Проброс порта 80 HTTP на Микротик

Configuring Port to Application Mapping

This chapter describes the Cisco IOS Firewall Port to Application Mapping (PAM) feature. PAM enables CBAC-supported applications to be run on nonstandard ports. Using PAM, network administrators can customize access control for specific applications and services to meet the distinct needs of their networks.

For a complete description of the PAM commands in this chapter, refer to the chapter «Port to Application Mapping Commands» of the Cisco IOS Security Command Reference. To locate documentation of other commands that appear in this chapter, use the command reference master index or search online.

To identify the hardware platform or software image information associated with a feature, use the Feature Navigator on Cisco.com to search for information about the feature or refer to the software release notes for a specific release. For more information, see the «Identifying Supported Platforms» section in the chapter «Using Cisco IOS Software.»

Как пробросить порт на маршрутизаторе

Рассмотрим пример, как пробрасывают порт на роутере D-Link любой модели с прошивкой 1.4.Х или новее. Эта процедура не сильно отличается у разных производителей и на различных моделях, поэтому данная инструкция вполне подойдет под любой современный маршрутизатор с веб-интерфейсом.

Рисунок 5. Настройки роутера позволяют задать как один, так и несколько портов.

Сначала необходимо войти в меню конфигурации роутера. Для этого он должен быть запущен и подключен к компьютеру. В строке любого интернет-обозревателя вводим внутренний IP маршрутизатора, под которым он виден в приватной локальной сетке. В нашем случае это 192.168.0.1. В окне авторизации в строках «имя пользователя» и «пароль» вводим одно и то же слово: admin. Первым делом рассмотрим автоматический проброс с помощью мастера. Войдя в меню, ищем ссылку «Мастер настройки виртуального сервера» и нажимаем на нее. (РИС. 3)

На открывшейся конфигурационной странице видим несколько полей. В поле «Шаблон» можно выбрать одну из встроенных заготовок. Ниже вводится любое удобное имя. Далее нужно выбрать интерфейс, с которым будет связан наш виртуальный сервер. Затем вводится приватный адрес узла локальной сети, для которого будут открываться порты, и удаленный публичный адрес, которому будет разрешен доступ. Если поле «Удаленный IP» оставить пустым, доступ будет открыт для всех. Сохраняем настройки и перезагружаем маршрутизатор. (РИС. 4)

https://сайт/

Для установки сервера вручную необходимо зайти в расширенные настройки и выбрать «Виртуальные серверы», на открывшейся странице жмем «Добавить». Помимо уже известных из предыдущего способа полей, видим 4 новых: внешние и внутренние начальные/конечные порты. Поток данных с внешнего порта перенаправляется по внутреннему порту на приватный адрес, указанный в поле «Внутренний IP».
С помощью начального и конечного номера можно задать целый диапазон портов. Если нужно использовать только один порт, заполняем поле «начальный» и оставляем пустым «конечный». Номер порта может быть любым числом от 0 до 65535, рекомендуется использовать значения выше 49152. (РИС. 5)

Технология Universal Plug and Play (UPnP)
является удобным способом обеспечения любой сетевой программы, которой необходимо пробросить порты без необходимости настройки «маппинга» на веб-интерфейсе маршрутизатора. Но далеко не все программы имеют встроенную поддержку UPnP. К сожалению, некоторые программы, которые требуют перенаправление портов, не поддерживают UPnP. В этих случаях нам поможет UPnP Portmapper
. Поговорим об её установке, настройке и использовании.

Главная цель UPnP Portmapper — это забота о переадресации портов для приложения без настройки проброса на маршрутизаторе. Но если Вы хотите настроить вручную все тонкости проброса портов, то Вам придётся войти в веб-интерфейс своего маршрутизатора и изменить правила переадресации портов. Если по каким-то причинам Вы не можете зайти на маршрутизатор, то эта статья о получении доступа к роутеру поможет обновить учетные данные к нему.

