computers die onderaan de afbeelding te zien zijn. Als uw openbare IP-adres een straatadres is, denk dan aan de interne IP-adressen zoals appartementnummers voor dat straatadres.

Het diagram roept een interessante vraag op waar je misschien nog niet eerder over hebt nagedacht. Hoe komt alle informatie van internet op het juiste apparaat binnen het netwerk terecht? Als u howtogeek.com op uw laptop bezoekt, hoe komt het dan op uw laptop terecht en niet op de desktop van uw zoon als het openbare IP-adres voor alle apparaten hetzelfde is?

Dit is te danken aan een prachtig stukje routeringsmagie, bekend als Network Address Translation (NAT). Deze functie vindt plaats op routerniveau, waar de NAT fungeert als verkeersagent en de stroom netwerkverkeer door de router leidt, zodat een enkel openbaar IP-adres kan worden gedeeld met alle apparaten achter de router. Dankzij de NAT kan iedereen in uw huishouden tegelijkertijd websites en andere internetinhoud opvragen en wordt alles op het juiste apparaat afgeleverd.

Dus waar komen poorten in dit proces? Poorten zijn een oud maar nuttig overblijfsel uit de begintijd van netwerkcomputing. Vroeger, toen computers maar één applicatie tegelijk konden uitvoeren, hoefde je alleen maar een computer naar een andere computer op het netwerk te wijzen om ze te verbinden, alsof ze dezelfde applicatie zouden gebruiken. Toen computers eenmaal geavanceerd waren om meerdere applicaties uit te voeren, moesten vroege computerwetenschappers worstelen met het probleem om ervoor te zorgen dat applicaties met de juiste applicaties verbonden waren. Zo werden ports geboren.

Sommige poorten hebben specifieke toepassingen die standaard zijn in de computerindustrie. Wanneer u bijvoorbeeld een webpagina ophaalt, gebruikt deze poort 80. De software van de ontvangende computer weet dat poort 80 wordt gebruikt voor het aanleveren van http-documenten, dus luistert het daar en reageert dienovereenkomstig. Als u een http-verzoek verzendt via een andere poort — zeg, 143 — de webserver herkent het niet omdat het daar niet luistert (hoewel iets anders dat wel kan zijn, zoals een IMAP-e-mailserver die traditioneel die poort gebruikt).

Andere poorten hebben geen vooraf toegewezen toepassingen en u kunt ze gebruiken voor wat u maar wilt. Om interferentie met andere standaardtoepassingen te voorkomen, kunt u het beste grotere getallen gebruiken voor deze alternatieve configuraties. Plex Media Server gebruikt bijvoorbeeld poort 32400 en Minecraft-servers gebruiken 25565 — beide nummers die in dit “eerlijke spel” territorium.

Elke poort kan worden gebruikt via TCP of UDP. TCP, of Transmission Control Protocol, is wat het meest wordt gebruikt. UDP, of User Datagram Protocol, wordt minder vaak gebruikt in thuistoepassingen met één grote uitzondering: BitTorrent. Afhankelijk van wat er luistert, verwacht het dat verzoeken worden gedaan in het ene of het andere van deze protocollen.

Waarom u dit moet doen Forward-poorten

Dus waarom zou je poorten moeten doorsturen? Hoewel sommige applicaties gebruikmaken van NAT om hun eigen poorten in te stellen en alle configuratie voor u af te handelen, zijn er nog steeds tal van applicaties die dat niet doen, en u zult uw router een helpende hand moeten bieden als het gaat om het verbinden van services en applicaties.

In het onderstaande diagram beginnen we met een eenvoudig uitgangspunt. Je zit ergens op de wereld op je laptop (met een IP-adres van 987.76.54.123) en je wilt verbinding maken met je thuisnetwerk om toegang te krijgen tot enkele bestanden. Als u eenvoudigweg uw thuis-IP-adres (123.45.67.891) aansluit op de tool die u gebruikt (bijvoorbeeld een FTP-client of remote desktop-applicatie), en die tool profiteert niet van die geavanceerde routerfuncties we noemden het net, je hebt pech. Het weet niet waar het uw verzoek naartoe moet sturen en er gebeurt niets.

