Um einen Port auf Ihrem Router weiterzuleiten, melden Sie sich bei Ihrem Router an, suchen Sie den Abschnitt „Portweiterleitung“ und erstellen Sie dann eine Regel, die für das Gerät gilt, das Sie zum Hosten verwenden. Sie sollten dem Host-Computer auch eine statische IP-Adresse zuweisen.
Obwohl moderne WLAN-Router die meisten Funktionen automatisch ausführen, müssen Sie bei einigen Anwendungen manuell einen Port in den Einstellungen Ihres Routers weiterleiten. Glücklicherweise ist es sehr einfach, Ports auf einem Router weiterzuleiten, wenn Sie wissen, wo Sie nachsehen müssen
Inhaltsverzeichnis
Was ist Portweiterleitung?
Wie Ihr Router Anfragen verarbeitet und Ports verwendet
Warum Sie Ports weiterleiten müssen
Überlegungen vor der Konfiguration Ihres Routers
Festlegen einer statischen IP-Adresse für Ihre Geräte
Kennen Sie Ihre IP-Adresse (und legen Sie eine dynamische DNS-Adresse fest)
Achten Sie auf lokale Firewalls
So richten Sie die Portweiterleitung auf Ihrem Router ein
Schritt 1: Suchen Sie die Portweiterleitungsregeln auf Ihrem Router
Schritt Zwei: Erstellen Sie eine Portweiterleitungsregel
Schritt Drei: Testen Sie Ihre Portweiterleitungsregel
Xfinity-Portweiterleitung mit einem xFi-Gateway
Häufige Anwendungen für die Portweiterleitung
Sicherheitsmaßnahmen für die Portweiterleitung
Nicht Server als Administrator oder Root ausführen
Root-Anmeldung über SSH deaktivieren
Sie können Ihre Ports ändern, aber verlassen Sie sich nicht darauf
Installieren Sie Fail2Ban auf Linux-Servern
Verwenden Sie nach Möglichkeit Sicherheitsschlüssel für SSH
Erlauben Sie nur Verbindungen von Adressen auf der Whitelist
Erwägen Sie, Ihr lokales Netzwerk mit zu trennen a VLANs
Was ist Portweiterleitung?
Portweiterleitung (oder Portzuordnung) ermöglicht externen Datenverkehr aus dem Internet, um eine Verbindung zu einem Gerät wie einem Computer in einem privaten Netzwerk herzustellen.
Angenommen, Sie möchten einen Minecraft-Server für Ihre Freunde auf Ihrem Computer hosten. Wenn sie versuchen, eine Verbindung herzustellen, muss ihr Datenverkehr an den richtigen Computer in Ihrem Netzwerk gesendet werden, und ihre Verbindung muss von Ihrem Router zugelassen werden. Ihr Router verwendet Portweiterleitungsregeln, um herauszufinden, an welchen Computer der Datenverkehr zum Minecraft-Server gesendet werden soll. Natürlich sind es nicht nur Gameserver — Wenn es sich um Internetverkehr handelt, sind Ports beteiligt.
Schauen wir uns die Details an, wie das passiert.
Wie Ihr Router Anforderungen verarbeitet und Ports verwendet
Hier ist eine Karte eines einfachen Heimnetzwerks. Das Wolkensymbol steht für das größere Internet und Ihre öffentliche oder nach vorne gerichtete IP-Adresse (Internet Protocol). Diese IP-Adresse repräsentiert Ihren gesamten Haushalt nach außen — in gewisser Weise wie eine Adresse.
Die rote Adresse 192.1.168.1 ist die Routeradresse in Ihrem Netzwerk. Die zusätzlichen Adressen gehören alle zu den Computern, die unten im Bild zu sehen sind. Wenn Ihre öffentliche IP-Adresse wie eine Hausanschrift ist, stellen Sie sich die internen IP-Adressen wie Wohnungsnummern für diese Hausanschrift vor.
Das Diagramm wirft eine interessante Frage auf, über die Sie vielleicht noch nie nachgedacht haben. Wie kommen alle Informationen aus dem Internet zum richtigen Gerät im Netzwerk? Wenn Sie howtogeek.com auf Ihrem Laptop besuchen, wie landet es auf Ihrem Laptop und nicht auf dem Desktop Ihres Sohnes, wenn die öffentlich zugängliche IP-Adresse für alle Geräte gleich ist?
Dies ist einer wunderbaren Routing-Magie zu verdanken, die als Network Address Translation (NAT) bekannt ist. Diese Funktion findet auf der Router-Ebene statt, wo das NAT wie ein Verkehrspolizist fungiert und den Fluss des Netzwerkverkehrs durch den Router leitet, sodass eine einzige öffentliche IP-Adresse von allen Geräten hinter dem Router gemeinsam genutzt werden kann. Dank NAT kann jeder in Ihrem Haushalt Websites und andere Internetinhalte gleichzeitig anfordern, und alles wird an das richtige Gerät geliefert.
