Port Forwarding - ako funguje?

port forwarding znamena ze nejaky router posiela urcite pakety z vonkajsej strany na urcite PC na vnutornej podsieti. Ked nemas ziaden vlastny router tak neriesis ani ziaden forwardng.

T.j. ked tvoj server ma verejnu IP (neni za tvojim routrom ktory robi NAT) tak neriesis ziaden forwarding

Typicka situace:
internet - router - několik počítačů

Router se musí starat o to, aby když počítač za ním komunikuje s internetem, aby dostal zvenku odpověď - přidává informace do odesílaných packetů, aby věděl, kterému počítači to má poslat (NAT). Pokud někdo zvenku přistoupi na tvou adresu, dostane se pouze na router a protože tam nejsou žádné další informace, na routeru i skončí. Je to vlastně i velmi dobrá ochrana pro počítače za routerem ze strany útoku z internetu.

PortForwarding znamená, že na routeru nastavíš pravidlo: pokud někdo přitoupí z internetu na adresu a port, tak to pošli do vnitřní sítě na konkrétní počítač a port. Takže vlastně zpřístupníš nějaký počítač a port z vnitřní sítě do internetu.

Extrémem je DMZ (demilitarizovaná zóna), kde takto vystrčíš celý počítač.

Podmínkou, aby ti např, webový server, který je za routerem fungoval pro uživatele z internetu je pevná veřejná adresa - aby se uživatelé mohli na tebe vůbec připojit.

uz se proboha vsichni zbavte mytu, ze NAT je bezpecnostni prvek

Zkus to prosím vysvětlit podrobněji. Jak chces napadnout počítač, schovaný za NATem, o kterém ani nevíš, že tam je?

to sice nevim, ale zkust to muzu a s 90% uspesnosti narazim za natem na rozsah 192.168.1.x, pak uz staci posilat pakety s upravenou hlavickou

Ano, staci. Ale tuto metodu lze uspesne pouzit jen ze site bezprostredne pripojene k vnejsimu rozhrani ciloveho routru.

nikoliv, dokonce mohu byt sam za natem, je to podobny pricip jako napr. u skype, rikam podobny, aby nme nebral nikdo za slovo, pac tam ta hlavica vypada trochu jinak, doporucim vzit wireshark a podivat se na ty pakety

Pokud to neni soucasti protokolu, tak z hlavicky nepoznas ze paket pochazi z pocitace za natem. Dobra je jeden sporny zpusob jak to poznat, nikoli vsak vyuzit. Ale pokud se se svym "zpetnym paketem" nepovesis na established spojeni, tak neni sance jak se z dalky za nat dostat. Existovala kdysi moznost do komunikace privesit striktni cestu, kterou ten paket ma jit smerem k cili, ale to tusim, prave kvuli nebezpecnosti a zneuzitelnosti odstranili a tato technika uz nejde vyuzit (ten paket nedorazi do cile).

přesně tak.

Upravujte si hlavičku jak chcete! http://www.root.cz/clanky/proc-neni-nat-totez-co-f irewall/ - ač starý článek, tak poměrně jasný, pane "x", doporučuji k přečtení.

pane! rok 2007! a hlavne nevim, co tady saskujes s tim panem "x"? na vic jsi ten clanek zrejme ani necet

RFC3022 je dokonce starší, to je, co?! Doporučuji ještě jednou přečíst a pak: http://pc.poradna.net/q/view/876762-port-forwardin g-ako-funguje?page=r877181#r877181...

Aha.. takže ja mám pevnú IP ale neviem či je verejná :D 46.150.192.230

mas verejnou, ze sloveska z kosic

Mal by som otázku :D

Nejde mi internet, myslel som si, že je to pre to, že som skúšal ten port forwarding ale mne na routeri nesvieti ani kontrolka WAN asi to nebude tým, že som sa hral s tým port forward, že?

ked nesvieti kontrolka tak asi nemas vobec strceny kabel v konektore WAN, ale mas ho v nejakom blbom konektore.
Alebo zdochlo pripojenie poskytovatelovi, kontaktuj ho telefonicky apod. Ak mas doma vlastny router a vies sa dostat do nastaveni tak si to nastav nazad tak jak bolo, pripadne kazdy router sa da aj resetovat na vyrobne nastavenia (ktore ale nemusia byt take jake vyzaduje tvoj poskytovatel, co nastavit do routra musis riesit konkretne s nim)

Asi nebudem reštartovať router, pretože asi fakt je chyba u poskytovateľa, pretože skúšal som WAN kábel dávať aj priamo do PC a nič nesvietilo.