Dit is trouwens een geweldige beveiligingsfunctie. Als iemand verbinding maakt met uw thuisnetwerk en niet is verbonden met een geldige poort, wilt u dat de verbinding wordt geweigerd. Dat is het firewall-element van uw router die zijn werk doet: ongewenste verzoeken afwijzen. Als de persoon die op je virtuele deur klopt echter jij bent, dan is de afwijzing niet zo welkom en moeten we een beetje bijsturen.

Om dat probleem op te lossen, wil je tegen je router zeggen “hey: wanneer ik je benader met dit programma, moet je het naar dit apparaat op deze poort sturen”. Met deze instructies zorgt uw router ervoor dat u toegang krijgt tot de juiste computer en toepassing op uw thuisnetwerk.

Dus in dit voorbeeld, wanneer u onderweg bent en uw laptop gebruikt, gebruikt u verschillende poorten om uw verzoeken in te dienen. Wanneer je toegang krijgt tot het IP-adres van je thuisnetwerk via poort 22, weet je router thuis dat dit binnen het netwerk naar 192.168.1.100 moet gaan. Vervolgens zal de SSH-daemon op uw Linux-installatie reageren. Tegelijkertijd kunt u een verzoek doen via poort 80, dat uw router naar de webserver stuurt die u draait op 192.168.1.150. Of u kunt proberen de laptop van uw zus op afstand te bedienen met VNC, en uw router zal u verbinden met uw laptop op 192.168.1.200. Op deze manier kunt u eenvoudig verbinding maken met alle apparaten waarvoor u een poort doorstuurregel heeft ingesteld.

GERELATEERD: Uw SSH-server vergrendelen

Het nut van port forwarding houdt hier echter niet op! U kunt port forwarding zelfs gebruiken om bestaande services te wijzigen’ poortnummers voor duidelijkheid en gemak. Stel bijvoorbeeld dat u twee webservers op uw thuisnetwerk hebt draaien en dat u wilt dat er een direct en duidelijk toegankelijk is (het is bijvoorbeeld een weerserver waarvan u wilt dat mensen deze gemakkelijk kunnen vinden) en de andere webserver is voor een persoonlijk project.

Wanneer u uw thuisnetwerk opent via de openbare poort 80, kunt u uw router vertellen om het naar poort 80 op de weerserver op 192.168.1.150 te sturen, waar het zal luisteren op poort 80. Maar u kunt uw router vertellen dat wanneer u het via poort 10.000 opent, het naar poort 80 op uw persoonlijke server moet gaan, 192.168.1.250. Op deze manier hoeft de tweede computer niet opnieuw te worden geconfigureerd om een ​​andere poort te gebruiken, maar kunt u het verkeer nog steeds effectief beheren — en door tegelijkertijd de eerste webserver gekoppeld te laten aan poort 80, maakt u het gemakkelijker voor mensen om toegang te krijgen tot uw eerder genoemde weerserverproject.

Nu we weten wat port forwarding is en waarom we het zouden willen gebruiken het, laten we’ bekijk enkele kleine overwegingen met betrekking tot port forwarding voordat u aan de daadwerkelijke configuratie begint.

Overwegingen voordat u uw router configureert

Er zijn een paar dingen die u in gedachten moet houden voordat u gaat zitten om uw router te configureren. Als u ze van tevoren doorneemt, vermindert u gegarandeerd de frustratie.

Instellen Statisch IP-adres voor uw apparaten

Eerst en vooral vallen al uw regels voor poortdoorschakeling uit elkaar als u ze toewijst aan apparaten met dynamische IP-adressen die zijn toegewezen door de DHCP-service van uw router. We gaan in op de details van wat DHCP is in dit artikel over DHCP versus statische IP-adrestoewijzingen, maar we geven u hier een korte samenvatting.