Но часто возникают ситуации, когда необходимо выполнить перенаправление портов, а настраивать маршрутизатор нежелательно. Например, если Вы находитесь в общественном месте или у друзей в гостях, то просто запустите UPnP Portmapper и активируйте предварительно установленные правила.

PAM Configuration Task List

See the following sections for PAM configuration tasks. Each task in the list indicates if it is optional or required:

• (Optional)

• (Required)

• (Optional)

Configuring Standard ACLs

If you require PAM for a specific host or subnet, use the access-list (standard) command in global configuration mode to define an ACL:

Command

Purpose

Router(config)# access-list access-list-number
permit source

(Optional) Creates a standard ACL that defines the specific host or subnet for host-specific PAM.

For complete information on access-list command, refer to the Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services.

Configuring PAM

To configure PAM, use the ip port-map command in global configuration mode:

Command

Purpose

Router(config)# ip port-map appl_name port port_num
[list acl_num]

Establishes a port mapping entry using the TCP or UDP port number and the application name.

(Optional) Use the list option to associate this port mapping to the specific hosts in the ACL. (PAM uses standard access lists only.) If an access list is included, the hosts defined in that ACL have the application appl_name running on port port_num.

Verifying PAM

To verify the port mapping information, enter the show ip port-map command in privileged EXEC mode and review the entries:

Router# show ip port-map

This command displays all entries in the PAM table, including the system-defined entries.

For PAM configuration examples using the commands in this chapter, refer to the section at the end of this chapter.

Configuring VACL Logging

When you configure VACL logging, IP packets that are denied generate log messages in these situations:

  • When the first matching packet is received
  • For any matching packets received during the last 5-minute interval
  • If the threshold is reached before the 5-minute interval

Log messages are generated on a per-flow basis. A flow is defined as packets with the same IP addresses and Layer 4 (UDP or TCP) port numbers. When a log message is generated, the timer and packet count is reset.

These restrictions apply to VACL logging:

  • Because of the rate-limiting function for redirected packets, VACL logging counters may not be accurate.
  • Only denied IP packets are logged.

To configure VACL logging, use the action drop log command action in VLAN access map submode (see the for configuration information) and perform this task in global configuration mode to specify the global VACL logging parameters:

This example shows how to configure global VACL logging in hardware:

SIP Port Mapping for TCP and TLS

In releases prior to S-C6.2.0, the
Oracle Communications Session Border Controller (OCSBC) supports SIP port mapping for UDP and now you can enable this feature for SIP sessions using TCP and TLS. Port mapping enables the
OCSBC to allocate a unique port number for each endpoint registering through it by giving it a transport address (or hostport) in the registered Contact.

When you enable this feature for TCP and TLS, the
OCSBC designates a port from a configured range for each endpoint that registers with SIP servers in the SIP interface’s realm. You establish that range of ports using the
port-map-start and
port-map-end parameters. Unlike its behavior with UDP port mapping—where the
OCSBC sends requests on the SIP interface from the allocated port mapping, the
OCSBC sends all requests over an existing connection to the target next hop for TCP/TLS port mapping. If a connection does not exist, the system creates one. So for TCP/TLS port mapping, only the Contact header contains the transport address of the mapping port (i.e., the transport address of the configured SIP port). And the system refuses TCP and TLS connections on the allocated mapping port.

With TCP/TLS port mapping enabled, the
OCSBC sends the Path header with the transport address in Register requests, unless you specify that it should not do so. Standards-conformant SIP servers (that support RFC 3327) might attempt to send requests to the allocated mapping port if the Path header is absent.

Note:

ACL entries in the NAT table that permit TCP/TLS signaling for a SIP port configuration with TCP/TLS port mapping are the same as they would be for a TCP/TLS SIP port without port mapping enabled. Additional ACL entries that need to be set up for UDP port mapping are not required for TCP/TLS port mapping.

RTN 1684

SIP Port Mapping Configuration for TCP TLS

You enable TCP/TLS port mapping in a per-realm basis using the SIP interface configuration; setting the
tcp-port-mapping value in the
options parameter enables the feature. Enabling this parameter turns on the port mapping feature for UDP as well.