Wo also kommen Häfen in diesen Prozess? Ports sind ein altes, aber nützliches Überbleibsel aus den frühen Tagen des Network Computing. Früher, als Computer jeweils nur eine Anwendung ausführen konnten, mussten Sie lediglich einen Computer auf einen anderen Computer im Netzwerk richten, um sie zu verbinden, da sie dieselbe Anwendung ausführen würden. Als Computer hoch entwickelt wurden, um mehrere Anwendungen auszuführen, mussten sich frühe Informatiker mit dem Problem herumschlagen, sicherzustellen, dass Anwendungen mit den richtigen Anwendungen verbunden sind. So wurden Häfen geboren.
Einige Ports haben spezifische Anwendungen, die in der gesamten Computerbranche Standards sind. Wenn Sie beispielsweise eine Webseite abrufen, verwendet sie Port 80. Die Software des empfangenden Computers weiß, dass Port 80 zum Bereitstellen von HTTP-Dokumenten verwendet wird, also lauscht sie dort und antwortet entsprechend. Wenn Sie eine HTTP-Anfrage über einen anderen Port — sagen wir, 143 — der Webserver wird ihn nicht erkennen, weil er dort nicht lauscht (obwohl etwas anderes der Fall sein könnte, wie z. B. ein IMAP-E-Mail-Server, der diesen Port traditionell verwendet).
Andere Ports haben keine vorab zugewiesene Verwendung, und Sie können sie für alles verwenden, was Sie wollen. Um Interferenzen mit anderen standardkonformen Anwendungen zu vermeiden, verwenden Sie am besten größere Zahlen für diese alternativen Konfigurationen. Plex Media Server verwendet beispielsweise Port 32400 und Minecraft-Server verwenden 25565 — beide Zahlen, die in dieses “faire Spiel” Gebiet.
Jeder Port kann entweder über TCP oder UDP verwendet werden. TCP oder Transmission Control Protocol wird am häufigsten verwendet. UDP oder User Datagram Protocol wird in Heimanwendungen weniger häufig verwendet, mit einer großen Ausnahme: BitTorrent. Je nachdem, was zuhört, erwartet es, dass Anfragen in einem oder dem anderen dieser Protokolle gestellt werden.
Warum Sie das tun müssen Ports weiterleiten
Warum genau sollten Sie also Ports weiterleiten? Während einige Anwendungen NAT nutzen, um ihre eigenen Ports festzulegen und die gesamte Konfiguration für Sie zu erledigen, gibt es immer noch viele Anwendungen, die dies nicht tun, und Sie müssen Ihrem Router helfen, wenn es um die Verbindung von Diensten geht und Anwendungen.
Im Diagramm unten beginnen wir mit einer einfachen Prämisse. Sie befinden sich irgendwo auf der Welt auf Ihrem Laptop (mit der IP-Adresse 987.76.54.123) und möchten eine Verbindung zu Ihrem Heimnetzwerk herstellen, um auf einige Dateien zuzugreifen. Wenn Sie einfach Ihre private IP-Adresse (123.45.67.891) in ein beliebiges Tool (z. B. einen FTP-Client oder eine Remote-Desktop-Anwendung) einstecken und dieses Tool diese erweiterten Routerfunktionen nicht nutzt Wir haben gerade erwähnt, dass Sie kein Glück haben. Es weiß nicht, wohin es Ihre Anfrage senden soll, und nichts wird passieren.
Dies ist übrigens eine großartige Sicherheitsfunktion. Wenn sich jemand mit Ihrem Heimnetzwerk verbindet und nicht mit einem gültigen Port verbunden ist, möchten Sie, dass die Verbindung abgelehnt wird. Das ist das Firewall-Element Ihres Routers, das seine Aufgabe erfüllt: unerwünschte Anfragen abzulehnen. Wenn die Person, die an Ihre virtuelle Tür klopft, jedoch Sie sind, dann ist die Ablehnung nicht so willkommen und wir müssen ein wenig optimieren.
Um dieses Problem zu lösen, sagen Sie Ihrem Router: „Hey: Wenn ich mit diesem Programm auf Sie zugreife, müssen Sie es an diesem Port an dieses Gerät senden“. Mit diesen Anweisungen stellt Ihr Router sicher, dass Sie auf den richtigen Computer und die richtige Anwendung in Ihrem Heimnetzwerk zugreifen können.
Wenn Sie also in diesem Beispiel unterwegs sind und Ihren Laptop verwenden, verwenden Sie verschiedene Ports, um Ihre Anfragen zu stellen. Wenn Sie über Port 22 auf die IP-Adresse Ihres Heimnetzwerks zugreifen, weiß Ihr Router zu Hause, dass diese innerhalb des Netzwerks auf 192.168.1.100 gehen sollte. Dann antwortet der SSH-Daemon auf Ihrer Linux-Installation. Gleichzeitig können Sie über Port 80 eine Anfrage stellen, die Ihr Router an den Webserver sendet, den Sie unter 192.168.1.150 betreiben. Oder Sie können versuchen, den Laptop Ihrer Schwester mit VNC fernzusteuern, und Ihr Router verbindet Sie unter 192.168.1.200 mit Ihrem Laptop. Auf diese Weise können Sie ganz einfach eine Verbindung zu allen Geräten herstellen, für die Sie eine Portweiterleitungsregel eingerichtet haben.