GERELATEERD: Statische IP-adressen instellen op uw router

Uw router heeft een pool met adressen die hij alleen reserveert om uit te delen aan apparaten wanneer ze het netwerk binnenkomen en verlaten. Zie het als een nummer krijgen bij een diner wanneer je aankomt — je laptop doet mee, boem, hij krijgt IP-adres 192.168.1.98. Je iPhone doet mee, boem, hij krijgt adres 192.168.1.99. Als je die apparaten een tijdje offline haalt of als de router opnieuw wordt opgestart, gebeurt de hele IP-adresloterij opnieuw.

Onder normale omstandigheden is dit meer dan prima. Het maakt je iPhone niet uit welk intern IP-adres hij heeft. Maar als je een poort doorsturen-regel hebt gemaakt die zegt dat je gameserver zich op een bepaald IP-adres bevindt en de router deze vervolgens een nieuw IP-adres geeft, werkt die regel niet en kan niemand verbinding maken met je gameserver. Om dat te voorkomen, moet u een statisch IP-adres toewijzen aan elk netwerkapparaat waaraan u een poort doorsturen-regel toewijst. De beste manier om dat te doen is via uw router.

Ken uw IP-adres (en stel een dynamisch DNS-adres in)

Naast het gebruik van statische IP-toewijzingen voor de relevante apparaten binnen uw netwerk, wilt u ook op de hoogte zijn van uw externe IP-adres — u kunt het vinden door naar whatismyip.com te gaan terwijl u zich op uw thuisnetwerk bevindt. Hoewel het mogelijk is dat u maanden of zelfs meer dan een jaar hetzelfde openbare IP-adres heeft, kan uw openbare IP-adres veranderen (tenzij uw internetprovider u expliciet een statisch openbaar IP-adres heeft gegeven). Met andere woorden, u kunt er niet op vertrouwen dat u uw numerieke IP-adres invoert in welke externe tool u ook gebruikt (en u kunt er niet op vertrouwen dat u dat IP-adres aan een vriend geeft).

>

GERELATEERD: Wat is dynamische DNS (DDNS) en hoe stel je het in?

Nu, terwijl je de moeite zou kunnen nemen om dat IP-adres handmatig te controleren elke keer dat je het huis verlaat en van plan bent om buitenshuis te werken (of elke keer dat je vriend verbinding gaat maken met je Minecraft-server of iets dergelijks), is dat ;s een grote hoofdpijn. In plaats daarvan raden we u ten zeerste aan een dynamische DNS-service op te zetten waarmee u uw (veranderende) IP-adres thuis kunt koppelen aan een gedenkwaardig adres zoals mysuperawesomeshomeserver.dynu.net.

Let op lokale firewalls

h3>

Nadat u port forwarding op routerniveau hebt ingesteld, is het mogelijk dat u de firewallregels ook op uw computer moet aanpassen. We hebben bijvoorbeeld in de loop der jaren veel e-mails gekregen van gefrustreerde ouders die port forwarding opzetten zodat hun kinderen Minecraft met hun vrienden kunnen spelen. In bijna alle gevallen is het probleem dat ondanks het correct instellen van de port forwarding-regels op de router, iemand het verzoek van de Windows-firewall negeerde met de vraag of het OK was als het Java-platform (waarop Minecraft draait) toegang had tot het grotere internet.

p>

Houd er rekening mee dat u op computers met een lokale firewall en/of antivirussoftware die firewallbescherming bevat, waarschijnlijk moet bevestigen dat de verbinding die u heeft ingesteld in orde is.

Poort doorsturen instellen op uw router

U kunt poort doorsturen configureren op uw router. Nu je de basis kent, is het vrij eenvoudig.

Hoe graag we ook exacte instructies geven voor het precieze model router dat u bezit, de realiteit is dat elke routerfabrikant zijn eigen software heeft en hoe die software eruitziet, kan zelfs per routermodel verschillen.