By default, the
Oracle Communications Session Border Controller includes the Path header in Register requests it sends from that SIP interface. If you do not this header to be included, however, you can set the value as
tcp-port-mapping=nopath.

To enable TCP/TLS port mapping for a SIP interface:

  1. In Superuser mode, type
    configure terminal and press Enter.

    ORACLE# configure terminal
    ORACLE(configure)#
  2. Type
    session-router and press Enter.

    ORACLE(configure)# session-router
    ORACLE(session-router)#
  3. Type
    sip-interface
    and press Enter. If you are adding this feature to a pre-existing configuration, you will need to select and edit it.

    ORACLE(session-router)# sip-interface
    ORACLE(sip-interface)#
  4. options—Set the options parameter by typing options, a Space, the option name
    tcp-port-mapping with a plus sign in front of it, and then press Enter.

    ORACLE(sip-interface)# options +tcp-port-mapping

    If you type the option without the plus sign, you will overwrite any previously configured options. In order to append the new options to the realm configuration’s options list, you must prepend the new option with a plus sign as shown in the previous example.

  5. Save your work.

Принцип работы переадресации портов

Рисунок 4. После завершения настройки виртуального сервера роутер нужно перезагрузить.

Суть технологии в том, что роутер осуществляет перенаправление потока данных для конкретных портов TCP/IP со своего публичного адреса на приватный адрес определенного устройства в «локалке». Проще говоря, чтобы получить доступ извне на внутренний адрес, достаточно обратиться по внешнему IP маршрутизатора на один из заданных портов, соответствующий нужному приватному адресу.

В память роутера для этого нужно заранее вписать таблицу соответствий между определенными портами и адресами, чтоб он «знал», какой трафик и на какой компьютер отправлять. Такая «таблица» во многих маршрутизаторах называется «Виртуальный сервер», ведь физически сервер создается на внутреннем узле, но извне доступен по публичному IP и конкретному номеру порта.

Существует два способа проброса портов: автоматически (при помощи UPnP) и вручную. Во время процедуры проброса вручную нужно выбрать номера портов для каждого адреса, который должен быть доступен из интернета. Затем эти номера вместе с публичным IP роутера сообщаются программе-клиенту на другой стороне соединения. Роутер, получив запрос на свой адрес по соответствующему порту TCP/IP, перенаправляет данные прямиком к тому устройству, которое этому порту назначено в соответствие. При этом приватный IP по-прежнему остается невидимым, и ни один другой клиент, не знающий номера порта, на него не попадет.

Monitoring container network statistics

Mesos exposes statistics from the Linux network stack for each container network
on the /monitor/statistics agent endpoint.

From the network interface inside the container, we report the following
counters (since container creation) under the key:

Metric Description Type
Received bytes Counter
Packets dropped on receive Counter
Errors reported on receive Counter
Packets received Counter
Sent bytes Counter
Packets dropped on send Counter
Errors reported on send Counter
Packets sent Counter

Additionally, Linux Traffic Control can report the following
statistics for the elements which implement bandwidth limiting and bloat
reduction under the key. The entry
for each of these elements includes:

Metric Description Type
Bytes queued for transmission Gauge
Sent bytes Counter
Packets dropped on send Counter
Count of times the interface was over its transmit limit when it attempted to send a packet. Since the normal action when the network is overlimit is to delay the packet, the overlimit counter can be incremented many times for each packet sent on a heavily congested interface. Counter
Packets sent Counter
Packets queued for transmission Gauge
Transmit rate in bytes/second Gauge
Transmit rate in packets/second Gauge
Packets failed to send due to resource contention (such as kernel locking) Counter

is only reported on the bloat_reduction interface.

are only reported on the bw_limit interface.

Currently always reported as 0 by the underlying Traffic Control element.