VERWANDT: So sperren Sie Ihren SSH-Server
Die Nützlichkeit der Portweiterleitung endet hier jedoch nicht! Sie können die Portweiterleitung sogar verwenden, um bestehende Dienste zu ändern’ Portnummern für Klarheit und Bequemlichkeit. Nehmen wir zum Beispiel an, Sie haben zwei Webserver, die in Ihrem Heimnetzwerk ausgeführt werden, und Sie möchten, dass einer leicht und offensichtlich zugänglich ist (z andere Webserver ist für ein persönliches Projekt.
Wenn Sie über den öffentlich zugänglichen Port 80 auf Ihr Heimnetzwerk zugreifen, können Sie Ihren Router anweisen, ihn an Port 80 auf dem Wetterserver unter 192.168.1.150 zu senden, wo er an Port 80 lauscht. Sie können dies jedoch Ihrem Router mitteilen Wenn Sie über Port 10.000 darauf zugreifen, sollte es auf Port 80 auf Ihrem persönlichen Server gehen, 192.168.1.250. Auf diese Weise muss der zweite Computer nicht neu konfiguriert werden, um einen anderen Port zu verwenden, aber Sie können den Datenverkehr trotzdem effektiv verwalten — und gleichzeitig, indem Sie den ersten Webserver mit Port 80 verbunden lassen, erleichtern Sie es den Leuten, auf Ihr oben genanntes Wetterserverprojekt zuzugreifen.
Nun, da wir wissen, was Portweiterleitung ist und warum wir sie verwenden sollten es, lass uns’ Werfen Sie einen Blick auf einige kleine Überlegungen zur Portweiterleitung, bevor Sie sich mit der eigentlichen Konfiguration befassen.
Überlegungen vor der Konfiguration Ihres Routers
Es gibt ein paar Dinge, die Sie beachten sollten, bevor Sie sich hinsetzen, um Ihren Router zu konfigurieren, und wenn Sie sie im Voraus durchgehen, wird die Frustration garantiert reduziert.
Set Statische IP-Adresse für Ihre Geräte
Zuallererst fallen alle Ihre Portweiterleitungsregeln auseinander, wenn Sie sie Geräten mit dynamischen IP-Adressen zuweisen, die vom DHCP-Dienst Ihres Routers zugewiesen werden. Wir gehen in diesem Artikel über DHCP im Vergleich zu statischen IP-Adresszuweisungen auf die Details ein, was DHCP ist, aber wir geben Ihnen hier eine kurze Zusammenfassung.
VERWANDTE: So stellen Sie statische IP-Adressen auf Ihrem Router ein
Ihr Router verfügt über einen Pool von Adressen, die er nur für die Weitergabe an Geräte reserviert, wenn diese dem Netzwerk beitreten und es verlassen. Stellen Sie es sich vor, als würden Sie in einem Restaurant eine Nummer bekommen, wenn Sie ankommen — Ihr Laptop schließt sich an, Boom, er erhält die IP-Adresse 192.168.1.98. Dein iPhone macht mit, Boom, es bekommt die Adresse 192.168.1.99. Wenn Sie diese Geräte für eine bestimmte Zeit offline nehmen oder der Router neu gestartet wird, findet die gesamte IP-Adressen-Lotterie von vorne statt.
Unter normalen Umständen ist das mehr als in Ordnung. Deinem iPhone ist es egal, welche interne IP-Adresse es hat. Wenn Sie jedoch eine Portweiterleitungsregel erstellt haben, die besagt, dass Ihr Spielserver eine bestimmte IP-Adresse hat, und der Router ihm dann eine neue zuweist, funktioniert diese Regel nicht und niemand kann eine Verbindung herstellen Ihr Gameserver. Um dies zu vermeiden, müssen Sie jedem Netzwerkgerät, dem Sie eine Portweiterleitungsregel zuweisen, eine statische IP-Adresse zuweisen. Der beste Weg, dies zu tun, ist über Ihren Router.
Kennen Sie Ihre IP-Adresse (und legen Sie eine dynamische DNS-Adresse fest)
Zusätzlich zur Verwendung statischer IP-Zuweisungen für die relevanten Geräte in Ihrem Netzwerk möchten Sie auch Ihre externe IP-Adresse kennen — Sie können es finden, indem Sie whatismyip.com besuchen, während Sie sich in Ihrem Heimnetzwerk befinden. Obwohl es möglich ist, dass Sie monatelang oder sogar über ein Jahr lang dieselbe öffentliche IP-Adresse haben, kann sich Ihre öffentliche IP-Adresse ändern (es sei denn, Ihr Internetdienstanbieter hat Ihnen ausdrücklich eine statische, öffentlich zugängliche IP-Adresse zugewiesen). Mit anderen Worten, Sie können sich nicht darauf verlassen, dass Sie Ihre numerische IP-Adresse in das von Ihnen verwendete Remote-Tool eingeben (und Sie können sich nicht darauf verlassen, diese IP-Adresse einem Freund zu geben).
VERWANDT: Was ist dynamisches DNS (DDNS) und wie wird es eingerichtet?