Over het algemeen ga je op zoek naar iets dat — je raadt het al —“Port Forwarding”. Mogelijk moet u door de verschillende categorieën bladeren om het te vinden, maar als uw router goed is, zou het daar moeten zijn. De meeste routers bieden ook apps aan, naast alle desktopsoftware of interfaces die ze hebben.

Stap één: zoek de regels voor poort doorsturen op uw router

In plaats van te proberen elke variatie vast te leggen, we zullen er een paar uitlichten om u een idee te geven hoe het menu eruit ziet en we moedigen u aan om de handleiding of online helpbestanden voor uw specifieke router op te zoeken om de details te vinden.

Ter vergelijking, hier& Zo ziet het port forwarding-menu eruit voor de xFi Gateway in de Xfinity-app:

En zo ziet het port forwarding-menu eruit op een D-Link DIR-890L met de populaire DD-WRT-firmware van derden:

Zoals je kunt zien, varieert de complexiteit tussen de twee weergaven enorm. Daarnaast is de locatie binnen de menukaarten compleet anders. Het is daarom het handigst als u de exacte instructies voor uw apparaat opzoekt met behulp van de handleiding of een zoekopdracht.

Zodra u het menu heeft gevonden, is het tijd om de daadwerkelijke regel in te stellen.

Stap twee: maak een poortdoorstuurregel aan

Nadat je alles hebt geleerd over port forwarding, het instellen van een dynamische DNS voor je thuis-IP-adres en al het andere werk dat hieraan is besteed, is de belangrijke stap — het maken van de daadwerkelijke regel — is zo'n beetje een wandeling in het park. In het port forwarding-menu op onze router gaan we twee nieuwe port forwarding-regels maken: een voor de Subsonic-muziekserver en een voor een nieuwe Minecraft-server die we zojuist hebben ingesteld.

Ondanks de verschillen in locatie op verschillende routersoftware, is de algemene invoer hetzelfde. Bijna universeel noem je de port forwarding-regel. Het is het beste om de server of service gewoon een naam te geven en deze indien nodig voor de duidelijkheid toe te voegen (bijvoorbeeld “Webserver” of “Webserver-Weather” als er meer Dan een). Weet je nog het TCP/UDP-protocol waar we het in het begin over hadden? U moet ook TCP, UDP of Beide specificeren. Sommige mensen zijn erg strijdbaar om erachter te komen welk protocol elke applicatie en service gebruikt en om de zaken perfect op elkaar af te stemmen voor veiligheidsdoeleinden. We zullen de eersten zijn om toe te geven dat we lui zijn in dit opzicht en we kiezen bijna altijd gewoon voor “Beide” om tijd te besparen.

Met sommige routerfirmware, waaronder de meer geavanceerde DD-WRT die we gebruiken in de bovenstaande schermafbeelding, kunt u een “Bron” waarde die een lijst is met IP-adressen waarnaar u de port forward beperkt voor beveiligingsdoeleinden. U kunt deze functie gebruiken als u dat wilt, maar wees gewaarschuwd, het introduceert een hele reeks nieuwe hoofdpijn, aangezien het veronderstelt dat externe gebruikers (inclusief u wanneer u niet thuis bent en vrienden die verbinding maken) statische IP-adressen hebben.

Vervolgens moet je de externe poort invoeren. Dit is de poort die open zal zijn op de router en gericht is op internet. U kunt hier elk gewenst nummer tussen 1 en 65353 gebruiken, maar praktisch de meeste van de lagere nummers worden gebruikt door standaardservices (zoals e-mail- en webservers) en veel van de hogere nummers worden toegewezen aan vrij algemene toepassingen. Met dat in gedachten raden we aan om een ​​nummer boven de 5.000 te kiezen en, om extra veilig te zijn, Ctrl+F te gebruiken om deze lange lijst met TCP/UDP-poortnummers te doorzoeken om er zeker van te zijn dat u geen poort selecteert die conflicteert met een bestaande service die u al gebruikt.