For example, these are the statistics you will get by hitting the endpoint on an agent with network monitoring turned on:

Setting up active mode if you are behind a router

If you’re behind a router (gateway) then your computer is a member of a
separate local network so connections coming from the Internet must find
their way into your computer
that resides in a private network. For
successful connectivity the router must be set up to open the
communication ports DC++ uses and forward the incoming information from the
Internet to the correct computer (the one that runs DC++). This is called
port forwarding or port mapping and it requires configuration
in the router device. There are ways to do port mapping
automatically if your router supports one of the automatic port
mapping protocols available in DC++. If none of the automatic port mapping
ways are supported by the router, the configuration should be done manually
to achieve a working active connection mode.

Automatic port mapping configuration

You can simplify the process of setting up port forwarding if your router
supports automatic port mapping protocols such as NAT-PMP or UPnP. For more information, see What is
NAT-PMP / UPnP?.

All broadband SOHO routers that manufactured in
the recent years should support at least UPnP and it should be enabled by
default (this may not always true for older models). In any case its best
to consult the documentation of the device about what port mapping protocol
does the router support and how to enable it.

Currently, DC++ includes support for both UPnP and NAT-PMP. If automatic
port mapping is enabled in the connectivity configuration DC++ will try to
map the ports with all the available mapper interfaces until a successful
attempt. To enable automatic port mapping

  • Click on File menu and then Settings. Click on the Manual
    configuration pane.
  • Select the Active mode (let DC++ configure my router with NAT-PMP /
    UPnP)
    radio button. Leave the fields in the «External / WAN
    IP» box blank.
  • Leave the transfers and search port fields blank also. This will make DC++
    randomize the port it uses each time.
  • Leave the Outgoing Connection settings in the Proxy pane set to Direct
    Connection.
  • Click OK. This will close the Settings window.
  • Test active mode by joining several hubs and doing a search for a common
    term. You should get results back. If not, then open the System
    Log window and check the last log messages about the port mapping
    attempts and possible errors.

Here are some tips if you can’t make the automatic port mapping work and
unable to figure out what’s the problem:

  • Make absolutely sure you have properly configured your security
    software to unblock DC++
  • When automatic port mapping is selected DC++ tries all the included mapping
    interfaces one by one, until a successful result. The default order of the
    implementations is pre-determined but you can force what mapper DC++ should
    try first. It’s possible that DC++ gets a successful signal from a certain
    mapping interface (you see successful port mapping results in the System Log window) but searches and downloads still don’t work
    as the port mapping operation is actually failed. In this case you can in a hope of a
    better result.
  • Try to (see above how to
    determine it) especially if you see ‘Port mapping: Failed to get external
    IP’ message in the System Log window or wrong IP addess
    shown if you use the /conn chat command. Don’t forget to in these cases.

Manual port mapping configuration

If you are unable to automate port forwarding with NAT-PMP or UPnP, you can
follow the Manual port forwarding FAQ to achieve active
connection mode. Note that manual port forwarding is an advanced task and it
requires a minimal knowledge of computer networking.

Select passive mode as the last resort

If none of the above helped or you are not able to use active mode in your
network (e.g. you have no access to the configuration page of the
router/gateway or you have firewall service provided by your ISP) then you
must choose Passive mode (last resort — has serious limitations)
option in Connectivity Settings. As linked above, however,
passive mode has several disadvantages.

If you still unable to search and/or download even in passive mode another
possibility is that your ISP is blocking DC (and often other p2p protocols
as well). This is also common at universities, at the workplace or other
organizations, and is the topic of another FAQ.

FCoE VE Port Topology Example

shows the topology that was used for the configuration example. The following configuration parameters are used in this topology:

•FCoE VLAN for Fabric A: 10

•FCoE VSAN for Fabric A: 10

•FCoE VLAN for Fabric B: 20

•FCoE VSAN for Fabric B: 20

•Ethernet Only VLAN across both fabrics: 200

You should choose these values before the time of configuration.

