לדלג לתוכן

הפניית פורטים - Port Forwarding מוסבר

במאמר הקודם דיברנו על NAT, ואיך הראוטר שלכם מאפשר לעשרות מכשירים בבית לשתף כתובת IP ציבורית אחת. אבל ראינו גם שיש לזה מחיר - אף אחד מבחוץ לא יכול ליזום חיבור למכשיר ספציפי בבית, כי הראוטר פשוט לא יודע לאן להעביר בקשה כזו. הפתרון לבעיה הזו נקרא הפניית פורטים.

הבעיה שהפניית פורטים פותרת

תארו לעצמכם שאתם רוצים להריץ שרת משחקים בבית, ולתת לחבר שלכם, שיושב במקום אחר לגמרי, להתחבר אליו. הבקשה שלו מגיעה לכתובת הציבורית של הראוטר שלכם - אבל הראוטר, כברירת מחדל, לא יודע לאיזה מכשיר בבית להעביר אותה, כי לא הייתה שום בקשה יוצאת קודמת שמצדיקה את זה. התוצאה היא שהבקשה פשוט נדחית או נעלמת.

הפניית פורטים היא ההגדרה שאומרת לראוטר במפורש - "כל בקשה שמגיעה לפורט מסוים, תעביר אותה תמיד למכשיר ספציפי הזה בבית, לפורט הזה בדיוק".

איך זה נראה בפועל

בממשק הניהול של הראוטר, בדרך כלל תחת סעיף שנקרא Port Forwarding או Virtual Server, אתם מגדירים שלושה דברים - איזה פורט חיצוני מקבל את הבקשות, לאיזו כתובת IP פנימית להעביר אותן, ולאיזה פורט פנימי. במקרים רבים הפורט החיצוני והפנימי זהים, אבל לא חייבים - אפשר למשל להעביר בקשות שמגיעות מבחוץ בפורט 8080 אל מכשיר פנימי שמאזין בפורט 80.

חשוב לזכור שהכתובת הפנימית שאתם מפנים אליה היא כתובת פרטית, ולכן כדאי לוודא שהמכשיר הזה מקבל תמיד את אותה כתובת פנימית, למשל דרך הגדרה סטטית או שריון כתובת ב-DHCP, אחרת ההפניה תפסיק לעבוד ברגע שהכתובת הפנימית שלו תשתנה.

למה זה בעצם פשרה על אבטחה

זה נקודה קריטית להבין - כל פורט שאתם פותחים במפורש הוא בעצם חור מכוון בהגנה שNAT נותן לכם "בטעות". ברגע שפתחתם פורט לשרת מסוים, כל מי שברשת יודע לגשת לכתובת הציבורית שלכם יכול לנסות להתחבר לשירות הזה - כולל תוקפים שסורקים באופן שיטתי כתובות IP ברחבי האינטרנט בחיפוש אחר פורטים פתוחים.

זה לא אומר שאסור להשתמש בהפניית פורטים, אלא שצריך לעשות את זה במודעות - לוודא שהשירות שחשפתם מעודכן, מוגן בסיסמה חזקה, ואם אפשר, מוגבל רק לכתובות IP מוכרות. פתיחת פורט לשירות לא מעודכן היא אחת הדרכים הנפוצות שבהן מכשירי בית וקטנים נפרצים.

חלופות שכדאי להכיר

לפני שקופצים ישר להפניית פורטים, כדאי להכיר כמה חלופות:

  • VPN אל הבית - במקום לחשוף שירות ספציפי, אפשר להקים VPN שמאפשר לכם להתחבר לרשת הביתית שלכם באופן מוצפן, ולגשת לכל מכשיר כאילו אתם נמצאים פיזית בבית.
  • שירותי מנהור - כלים שמאפשרים לחשוף שירות מקומי לאינטרנט דרך שרת ביניים, בלי לפתוח פורט ישירות בראוטר.
  • UPnP - מנגנון שמאפשר למכשירים ותוכנות לפתוח פורטים אוטומטית בראוטר לפי הצורך, שימושי אבל גם מסוכן יותר כי הוא מוריד את השליטה שלכם על מה נפתח בפועל.

לסיכום

הפניית פורטים היא הכלי שהופך את הבית שלכם מ"רק צורך אינטרנט" ל"גם מספק שירות לאינטרנט", אבל כל פורט שאתם פותחים הוא שיקול דעת מודע, לא הגדרה שעושים בלי לחשוב. הבנה נכונה שלה, יחד עם ההבנה של NAT שעליו היא נשענת, היא בסיס טוב לכל מי שרוצה לנהל רשת ביתית או קטנה בביטחון.

רוצים להבין עוד על תכנון רשת ביתית וארגונית בטוחה? יש לנו קורס רשתות מלא בחינם שמסביר את היסודות שלב אחרי שלב.

יש לכם שאלה על הפניית פורטים או אבטחת רשת ביתית? בואו לדבר בדיסקורד.

הצטרפו לקהילה בדיסקורד