Tot slot voert u het interne IP-adres van het apparaat in, de poort die u op dat apparaat hebt, en (indien van toepassing) schakelt u de regel in. Vergeet niet de instellingen op te slaan.

Stap drie: test uw poortdoorstuurregel

De meest voor de hand liggende manier om te controleren of uw port forwarding werkte, is door verbinding te maken met behulp van de routine die voor de port is bedoeld (laat uw vriend bijvoorbeeld zijn Minecraft-client verbinden met uw thuisserver), maar dat is niet altijd een onmiddellijk beschikbare oplossing als u #8217;ben niet weg van huis.

Gelukkig is er een handige kleine poortcontrole online beschikbaar op YouGetSignal.com. We kunnen testen of onze Minecraft-serverpoort vooruit is gegaan door simpelweg de poorttester te laten proberen er verbinding mee te maken. Voer uw IP-adres en het poortnummer in en klik op “Controleren”.

U zou een bericht moeten ontvangen, zoals hierboven te zien is, zoals “Poort X is open op [uw IP]”. Als de poort wordt gerapporteerd als gesloten, controleer dan zowel de instellingen in het poort doorsturen-menu op uw router als uw IP- en poortgegevens in de tester.

Xfinity Port Forwarding Met een xFi Gateway

Helaas kun je niet meer alles op één plek doen als je een xFi Gateway hebt. Xfinity heeft regels voor port forwarding verplaatst naar de Xfinity-app, maar u moet de webinterface gebruiken om een ​​statisch IP-adres toe te wijzen.
Meld u aan bij uw xFi-gateway door het adres van de gateway in uw webbrowser in te voeren. Meestal is het adres 10.0.0.1 of 192.168.0.1, maar dat is niet gegarandeerd. U kunt het IP-adres van uw modem of router altijd handmatig vinden als een van deze twee adressen niet werkt.

Zodra u bent ingelogd, gaat u naar Verbonden apparaten, zoekt u uw server op de lijst en klik vervolgens op “Bewerken

Vink “Gereserveerd IP,” klik vervolgens op “Opslaan.

Tip: Als u het gemakkelijker vindt om te onthouden, kunt u een aangepast IP-adres instellen, maar je bent beperkt tot het wijzigen van de laatste drie cijfers in een getal tussen 2 en 255.


We hebben er nu voor gezorgd dat de regel toegepast blijft op het juiste apparaat. Download vervolgens de Xfinity-app uit de Google Play Store of de Apple Store. Het is de enige manier om port forwarding te gebruiken met een Xfinity xFi Gateway.
Open de app, log in als daarom wordt gevraagd en navigeer vervolgens naar Verbinden > (Uw Wi-Fi-netwerknaam) > Geavanceerde instellingen > Port Forwarding en tik op “Port Forward toevoegen

Selecteer het apparaat of het lokale IP-adres waarvoor u een regel wilt maken, kies vervolgens een poort en kies tussen TCP, UDP of TCP/UDP. Tik vervolgens op “Volgende” om de port forwarding-regel af te ronden.


Dat is alles & #8212; je bent klaar. Uw service moet op internet staan. Zorg ervoor dat de firewall op de server zelf verbindingen op die poort toestaat.

Algemene toepassingen voor poort doorsturen

Er zijn net zoveel toepassingen voor port forwarding als er poorten zijn, maar meestal zult u het gebruiken voor het instellen van externe toegang, een gameserver of een mediaserver. Veel mensen moeten poort doorsturen voor een Minecraft-server of SSH-poort doorsturen instellen. Hier is een beknopt overzicht van enkele van de meest populaire applicaties in die categorieën.