Nun, während Sie sich die Mühe machen könnten, diese IP-Adresse jedes Mal manuell zu überprüfen, wenn Sie das Haus verlassen und beabsichtigen, von zu Hause weg zu arbeiten (oder jedes Mal, wenn Ihr Freund eine Verbindung zu Ihrem Minecraft-Server oder ähnlichem herstellt), ist das’ ;s große Kopfschmerzen. Stattdessen empfehlen wir Ihnen dringend, einen dynamischen DNS-Dienst einzurichten, der es Ihnen ermöglicht, Ihre (sich ändernde) private IP-Adresse mit einer einprägsamen Adresse wie mysuperawesomeshomeserver.dynu.net zu verknüpfen.
Achten Sie auf lokale Firewalls
Sobald Sie die Portweiterleitung auf Router-Ebene eingerichtet haben, besteht die Möglichkeit, dass Sie möglicherweise auch die Firewall-Regeln auf Ihrem Computer anpassen müssen. Zum Beispiel haben wir im Laufe der Jahre viele E-Mails von frustrierten Eltern erhalten, die eine Portweiterleitung eingerichtet haben, damit ihre Kinder mit ihren Freunden Minecraft spielen können. In fast allen Fällen besteht das Problem darin, dass trotz korrekter Einrichtung der Portweiterleitungsregeln auf dem Router jemand die Windows-Firewall-Anfrage ignoriert hat, in der er gefragt wurde, ob es in Ordnung sei, ob die Java-Plattform (auf der Minecraft ausgeführt wird) auf das größere Internet zugreifen könnte.
Beachten Sie, dass Sie auf Computern, auf denen eine lokale Firewall und/oder Antivirensoftware mit Firewall-Schutz ausgeführt wird, wahrscheinlich bestätigen müssen, dass die von Ihnen eingerichtete Verbindung in Ordnung ist.
So richten Sie die Portweiterleitung auf Ihrem Router ein
Sie können die Portweiterleitung auf Ihrem Router konfigurieren. Jetzt, da Sie die Grundlagen kennen, ist es ziemlich einfach.
So sehr wir Ihnen gerne genaue Anweisungen für das genaue Routermodell geben würden, das Sie besitzen, ist die Realität, dass jeder Routerhersteller seine eigene Software hat und das Aussehen dieser Software sogar zwischen den Routermodellen variieren kann.
Im Allgemeinen werden Sie nach etwas namens — Sie haben es erraten —“Portweiterleitung”. Möglicherweise müssen Sie die verschiedenen Kategorien durchsuchen, um ihn zu finden, aber wenn Ihr Router gut ist, sollte er dort sein. Die meisten Router bieten zusätzlich zu ihrer Desktop-Software oder ihren Schnittstellen auch Apps an.
Schritt Eins: Suchen Sie die Portweiterleitungsregeln auf Ihrem Router
Anstatt zu versuchen, jede Variation zu erfassen, Wir werden einige hervorheben, um Ihnen eine Vorstellung davon zu geben, wie das Menü aussieht, und Sie ermutigen, im Handbuch oder in den Online-Hilfedateien für Ihren speziellen Router nachzuschlagen, um die Einzelheiten zu finden.
Zum Vergleich hier& #8217;so sieht das Portweiterleitungsmenü für das xFi-Gateway in der Xfinity-App aus:
Und so sieht das Menü für die Portweiterleitung auf einem D-Link DIR-890L aus, auf dem die beliebte DD-WRT-Firmware eines Drittanbieters ausgeführt wird:
Wie Sie sehen können, variiert die Komplexität zwischen den beiden Ansichten stark. Außerdem ist die Position innerhalb der Menüs komplett anders. Daher ist es am nützlichsten, wenn Sie die genaue Anleitung für Ihr Gerät mithilfe des Handbuchs oder einer Suchanfrage nachschlagen.
Sobald Sie das Menü gefunden haben, ist es an der Zeit, die eigentliche Regel einzurichten.
Schritt Zwei: Erstellen Sie eine Portweiterleitungsregel
Nachdem Sie alles über die Portweiterleitung, die Einrichtung eines dynamischen DNS für Ihre private IP-Adresse und all die andere Arbeit, die damit verbunden war, gelernt haben, ist der wichtige Schritt — Erstellen der eigentlichen Regel — ist so ziemlich ein Spaziergang im Park. Im Portweiterleitungsmenü unseres Routers werden wir zwei neue Portweiterleitungsregeln erstellen: eine für den Subsonic-Musikserver und eine für einen neuen Minecraft-Server, den wir gerade eingerichtet haben.
Trotz der Standortunterschiede bei unterschiedlicher Router-Software ist die allgemeine Eingabe dieselbe. Fast überall nennen Sie die Portweiterleitungsregel. Am besten benennst du einfach den Server oder Dienst und hängst ihn ggf. der Übersichtlichkeit halber an (z.B. „Webserver“ oder „Webserver-Wetter“, wenn es mehr gibt als eines). Erinnern Sie sich an das TCP/UDP-Protokoll, über das wir zu Beginn gesprochen haben? Sie müssen außerdem TCP, UDP oder Beide angeben. Einige Leute sind sehr kämpferisch, wenn es darum geht, genau herauszufinden, welches Protokoll jede Anwendung und jeder Dienst verwendet, und die Dinge für Sicherheitszwecke perfekt aufeinander abzustimmen. Wir werden die Ersten sein, die zugeben, dass wir in dieser Hinsicht faul sind und fast immer nur „Beides“ wählen. um Zeit zu sparen.