Aha problém s pripojením vyriešený :D Tak chcel by som sa vrátiť k téme.
Hľadal som na nete návody na port forward a spravil som to, zapol som server ale server je aj tak offline.. ako keby som zadal zlú ip

Ale my nevieme co si kam a jak presne nastavil a o co sa pokusas, tak ti nemozeme napisat co si spravil zle.

takto to mám
portforwardrx.jpg

192.168.1.0 ?

Prdel si dělej z někoho jiného.

:D tiež mi to prišlo divné ale v návodoch to robili takto...

dáš si tam adresu (místní) tvého pc

start
spustit
cmd
ipconfig

dal som tam 192.168.1.104 + port

A už je server online ale napojím sa naňho maximálne ja sám

ale čo som sledoval v návodoch tak do server listu mám zadať moju ip čiže 46.150.192.230 + port ale to vypisuje že server je offline..

ked sa pripajas zvonku (z ineho pripojenia) tak zadavas tvoju verejnu IP a potrebujes mat spravne nastaveny forwarding.
Ked sa pripajas v lokalnej LAN tak zadavas vnutornu (lokalnu) IP toho servera (192.168.neco.neco) a nepotrebujes ziaden forwarding.

No forwarding už asi mám ale ani po zapnutí serveru nie je server online. Funguje len 192.168.1.100

záleží jestli máš veřejnou ip adresu- já jako návštěvník tvého serveru musím natě vidět. to si zjisti u gecomu.
jinak můžeš mět neveřejnou a na jedný ip budou viset stovky klientů= já tě nenajdu.

směrování v rámci svého segmentu jsi teda zvládnul, otázkou je, jestli jsi aktiv, nebo pasiv. u pasiva je řešení (jedním z řešení) pasiva zviditelnit aktivem. služby typu no-ip.org. podívej se do routeru, které servery podporuje.

Hmm kolega niekde hore hovoril že mám verejnú.. no nič.. asi sa na to celé vykašlem :D

V polozke wan alebo system v routri sa pozri aku IP adresu mas pridelenu na wan rozhrani.

na tejto stranke som sa pozrel nat.php

Vaše WAN IP je: 46.150.192.230

Je nejaky problem pozriet sa priamo do routra?

jj nevyznám sa tam. Išiel som teda do položky WAN -> static ip a bolo tam toto:

Fixed IP Address : 172.1.1.1
Subnet Mask : 255.255.0.0
Default Gateway Address : 172.1.1.254

Ta je veřejná. Žiješ v USA?

A nemas nahodou nastavenu ip adresu na wan na dynamicku from dhcp server? Co pise v polozke status?

Attain IP Protocol : Dynamic IP connect
IP Address : 10.2.12.7
Subnet Mask : 255.255.254.0
Default Gateway : 10.2.12.1
MAC Address : 00:1F:1F:CF:53:5F
Primary DNS : 10.0.1.2
Secondary DNS : 10.0.1.4

Takze sme sa konecne dobojovali k tomu, ze nemas verejnu ip adresu.

Aha okej ale chcel by som sa spýtať podľa čoho si to zistil?

Všechny IP adresy začínající 10. jsou neveřejné.

Upřesním - všechny adresy z rozsahu 10.x.x.x, 172.16.x.x-172.31.x.x a 192.168.x.x jsou neveřejné.

Ja upresnim 172.16.x.x az 172.31.x.x, to sa dost casto zabuda.

podle rozdílnosti ip adres- nadřazený server providera ti přidělil (routeru) vnitřní adresu 10.2.12.7, a ty tu vystupuješ pod jinou ip adresou- takovou společnou pro vás tam.

brnkni providerovi kolik by chtěl za veřejnou ip, já to na jejich stránkách nenašel.

Dovolím si restart:

1. forwarding je v podstatě NAT, jen se v hlavičce paketu přepisuje cílová místo zdrojové adresy (na linuxu se tomu říká D(estination)NAT, "klasický NAT" je pak S(ource)NAT.) Jak vidíš, z podstaty je to nijak obecně neomezující funkce

2. Protože je ale NAT součástí firewallu (na linuxu netfilter/iptables, v BSD systémech ipfw, podobně Cisco IOS; windows a jejich prasopsí IP stack raději komentovat nebudu), je možné omezit počítače, jimž bude forwarding fungovat. Toto je ovšem ale zcela v režii paketového filtru, nemá to s technikou výměny adres v hlavičce nic společného.