Applicatie Ports ProtocolMinecraft (Java) 25565 TCP/UDP Minecraft (Bedrock) 19132-19133 TCP/UDP Project Zomboid (PZ) 16261-16262 TCP/UDP VNC 5900 TCP SSH 22 TCP Plex Media Server 32400 TCP

Het is belangrijk op te merken dat SSH poort 22 gebruikt en dat die poort specifiek voor dat gebruik is gereserveerd. Andere applicaties (zoals Minecraft) hebben zo'n sterke claim dat ze hun poorten functioneel hebben gereserveerd, hoewel er officieel niets is dat dit vereist. Het kan af en toe voorkomen dat meerdere dingen dezelfde poort proberen te gebruiken. Onthoud dat er letterlijk tienduizenden verschillende poorten vrij beschikbaar zijn om te gebruiken, dus kies gewoon een andere en gebruik die in plaats daarvan.

Maar voordat u allerlei soorten poorten opent en elke afzonderlijke service host, kunt u stel je voor, neem even de tijd om je beveiligingspraktijken te herzien. De meeste zijn vrij eenvoudig om mee te beginnen en ze kunnen u later een hoop hoofdpijn besparen.

Veiligheidsmaatregelen voor Port Forwarding

Als u port forwarding gebruikt, wilt u natuurlijk dat er iets toegankelijk is via internet. Elke keer dat je een poort opent, vergroot je je 'aanvalsoppervlak'. Het is altijd het beste om enkele preventieve maatregelen te nemen om uw risico te beperken. Dit is geen uitputtende lijst van dingen die u kunt doen om uzelf te beschermen — daarvoor zouden we meerdere romans moeten schrijven — maar het is een plek om te beginnen.

Laat servers niet draaien als admin of root

Het maakt niet uit of u een server host op Windows, Linux of een ander besturingssysteem. Gebruik het beheerders- of rootaccount niet om dingen te hosten die zijn blootgesteld aan internet. De beheerders- of rootaccounts hebben weinig (of geen) beperkingen. Ze kunnen elke bewerking op uw systeem uitvoeren.

Als er een probleem is met de service die u gebruikt, — zoals een verkeerde configuratie, bug of een exploit — beheerders- of roottoegang verhoogt de hoeveelheid schade die een kwaadwillende aanvaller kan aanrichten aanzienlijk. Het kan zelfs iemand in staat stellen om andere apparaten die op uw netwerk zijn aangesloten, in gevaar te brengen.

Als je een regulier account gebruikt, ben je veel minder kwetsbaar — elke aanvaller die toegang tot uw systeem krijgt, heeft waarschijnlijk ook een soort misbruik van bevoegdheden nodig om echt schade aan te richten.

Schakel root-login via SSH uit

Als u host op Linux, moet u root-login via SSH volledig uitschakelen. De root-gebruiker heeft onbeperkte toegang tot alles op het systeem, wat het een verleidelijk doelwit maakt voor potentiële boosdoeners.

Bovendien is er echt niets te winnen door het te gebruiken, aangezien sudo gebruikers in staat stelt opdrachten uit te voeren alsof ze de rootgebruiker zijn. Sudo-machtigingen kunnen zelfs per gebruiker worden gewijzigd, dus als u een beperkter sudo-account wilt maken om basisserverbeheer uit te voeren, zou dat kunnen.

U kunt uw poorten wijzigen, maar Don's 8217;t Vertrouw erop

U zult soms de suggestie tegenkomen dat u de standaardpoorten niet moet gebruiken voor alles wat u host. Het idee hierachter is eenvoudig: als iemand IP-blokken scant op specifieke open poorten die hij wil targeten, kan het wijzigen van de poort de kans verkleinen dat iemand probeert toegang te krijgen tot uw server.

U kunt bijvoorbeeld verander de SSH-poort van 22 naar zoiets als 7281.

Is dat effectief? Alleen een beetje — het zal zeker het aantal geautomatiseerde treffers verminderen dat u ontvangt van scriptkiddies (amateur-hackers die kant-en-klare software of scripts gebruiken), en er zullen vervolgens minder dingen in uw logboeken zijn om te beoordelen. Het zal echter niets doen om een ​​serieuze gerichte aanval door iemand met kennis van zaken af ​​te schrikken.