Einige Router-Firmware, einschließlich des fortschrittlicheren DD-WRT, das wir im obigen Screenshot verwenden, ermöglicht es Ihnen, eine „Quelle“ anzugeben. -Wert, bei dem es sich um eine Liste von IP-Adressen handelt, auf die Sie die Portweiterleitung aus Sicherheitsgründen beschränken. Sie können diese Funktion verwenden, wenn Sie möchten, aber seien Sie gewarnt, dass sie eine ganze Reihe neuer Probleme mit sich bringt, da davon ausgegangen wird, dass entfernte Benutzer (einschließlich Sie, wenn Sie nicht zu Hause sind, und Freunde, die sich verbinden) statische IP-Adressen haben.
Als nächstes müssen Sie den externen Port eingeben. Dies ist der Port, der auf dem Router geöffnet und mit dem Internet verbunden ist. Sie können hier jede beliebige Nummer zwischen 1 und 65353 verwenden, aber praktisch die meisten der niedrigeren Nummern werden von Standarddiensten (wie E-Mail- und Webservern) belegt, und viele der höheren Nummern werden ziemlich häufigen Anwendungen zugewiesen. In Anbetracht dessen empfehlen wir, eine Zahl über 5.000 auszuwählen und, um besonders sicher zu sein, Strg+F zu verwenden, um diese lange Liste von TCP/UDP-Portnummern zu durchsuchen, um sicherzustellen, dass Sie keinen Port auswählen das mit einem vorhandenen Dienst in Konflikt steht, den Sie bereits verwenden.
Geben Sie schließlich die interne IP-Adresse des Geräts und den Port auf diesem Gerät ein und schalten Sie (falls zutreffend) die Regel ein. Vergessen Sie nicht, die Einstellungen zu speichern.
Schritt Drei: Testen Sie Ihre Portweiterleitungsregel
Der naheliegendste Weg, um zu überprüfen, ob Ihre Portweiterleitung funktioniert hat, besteht darin, eine Verbindung mit der für den Port vorgesehenen Routine herzustellen (z. B. Ihren Freund seinen Minecraft-Client mit Ihrem Heimserver verbinden zu lassen), aber das ist nicht immer eine sofort verfügbare Lösung, wenn Sie #8217;nicht von zu Hause weg sind.
Glücklicherweise gibt es einen praktischen kleinen Port-Checker, der online auf YouGetSignal.com verfügbar ist. Wir können testen, ob unser Minecraft-Server-Port weitergeleitet wurde, indem wir einfach den Port-Tester versuchen lassen, eine Verbindung herzustellen. Geben Sie Ihre IP-Adresse und die Portnummer ein und klicken Sie auf “Check”.
Sie sollten eine Meldung erhalten, wie oben gezeigt, wie „Port X ist offen auf [Ihre IP-Adresse]“. Wenn der Port als geschlossen gemeldet wird, überprüfen Sie sowohl die Einstellungen im Portweiterleitungsmenü Ihres Routers als auch Ihre IP- und Portdaten im Tester.
Xfinity-Portweiterleitung mit einem xFi-Gateway
Leider können Sie nicht mehr alles an einem Ort erledigen, wenn Sie ein xFi-Gateway haben. Xfinity hat Portweiterleitungsregeln in die Xfinity-App verschoben, aber Sie müssen die Weboberfläche verwenden, um eine statische IP-Adresse zuzuweisen.
Melden Sie sich bei Ihrem xFi-Gateway an, indem Sie die Adresse des Gateways in Ihren Webbrowser eingeben. Normalerweise lautet die Adresse 10.0.0.1 oder 192.168.0.1, aber das ist nicht garantiert. Sie können die IP-Adresse Ihres Modems oder Routers jederzeit manuell ermitteln, wenn eine dieser beiden Adressen nicht funktioniert.
Nachdem Sie sich angemeldet haben, gehen Sie zu Verbundene Geräte und suchen Sie nach Ihrem Server der Liste und klicken Sie dann auf “Bearbeiten.”
Aktivieren Sie “Reservierte IP,” Klicken Sie dann auf “Speichern”
Tipp: Wenn Sie es sich leichter merken können, können Sie eine benutzerdefinierte IP-Adresse festlegen, aber Sie können nur die letzten drei Ziffern in eine Zahl zwischen 2 und 255 ändern.
Wir haben jetzt sichergestellt, dass die Regel auf dem richtigen Gerät angewendet wird. Laden Sie als Nächstes die Xfinity-App aus dem Google Play Store oder dem Apple Store herunter. Dies ist die einzige Möglichkeit zur Portweiterleitung mit einem Xfinity xFi Gateway.
