Port Forward

לפני שאנחנו מתחילים בפרק, אני ממליץ לקרוא ולהבין את הפרקים שעוסקים בפורטים, ב-DHCP וב-PAT. מדובר במושגי יסוד הדרושים להבנה של הפרק הזה. קראת? הבנת? נמשיך!

בעצם הגדרתו, ל-PAT יש חיסרון גדול הנובע מהתכנון שלו. בפרק שמדבר על PAT ראינו שהנתב בונה טבלת NAT ובאמצעותה הוא יודע כיצד לתרגם. לדוגמה, מחשב ברשת הפנימית יוזם תקשורת החוצה (למשל ל-ynet), הנתב בונה בטבלה שלו רשומה שאומרת
192.168.0.100:1255 = 88.104.86.17:1255
כאשר ynet מחזיר תשובה לנתב לפורט היעד (1255), הנתב שלנו הולך לטבלת ה-NAT ורואה שיש לתרגם את התעבורה שנכנסה אליו מ-ynet לכתובת 192.168.0.100:1255.

כלומר, ניתן להגיד שהתעבורה שהמחשב שלנו יוזם מוסיפה רשומה לטבלת ה-NAT. אולם, מה קורה אם מגיעה לנתב שלנו תעבורה מהאינטרנט? שהמחשב שלנו ברשת הפנימית לא יזם? כיוון שהיוזם הוא מחשב באינטרנט (ולא ברשת הביתית) לנתב שלנו אין רשומה בטבלת הNAT, הוא לא יודע כיצד לתרגם את התעבורה שנכנסת אליו מהאינטרנט ולכן זורק אותה.

לכאורה, המצב תקין, שהרי אם מגיעה לרשת שלי תעבורה שלא ביקשתי, אני מעוניין שהנתב יתעלם ממנה. אולם, מה קורה אם יש לי שרת? הרי שרת אינו יוזם תקשורת בפני עצמו, אלא כשמו, נותן שרות, ואחרים יוזמים אליו תעבורה. שרת web, שיש עליו אתר אינטרנט, מחכה שייגשו אליו, הוא אינו יוזם התקשרות. בכך נוצרת תקלה משום שלא ניתן להגיע לשרת שלנו!

מכאן נובעת הבעייתיות עם PAT. כאשר יש שרת ברשת הלא חוקית, הנתב לא יודע להעביר אליו תקשורת.

port forward

כדי להתגבר על הבעיה, נתבים מאפשרים להוסיף רשומות לטבלת ה-NAT באופן ידני. לרשומה זו קוראים Port forward. למשל, נניח שברשת שלנו מותקן שרת web שכתובתו היא 192.168.0.200. שרת זה מחזיר דפי אינטרנט כאשר פונים אליו בפורט 80. ללא הגדרה של port forward, כאשר מישהו באינטרנט ינסה לגלוש לשרת שלנו, הוא יפנה לכתובת החוקית של הנתב (88.104.86.17:80) והנתב לא יידע שיש להעביר תעבורה שכזו את השרת. אם נבצע Port forward, נוכל להגדיר את הרשומה הבאה בטבלת ה-NAT:

88.104.86.17:80 = 192.168.0.200:80

בצורה זו יוכל הנתב שלנו להפנות את התעבורה לשרת ה-web שלנו.
גם תוכנות שיתוף הקבצים הופכות את המחשב שלנו לשרת. הרעיון של אימיול הוא "יש לי קבצים, אתם מוזמנים לבוא ולקחת אותם ממני. אני נותן את השירות בפורט 4662".

 לא מדובר בהגדרה מסובכת. להלן דוגמה להגדרות Port forward בנתב לינקסיס:

(ללחוץ על התמונה להגדלה)

קישורים חשובים
איך להגדיר port forward בנתב שלי?
יש לי תוכנה X. איזה פורטים אני צריך לפתוח?

בעולם הנתבים הביתיים יש שימוש במושגים הקשורים ל-NAT באופן לא מדויק. למשל, ישנם לא מעט נתבים (2wire למשל) שקוראים להגדרות ה-NAT של הנתב firewall באופן לא מוצדק. firewall, בדומה ל-NAT, זורק תעבורה שלא ביקשנו. אולם ישנם שני הבדלים מהותיים: ההבדל הראשון הוא שה-firewall זורק תעבורה שאמרנו במפורש שאנחנו לא רוצים, ואילו PAT זורק תעבורה בגלל שהוא אינו יודע איך להתמודד איתה. הבדל שני הוא ש-PAT נעצר בשכבה 4 ואילו firewall יודע לבחון תעבורה בשכבה ה-7 של מודל OSI. בעברית פשוטה, נתב שעושה PAT אינו מסתכל על תוכן המידע שעובר דרכו בצורה מדוקדקת והוא יכול להעביר וירוסים והתקפות בפורטים שהותרו. הוא יוכל להעביר התקפה על שרת ה-web שלנו כיוון שזו הותרה ע"י port forward בפורט 80. firewall לעומת זאת, יודע להתסכל על התוכן של התעבורה, לנתח אותה, ולזרוק אותה אם היא מסוכנת.

. 

<<לעמוד הקודם        ראשי פרקים        Port trigger, DMZ ו-Port Redirect>>