Beveiliging door middel van obscuriteit is geen garantie en u mag nooitvertrouwen op om uw systeem veilig te houden.

Installeer Fail2Ban op Linux-servers

Fail2Ban is software die is ontworpen om uw server te helpen beveiligen tegen aanvallen met brute kracht. Fail2Ban kan worden geconfigureerd om automatisch verbindingspogingen te weigeren van elk IP-adres dat een bepaald aantal keren heeft geprobeerd en niet heeft geprobeerd in te loggen op uw server. Aanvallers kunnen niet meer dan een paar keer proberen wachtwoorden te raden zonder te worden verbannen.

Fail2Ban kan ook worden ingesteld met meer complex gedrag, dus het is de moeite waard om te leren als u van plan bent om op Linux te hosten .

Gebruik waar mogelijk beveiligingssleutels voor SSH

U moet altijd een sterk wachtwoord kiezen voor uw beheerders- of rootaccount en elk ander account waarbij u op afstand inlogt. Fail2Ban en alle andere beveiligingsmaatregelen die u mogelijk neemt, proberen aanvallen met brute kracht te stoppen, maar deze kunnen mislukken. Gebruik het sterkst mogelijke wachtwoord.

Als je SSH gebruikt, overweeg dan om SSH-sleutels te gebruiken in plaats van een wachtwoord. SSH-sleutels zijn een voorbeeld van cryptografie met openbare sleutels — sleutels worden gegenereerd in paren, een openbaar en een privé. De openbare sleutel wordt op de computer geplaatst waarmee u op afstand verbinding maakt. U bewaart het andere lid van het paar, de privésleutel, op uw computer. Wanneer u verbinding probeert te maken, wordt uw privésleutel vergeleken met de sleutel op de server om autorisatie te verlenen.

Windows, Linux en MacOS ondersteunen allemaal SSH-sleutels, dus er is niet veel reden om dit niet te doen. gebruik ze. SSH-sleutels zijn veiliger en — eenmaal ingesteld — net zo handig als een wachtwoord.

Sta alleen verbindingen toe vanaf adressen op de witte lijst

U kunt uw beveiliging ook verbeteren door de toegestane verbindingen met uw server te beperken. Er zijn twee basismanieren om dit te doen: een witte lijst en een zwarte lijst. Een zwarte lijst verbiedt verbindingen van specifieke mensen of applicaties. Als u bijvoorbeeld weet dat een hacker uw Minecraft-server heeft aangevallen, kunt u hun IP-adres aan een zwarte lijst toevoegen, zodat het altijd wordt afgewezen. Als alternatief kunt u een whitelist gebruiken, die op de tegenovergestelde manier werkt. Witte lijsten staan ​​alleen vooraf goedgekeurde verbindingen toe en ze kunnen vaak worden beperkt om alleen toegang tot een specifieke toepassing of een specifieke poort toe te staan.

Gebruik op Linux Universal Firewall (UFW) of FirewallD om een ​​whitelist op OS-niveau te maken. U kunt gebruiken wat u maar wilt, hoewel Debian-distributies (zoals Ubuntu) meestal met UFW worden geleverd en RHEL-distributies (zoals Fedora) meestal met FirewallD. Open in Windows Windows Firewall en ga naar de map “Inkomend verkeer” tabblad om een ​​witte lijst te maken.

Individuele applicaties die u mogelijk host, worden ook vaak geleverd met ingebouwde whitelist-functionaliteit. U kunt bijvoorbeeld een IP toevoegen aan de whitelist van een Minecraft Server door whitelist.json in de hoofdserverdirectory te wijzigen. Het proces varieert echter aanzienlijk tussen applicaties en u moet de documentatie van uw applicatie raadplegen voor de details.