Öffnen Sie die App, melden Sie sich an, wenn Sie dazu aufgefordert werden, und navigieren Sie dann zu Verbinden > (Ihr WLAN-Netzwerkname) > Erweiterte Einstellungen > Portweiterleitung, und tippen Sie auf “Portweiterleitung hinzufügen.”
Wählen Sie das Gerät oder die lokale IP-Adresse aus, für die Sie eine Regel erstellen möchten, wählen Sie dann einen Port aus und wählen Sie zwischen TCP, UDP oder TCP/UDP aus. Tippen Sie dann auf “Weiter” um die Portweiterleitungsregel abzuschließen.
Das war’s & #8212; du bist fertig. Ihr Service sollte im Internet sein. Stellen Sie einfach sicher, dass die Firewall auf dem Server selbst Verbindungen auf diesem Port zulässt.
Häufige Anwendungen für die Portweiterleitung
Es gibt so viele Anwendungen für die Portweiterleitung wie es Ports gibt, aber meistens verwenden Sie sie zum Einrichten des Fernzugriffs, eines Spielservers oder eines Medienservers. Viele Leute müssen für einen Minecraft-Server portieren oder eine SSH-Portweiterleitung einrichten. Hier ist eine Kurzübersicht für einige der beliebtesten Anwendungen in diesen Kategorien.
Anwendung Ports ProtokollMinecraft (Java) 25565 TCP/UDP Minecraft (Bedrock) 19132-19133 TCP/UDP Project Zomboid (PZ) 16261-16262 TCP/UDP VNC 5900 TCP SSH 22 TCP Plex Media Server 32400 TCP
Es ist wichtig zu beachten, dass SSH Port 22 verwendet und dieser Port speziell für diese Verwendung reserviert ist. Andere Anwendungen (wie Minecraft) haben einen so starken Anspruch erhoben, dass sie ihre Ports funktional reserviert haben, obwohl nichts dies offiziell erfordert. Gelegentlich stellen Sie möglicherweise fest, dass Sie mehrere Dinge haben, die versuchen, denselben Port zu verwenden. Denken Sie daran, dass es buchstäblich Zehntausende verschiedener Ports gibt, die frei verwendet werden können, also wählen Sie einfach einen anderen aus und verwenden Sie stattdessen diesen.
Aber bevor Sie alle möglichen Ports öffnen und jeden einzelnen Dienst hosten, den Sie können Stellen Sie sich vor, nehmen Sie sich etwas Zeit, um Ihre Sicherheitspraktiken zu überprüfen. Die meisten sind recht einfach zu starten und können Ihnen später große Kopfschmerzen ersparen.
Sicherheitsvorkehrungen für die Portweiterleitung
Wenn Sie die Weiterleitung melden, beabsichtigen Sie offensichtlich, dass etwas über das Internet zugänglich ist. Jedes Mal, wenn Sie einen Port öffnen, vergrößern Sie Ihre "Angriffsfläche". Es ist immer am besten, einige vorbeugende Maßnahmen zu ergreifen, um Ihr Risiko zu mindern. Dies ist keine vollständige Liste der Dinge, die Sie tun können, um sich zu schützen — dafür müssten wir mehrere Romane schreiben — aber es ist ein Anfang.
Server nicht als Admin oder Root ausführen
Es spielt keine Rolle, ob Sie einen Server unter Windows, Linux oder einem anderen Betriebssystem hosten. Verwenden Sie nicht das Administrator- oder Root-Konto, um Dinge zu hosten, die dem Internet ausgesetzt sind. Für die Administrator- oder Root-Konten gelten nur wenige (wenn überhaupt) Einschränkungen. Sie können alle Vorgänge auf Ihrem System ausführen.
Wenn es ein Problem mit dem Dienst gibt, den Sie ausführen, — wie eine Fehlkonfiguration, ein Fehler oder ein Exploit — Administrator- oder Root-Zugriff erhöht den Schaden, der von einem böswilligen Angreifer angerichtet werden kann, dramatisch. Es kann sogar jemandem erlauben, andere an Ihr Netzwerk angeschlossene Geräte zu kompromittieren.
Wenn Sie ein normales Konto verwenden, sind Sie viel weniger anfällig — Jeder Angreifer, der sich Zugriff auf Ihr System verschafft, benötigt wahrscheinlich auch eine Art Privilegien-Eskalations-Exploit, um wirklich Schaden anzurichten.
Root-Anmeldung über SSH deaktivieren
Wenn Sie hosten Linux sollten Sie die Root-Anmeldung über SSH vollständig deaktivieren. Der Root-Benutzer hat uneingeschränkten Zugriff auf alles im System, was es zu einem verlockenden Ziel für Möchtegern-Bösewichte macht.
Darüber hinaus ist durch die Verwendung wirklich nichts zu gewinnen, da sudo es Benutzern ermöglicht, Befehle auszuführen, als ob sie der Root-Benutzer wären. Sudo-Berechtigungen können sogar von Benutzer zu Benutzer geändert werden. Wenn Sie also ein eingeschränkteres Sudo-Konto erstellen möchten, um die grundlegende Serververwaltung durchzuführen, können Sie dies tun.