Figure B-1 FCoE VE Port Topology

Note The FCoE VLAN/VSAN numbering does not have to be the same within the fabric. As a best practice, use different FCoE VLANs and VSAN numbers between the two fabrics to avoid confusion. Configurations have often been set up to assign ODD VLAN/VSANs for one fabric and EVEN VLANs/VSANs for the other fabric. This is just one example of keeping the numbers separate between the two fabrics

Decide what active mode setting to choose

It is very important to decide what active connection mode is
available for you. It depends on your network structure, so you need to know
exactly how you access the Internet. Is it a direct connection through a
modem or do you have a local network and access the Internet through a
router or other gateway? If unsure, should help
you figure it out.

If you’re still unsure what network devices you use to connect to the
Internet, then use ! It can give you information on
every network device you own, just by searching for the model number
printed on the device. Many ISPs call their device a simple modem when it
is actually a router, so it never hurts to check.

In order to choose a proper active connection mode, you must know whether
you are behind a router or gateway or if you access the Internet
directly
. You can also determine if you have a router or not by checking
your external and internal IP addresses. If these IP addresses
do NOT match then you access the Internet through a local gateway or
router
.

  • To see your internal IP address go to the Windows Start menu, click
    Run… and type : cmd /k ipconfig
  • To see your external IP address go to one of the following websites :
    www.whatismyip.com, www.ip2location.com,
    or checkip.net

If you are still unsure you may want to consult your ISP support hotline or
system administrator (if on an organization’s network).

To manually configure your connectivity settings, uncheck Let
DC++ determine the best connectivity settings in the Connectivity
settings pane of the settings dialog. This will enable the controls on the
pane where you can alter connectivity
settings manually.

When you look at the you will
find 2 options for active mode and the last option for being passive as a
last resort. For being active:

  • If you don’t have a router/gateway you need to set the Active mode
    (I have no router / I have configured my router)
    option.
  • If you connecting through a router/gateway you can choose between the 1st
    or the 2nd option
    : Active mode (I have no router / I have configured
    my router)
    or Active mode (let DC++ configure my router with NAT-PMP
    / UPnP)
    .

Как пробросить порты на роутере ASUS

Для роутеров фирмы ASUS все также довольно просто. Достаточно зайти во внутренние настройки, о том как это сделать я описал в статье как настроить роутер ASUS. Далее в левой части экрана выбираем пункт меню «Интернет» и открываем вкладку «Переадресация портов». Перед вами откроется основная панель настроек в которой и будем производить перенаправление.

Имя службы – любое название для дальнейшей идентификации

Диапазон портов – в данном поле возможно указать либо диапазон (например 10200:10300), либо отдельные 10200, 10201

Локальный IP адрес – ранее зафиксированный адрес

Локальный порт – здесь вписываем номер, если в поле «диапазон портов» мы указали какой-то конкретный, если мы прописали 10200:10300, то данное поле оставляем пустым

Протокол – тип соединения (в большинстве случаев стоит указывать именно TCP)

Когда все поля заполнены, нажимаем кнопку «Плюс» тем самым завершаем добавление правила и для сохранения настроек нажимаем кнопку «Применить».

About NAT Table ACL Entries

To enable SIP signaling messages to reach the host processor, the
Oracle Communications Session Border Controller adds NAT table ACL entries for each SIP interface. With UDP without SIP port mapping applied, it adds a single ACL entry for each SIP port in the SIP interface configuration. For example:

untrusted entries:
intf:vlan source-ip/mask:port/mask dest-ip/mask:port/mask   prot type    index
0/0:0     0.0.0.0                  172.16.1.15:5060         UDP  static  10
0/3:0     0.0.0.0                  192.168.24.15:5060       UDP  static  16
0/1:0     0.0.0.0                  192.168.50.25:5060       UDP  static  17

Using SIP Port Mapping

When you use SIP port mapping, one or more ACL entries are added to the NAT table to enable the range of ports defined. The NAT table does not support the specification of port ranges. However, it does support masking the port to enable ranges that fall on bit boundaries. For example, an entry for 192.168.24.15:4096/4 defines the port range of 4096 through 8191.