GERELATEERD: De beste Linux Distributies voor beginners

Overweeg om uw Local Area Network te scheiden met een VLAN

Uw lokale netwerk (LAN) thuis is meestal een beetje gratis voor iedereen. Er is veel minder beveiliging tussen apparaten op een LAN dan tussen een apparaat op internet en een apparaat op het LAN. De algemene aanname is dat apparaten die op uw LAN zijn aangesloten, vertrouwde apparaten zijn en dat ze geen groot beveiligingsrisico vormen.

Als u echter een op internet gerichte service host, is dat geen veilige veronderstelling. Als er een fout is in de service die u host of in uw andere beveiligingspraktijken, is het mogelijk dat een aanvaller uw server kan binnendringen en daardoor toegang kan krijgen tot andere apparaten op uw lokale netwerk. Het is potentieel een enorme inbreuk op de beveiliging.

Een oplossing is een Virtual LAN of VLAN. Een VLAN is een apart virtueel lokaal netwerk dat geïsoleerd is — via software — van de “echte” LAN waarop al uw andere apparaten zijn ingeschakeld. U kunt precies beperken wat voor soort verkeer mag passeren tussen het VLAN met uw internetgerichte server en het VLAN waarop al uw normale apparaten zijn aangesloten. Dit creëert een behoorlijk effectieve barrière tussen uw server en uw andere apparaten, mocht een kwaadwillende aanvaller uw server binnendringen. Het opzetten van een VLAN kan een beetje ingewikkeld zijn en de details zijn afhankelijk van uw hardware. Niet alle consumentenrouters ondersteunen VLAN's, dus als je het niet ziet, is het er waarschijnlijk niet.
Als je router geen VLAN's ondersteunt, heb je een paar opties. Je kunt een nieuwe router kopen die ze wel ondersteunt, of je kunt een managednetwerk schakelaar. Beheerde netwerkswitches beginnen bij ongeveer $ 30, dus ze zijn waarschijnlijk de goedkoopste manier om thuis een VLAN op te zetten als uw huidige hardware dit niet ondersteunt.

Het is een een beetje gedoe om port forwarding in te stellen, maar zolang je een statisch IP-adres toewijst aan het doelapparaat en een dynamische DNS-server instelt voor je thuis-IP-adres, is het een taak die je maar één keer hoeft te bezoeken om in de toekomst probleemloos toegang te krijgen tot uw netwerk.

The Best Wi-Fi Routers of 2023 Best Wi-Fi Router Overall Asus AX6000 (RT-AX88U) Amazon

$249.99
$349.99 Save 29%

Beste goedkope router TP-Link Archer AX3000 (AX50) Amazon Beste goedkope router TP-Link Archer A8 Amazon

$53.99
 

Beste gamingrouter Asus GT-AX11000 Tri-Band Router Amazon

$342.99
$449.99 Bespaar 24%

Beste mesh wifi-router ASUS ZenWiFi AX6600 (XT8) (2 stuks) Amazon

$ 349,99
$399,99 Bespaar 13%

Beste Budget Mesh Router TP-Link Deco X20 Amazon

$129.99
$179.99 Bespaar 28%

Beste modemroutercombinatie NETGEAR Nighthawk CAX80 Amazon

$ 448,52
$ 499,99 Bespaar 10%

Beste VPN-router ExpressVPN Aircove Amazon

$ 189,90
 

Beat Travel Router TP-Link AC750 Amazon

$39,99
 

Beste wifi 6E-router Asus ROG Rapture GT -AXE11000 Nu winkelen LEES VOLGENDE

  • › Toegang krijgen tot uw router als u het wachtwoord bent vergeten
  • › Video's en muziek streamen via het netwerk met VLC
  • › Is UPnP een beveiligingsrisico?
  • › Wat is Dynamic DNS (DDNS) en hoe stel je het in?
  • › Een statisch IP-adres toewijzen in Windows 10 of 11
  • › 10 handige opties die u kunt configureren in de webinterface van uw router
  • › Een Spigot Minecraft-server uitvoeren voor aangepaste multiplayer
  • › Je hebt een “Ideeënemmer”

nodig