Sie können Ihre Ports ändern, aber nicht 8217;Ich kann mich nicht darauf verlassen
Sie werden manchmal auf den Vorschlag stoßen, dass Sie die Standardports nicht für alles verwenden sollten, was Sie hosten. Die Idee dahinter ist einfach: Wenn jemand IP-Blöcke nach bestimmten offenen Ports scannt, die er anvisieren möchte, kann das Ändern des Ports die Wahrscheinlichkeit verringern, dass jemand versucht, auf Ihren Server zuzugreifen.
Zum Beispiel könnten Sie das tun Ändern Sie den SSH-Port von 22 auf etwa 7281.
Ist das effektiv? Nur irgendwie — Es wird sicherlich die Anzahl der automatisierten Zugriffe reduzieren, die Sie von Skript-Kiddies (angehende Amateur-Hacker, die vorgefertigte Software oder Skripte verwenden) erhalten, und es werden anschließend weniger Dinge in Ihren Protokollen zu überprüfen sein. Es wird jedoch nichts dazu beitragen, einen ernsthaften gezielten Angriff durch eine sachkundige Person zu verhindern.
Sicherheit durch Verschleierung ist keine Garantie, und Sie sollten sich nie darauf verlassen um Ihr System zu schützen.
Installieren Sie Fail2Ban auf Linux-Servern
Fail2Ban ist eine Software, die entwickelt wurde, um Ihren Server vor Brute-Force-Angriffen zu schützen. Fail2Ban kann so konfiguriert werden, dass Verbindungsversuche von jeder IP-Adresse automatisch abgelehnt werden, die versucht hat, sich bei Ihrem Server eine bestimmte Anzahl von Malen anzumelden, ohne dass dies fehlgeschlagen ist. Angreifer können nicht mehr als ein paar Mal versuchen, Passwörter zu erraten, ohne gesperrt zu werden.
Fail2Ban kann auch mit komplexeren Verhaltensweisen eingerichtet werden, daher lohnt es sich, es zu lernen, wenn Sie planen, unter Linux zu hosten .
Verwenden Sie nach Möglichkeit Sicherheitsschlüssel für SSH
Sie sollten immer ein sicheres Passwort für Ihr Administrator- oder Root-Konto und jedes andere Konto auswählen, bei dem Sie sich remote anmelden. Fail2Ban und alle anderen Sicherheitsmaßnahmen, die Sie möglicherweise ergreifen, werden versuchen, Brute-Force-Angriffe zu stoppen, aber sie könnten fehlschlagen. Verwenden Sie ein möglichst starkes Passwort.
Wenn Sie SSH verwenden, ziehen Sie die Verwendung von SSH-Schlüsseln anstelle eines Passworts in Betracht. SSH-Schlüssel sind ein Beispiel für Public-Key-Kryptographie — Schlüssel werden paarweise generiert, ein öffentlicher und ein privater. Der öffentliche Schlüssel wird auf dem Computer gespeichert, zu dem Sie eine Remoteverbindung herstellen. Sie behalten das andere Mitglied des Paares, den privaten Schlüssel, auf Ihrem Computer. Wenn Sie versuchen, eine Verbindung herzustellen, wird Ihr privater Schlüssel mit dem Schlüssel auf dem Server verglichen, um die Autorisierung bereitzustellen.
Windows, Linux und MacOS unterstützen alle SSH-Schlüssel, daher gibt es nicht viele Gründe, dies nicht zu tun benutze sie. SSH-Schlüssel sind sicherer und — einmal eingerichtet — genauso praktisch wie ein Passwort.
Nur Verbindungen von Adressen auf der Whitelist zulassen
Sie können Ihre Sicherheit auch verbessern, indem Sie die zulässigen Verbindungen zu Ihrem Server einschränken. Dazu gibt es zwei grundlegende Möglichkeiten: eine Whitelist und eine Blacklist. Eine schwarze Liste verbietet Verbindungen von bestimmten Personen oder Anwendungen. Wenn Sie beispielsweise wissen, dass ein Hacker Ihren Minecraft-Server angegriffen hat, können Sie seine IP-Adresse zu einer schwarzen Liste hinzufügen, damit sie immer abgelehnt wird. Alternativ können Sie eine Whitelist verwenden, die umgekehrt funktioniert. Whitelists erlauben nur vorab genehmigte Verbindungen und können oft eingeschränkt werden, um nur den Zugriff auf eine bestimmte Anwendung oder einen bestimmten Port zuzulassen.
Verwenden Sie unter Linux Universal Firewall (UFW) oder FirewallD, um eine Whitelist auf Betriebssystemebene zu erstellen. Sie können verwenden, was Sie bevorzugen, obwohl Debian-Distributionen (wie Ubuntu) normalerweise mit UFW und RHEL-Distributionen (wie Fedora) normalerweise mit FirewallD geliefert werden. Öffnen Sie unter Windows die Windows-Firewall und gehen Sie zum Abschnitt „Eingehender Datenverkehr“. Tab, um eine Whitelist zu erstellen.