The algorithm for determining the set of ACLs for the port map range balances the need to represent the range as closely as possible, with the need to minimize the number of ACL entries. For example, a range of 30000 through 39999 would result in the following set of ACLs.

untrusted entries:
intf:vlan source-ip/mask:port/mask dest-ip/mask:port/mask   prot type    index
0/3:0     0.0.0.0                  192.168.24.15:30000/4    UDP  static  13
0/3:0     0.0.0.0                  192.168.24.15:32768/4    UDP  static  14
0/3:0     0.0.0.0                  192.168.24.15:36864/4    UDP  static  15

However, the first entry actually enables ports 28672 though 32767 and the last entry allows port 36864 through 40959. If SIP messages are received on ports outside the configured range (28672 through 29999 or 40000 through 40959 in this case), they are ignored.

Acme Packet recommends you use port map ranges that fall on bit boundaries to ensure the fewest possible ACL entries are created and only the configured ports are allowed by the ACLs. For example, a range of 32768 to 49151 provides for 16,384 signaling ports in a single ACL entry (192.168.24.15:32768/2).

Note:

If the ACLs added for the port map range do not include the SIP port configured in the SIP interface; the normal SIP ACL entry for the SIP port is also added.

Dynamic Configuration

Dynamic configuration of SIP port mapping can cause disruption in service for existing registration cache entries; depending on the changes made to the defined port map range. If the range of mapping ports is reduced, it is possible that SIP signaling messages from the registrar/softswitch realm will no longer be sent to the host processor because of the changes in the NAT Table ACL entries.

When the range of mapping ports is changed, any signaling ports in the free signaling port pool not allocated to a registration cache entry are removed from the pool. When an allocated signaling port that is no longer part of the defined mapping port range is released, it is not returned to the pool of free steering ports.

The administrator is warned when the changed configuration is activated after the port map range of a SIP interface has been changed.

Настройка роутера

«Резервация» локальных IP

В роутере включен сервер DHCP, который меняет IP-адреса локальных устройств (к примеру, раз в 3 часа или чаще). Чтобы пробросить порт на ПК с определенным IP, необходимо IP «закрепить» за данным компьютером.

Открытие порта на роутере – не должно оставаться «временным». Есть метод решения – выключить DHCP. Мы поступим иначе, настроив для требуемых ПК «резервацию» IP-адресов.

В web-интерфейсе роутеров TP-Link, например, резервацию настраивать сложно. Требуется знать MAC-адрес целевого компьютера (его сетевой карточки). В Windows это можно найти, перейдя к «Состоянию» соединения (открыв вкладку «Поддержка» и нажав на «Подробности»).

В интерфейсе настройки, на вкладке «DHCP» -> «Address Reservation», нажимают кнопку «Add New»:

Вкладка резервации адресов

Появится новая вкладка. Укажем MAC-адрес целевого ПК (а также IP, за ним «закрепляемый»):

Резервация адреса за локальным ПК

Делаем «Status» – «Enabled», жмем «Save».

В роутерах D-Link – то же самое выполнить проще. Идем к вкладке «Setup» –> «LAN Setup»:

Настройка локальной сети (LAN)

Видим блок «DHCP Client List» (здесь – все ПК локальной сети). Запоминаем имя «Host Name», дальше в блоке внизу – выбираем из списка требуемое. Нажимаем на кнопку «

из средней ячейки – мы закрепили за данным ПК.

Как открыть порты через роутер, будет рассмотрено на примере устройств D-Link (у других все очень похоже).

Идем к вкладке «Advanced» -> «Port Forwarding», выставляем галочку слева:

Вкладка проброса портов

Дальше, выполняется следующее:

  1. Надо указать целевой ПК (имя Host Name, либо – просто локальный IP)
  2. Устанавливаем используемый протокол (для большинства программ – TCP, также, можно создать два одинаковых правила для TCP и UDP)
  3. Указываем значение пробрасываемого порта (в примере – «35000»)
  4. Проверяем, что правило включено постоянно (Always On)
  5. Жмем «Save Settings»

Таким образом, мы рассмотрели, как открыть порт на роутере. В современном варианте интерфейса, можно указывать «диапазон» портов (установив минимальный и наибольший номер). Также, есть опция «изменения» для внутреннего значения порта (пакет, адресованный на порт 80, можно направить на порт 81). Рассмотрим это подробнее.

Настраиваем проброс порта («новый» интерфейс)

Прежде всего, в новом варианте роутера D-Link – надо включить межсетевой экран. Затем, администратором для него создаются «Виртуальные серверы»:

Создание серверов межсетевого экрана

Нажмите кнопку «Добавить». На появившейся вкладке – мы создадим правило проброса порта:

Проброс порта «23» на ПК 192.168.0.100

Сверху нужно задать «Custom», затем, придумать имя для правила. Мы рассматриваем, как открыть порты через роутер для пакетов, направленных «извне» (и поэтому, выбираем интерфейс «WAN»). Дальше – все стандартно: выбираем используемый протокол (TCP/UDP), указываем значение порта (в данном случае «внутреннее» – не отличается от «внешнего»). В завершение, указываем «целевой» IP-адрес и жмем «Изменить».

Проброс порта с изменением его значения

В заголовке IPпакета можно менять, во-первых, адрес получателя (что выполняется роутером), а еще – порт, на который пакет направлен. Задействовать данную опцию просто, достаточно указать «внутренний» порт (он может отличаться от «внешнего»).

Как пробросить порты на роутере, поменяв их значения – ясно из примера предыдущей главы. Надо в поле «Внутренний порт» указывать нужное программе значение. Если внешний порт равен «23», это не значит, что «внутренний» будет только таким же.

Предварительная настройка для переброски портов

Прежде чем выполнять проброс, необходимо изменить настройки распределения локальных IP-адресов внутри сети, созданной роутером TP-Link. Устройству, на котором в дальнейшем будет использоваться открытый порт, нужно задать неизменный внутренний адрес. За адресацию внутри локальной сети отвечает DHCP, поэтому необходимо открыть меню «DHCP -> Список клиентов DHCP». В этом окне отобразится список подключенных к вашей сети устройств. Ищем нужное устройство по имени и копируем его MAC-адрес.

В случае, который изображён на скриншоте, найти необходимое устройство не составило труда, так как в домашней сети было зарегистрировано только одно устройство. Однако бывают ситуации, когда к сети подключено значительное количество устройств, а имя необходимого компьютера неизвестно или не отображается. В этом случае можно узнать адрес компьютера непосредственно через операционную систему. Самый простой способ — использовать специальную команду в командной строке.

Нажмите клавиши Win+R, чтобы открыть окно выполнения новой программы. В нём введите cmd и нажмите кнопку «ОК».

После ввода команды getmac вы получите необходимые данные, которые в дальнейшем понадобятся, чтобы осуществить проброс портов на роутере TP-Link.

В случае если при выполнении команды происходит ошибка, рекомендуется повторить операцию, запустив командную строку от имени администратора.

После этого необходимо открыть меню «DHCP -> Настройки DHCP». На этой странице будет отображён диапазон IP-адресов, в пределах которого производится адресация компьютеров вашей сети. В случае на скриншоте начальный адрес: 192.168.0.100, конечный: 192.168.0.199. Эти данные понадобятся на следующем этапе.

Далее потребуется открыть страницу «DHCP -> Резервирование адресов» и нажать кнопку «Добавить новую…». Без выполнения этого шага проброс портов на роутере TP-Link не принесёт необходимого результата, так как компьютеру каждый раз будет присваиваться новый локальный адрес.

В поле «MAC-адрес» вставьте комбинацию, которую вы скопировали из списка клиентов DHCP или командной строки. В поле «Зарезервированный IP-адрес» введите любой адрес, который входит в диапазон, уточненный в настройках DHCP роутера TP-Link. Нажмите кнопку «Сохранить».