Einzelne Anwendungen, die Sie möglicherweise hosten, verfügen häufig auch über integrierte Whitelist-Funktionen. Sie können beispielsweise eine IP-Adresse zur Whitelist eines Minecraft-Servers hinzufügen, indem Sie whitelist.json im Hauptserververzeichnis ändern. Der Prozess variiert jedoch erheblich zwischen den Anwendungen, und Sie müssen die Dokumentation Ihrer Anwendung auf Details überprüfen.
VERWANDTE ART: The Best Linux Distributionen für Anfänger
Erwägen Sie, Ihr lokales Netzwerk mit VLANs zu trennen
Ihr lokales Heimnetzwerk (LAN) ist in der Regel ein bisschen frei für alle. Zwischen Geräten in einem LAN besteht viel weniger Sicherheit als zwischen einem Gerät im Internet und einem Gerät im LAN. Die allgemeine Annahme ist, dass an Ihr LAN angeschlossene Geräte vertrauenswürdige Geräte sind und kein großes Sicherheitsrisiko darstellen.
Wenn Sie jedoch einen mit dem Internet verbundenen Dienst hosten, ist dies keine sichere Annahme. Wenn der von Ihnen gehostete Dienst oder Ihre anderen Sicherheitspraktiken fehlerhaft sind, ist es möglich, dass ein Angreifer Ihren Server kompromittiert und sich dadurch Zugriff auf andere Geräte in Ihrem lokalen Netzwerk verschafft. Es ist möglicherweise eine große Sicherheitslücke.
Eine Lösung ist ein virtuelles LAN oder VLAN. Ein VLAN ist ein separates virtuelles lokales Netzwerk, das isoliert ist — durch Software — von der &8220;echten&8221; LAN, an dem alle Ihre anderen Geräte angeschlossen sind. Sie können genau einschränken, welche Art von Datenverkehr zwischen dem VLAN, das Ihren mit dem Internet verbundenen Server enthält, und dem VLAN, in dem sich alle Ihre normalen Geräte befinden, passieren darf. Dies schafft eine ziemlich effektive Barriere zwischen Ihrem Server und Ihren anderen Geräten, falls ein böswilliger Angreifer Ihren Server kompromittieren sollte. Das Einrichten eines VLANs kann etwas kompliziert sein, und die Details variieren je nach Hardware. Nicht alle Consumer-Router unterstützen VLANs. Wenn Sie es also nicht sehen, ist es wahrscheinlich nicht vorhanden.
Wenn Ihr Router keine VLANs unterstützt, haben Sie einige Möglichkeiten. Sie können einen neuen Router kaufen, der sie unterstützt, oder Sie können einen verwalteten hinzufügenNetzwerkschalter. Verwaltete Netzwerk-Switches beginnen bei etwa 30 US-Dollar und sind daher wahrscheinlich die kostengünstigste Möglichkeit, ein VLAN zu Hause einzurichten, wenn Ihre aktuelle Hardware dies nicht unterstützt.
Es ist eine Das Einrichten der Portweiterleitung ist ein bisschen mühsam, aber solange Sie dem Zielgerät eine statische IP-Adresse zuweisen und einen dynamischen DNS-Server für Ihre Heim-IP-Adresse einrichten, ist dies eine Aufgabe, die Sie nur einmal besuchen müssen um in Zukunft problemlos auf Ihr Netzwerk zugreifen zu können.
The Best Wi-Fi Routers of 2023
Best Wi-Fi Router Overall Asus AX6000 (RT-AX88U) Amazon
$249.99
$349.99 Save 29%
Bester Budget-Router TP-Link Archer AX3000 (AX50) Amazon Bester günstiger Router TP-Link Archer A8 Amazon
53,99 $
Bester Gaming-Router Asus GT-AX11000 Tri-Band-Router Amazon
342,99 $
449,99 $ Sparen Sie 24 %
Bester Mesh-WLAN-Router ASUS ZenWiFi AX6600 (XT8) (2er Pack) Amazon
$349,99
$399,99 Sparen Sie 13 %
Bester preisgünstiger Mesh-Router TP-Link Deco X20 Amazon
129,99 $
179,99 $ Sparen Sie 28 %
Beste Modem-Router-Kombination NETGEAR Nighthawk CAX80 Amazon
$448,52
499,99 $ Sparen Sie 10 %
Bester VPN-Router ExpressVPN Aircove Amazon
189,90 $
Beat Travel Router TP-Link AC750 Amazon
$39,99
Bester Wi-Fi 6E-Router Asus ROG Rapture GT -AXE11000 Jetzt einkaufen WEITER LESEN
- › So greifen Sie auf Ihren Router zu, wenn Sie das Passwort vergessen haben
- › So streamen Sie Videos und Musik mit VLC über das Netzwerk
- › Ist UPnP ein Sicherheitsrisiko?
- › Was ist dynamisches DNS (DDNS) und wie wird es eingerichtet?
- › So weisen Sie eine statische IP-Adresse in Windows 10 oder 11 zu
- › 10 nützliche Optionen, die Sie in der Weboberfläche Ihres Routers konfigurieren können
- › So führen Sie einen Spigot-Minecraft-Server für benutzerdefinierten Mehrspielermodus aus
- › Sie brauchen einen “Ideeneimer”