Добавленная привязка MAC-адреса к IP отобразится в списке, но для нормальной работы резервирования адресов потребуется перезагрузка Wi-Fi роутера, о чём вас и предупредит система.

Перезагрузить роутер TP-Link программным путём можно в меню «Системные инструменты -> Перезагрузка».

portmapper он же portmap

31.05.2010 15:28

IT

Про portmapper не вспоминала, пока после поднятия файрволла, перезагружая сервер не заметила, что уж очень долго он останавливается и стартует. Пришлось последить повнимательнее что пишет при старте. Жаловался он на то что не смог запустить portmap и nfsd. Занялась решением задачи, как не мешать portmapper и при этом не оставлять дыр. Что такое вообще portmapper он же portmap и зачем он нужен. Из загрузочной инфы ясно, что NFS (демон nfsd) не может запуститься без portmap. Итак, portmap отвечает за динамическое назначение портов для некоторых служб (Portmap — это сервер, который преобразует номера программ RPC (Remote Procedure Call) в номера портов протокола DARPA. Необходим для обеспечения вызовов RPC.). Находится он может тут /etc/portmap , тут /usr/sbin или тут /sbin/portmap .

Выяснить точнее можно командой whereis .

Portmapper на Linux называется либо portmap либо rpc.portmap, а на некоторых машинах он называется rpcbind . Сервер RPC при запуске сообщает процессу portmap номер прослушиваемого порта, а также номера тех программ, которые он готовится обслужить. Если клиенту нужно обратиться к RPC с конкретным номером программы, он сначала должен войти в контакт с процессом portmap на серверной машине и определить номер порта связи с пакетами RPC. В него встроены слабые механизмы проверки подлинности, и он может выбирать порты для управляемых служб из широкого диапазона. Закрытие portmap совсем — это совсем радикальное решение. К тому же portmapper обслуживает , mountd, ypbind/ypserv, pcnfsd, и ‘r’ сервисы, такие как ruptime и rusers

Из них только nfsd, mountd, ypbind/ypserv и возможно pcnfsd имеют какое-либо важное значение. Для защиты можно использовать сетевой экран или hosts.allow/ hosts.deny

Поскольку я все равно подкручивала поднятый файрволл, просто допишем в разрешенные порты: Nfsd работает на порту 2049, используя оба протокола — udp и tcp. Portmapper работает на порту 111, tcp и udp, а mountd работает на портах 745 и 747, tcp и udp. По умолчанию. Посмотреть, как отзовутся порты RPC можно так:

rpcinfo –p

В ответ увидите что то подобное этому:

прог-ма верс протопорт

1000002tcp111portmapper

1000002udp111portmapper

Тут и видно, какие порты кто слушает.

Отличная статья по NFS , в ней можно найти полезную информацию по portmap

http://doca.artus.ru/NFS-HOWTO.html#nfs-security

Будете смеяться, после настройки файрволла с учетом портов portmapper , на всякий случай перезагрузила сервер, чтобы посмотреть, как быстро он останавливается/ запускается и не ругается ли при загрузке. Фуф все в порядке 🙂

  Следующая >

Configuring PACLs

Cisco IOS Release 12.2(33)SXH and later releases support PACLs. This section describes how to configure PACLs. PACLs filter incoming traffic on Layer 2 interfaces, using Layer 3 information, Layer 4 header information, or non-IP Layer 2 information.

The PACL feature uses existing Cisco IOS access-list commands to create the standard or extended IP ACLs or named MAC-extended ACLs that you want to apply to the port.

Use the ip access-group or mac access-group interface command to apply an IP ACL or MAC ACL to one or more Layer 2 interfaces.

Note PACLs cannot filter Physical Link Protocols and Logical Link Protocols, such as CDP, VTP, DTP, PAgP, UDLD, and STP, because the protocols are redirected to the switch processor (SP) before the ACL takes effect.

This section contains the following topics:

Ссылка на основную публикацию